Przypisz role Microsoft Entra

W tym artykule opisano sposób przypisywania ról firmy Microsoft Entra do użytkowników i grup przy użyciu centrum administracyjnego firmy Microsoft Entra, programu Microsoft Graph PowerShell lub interfejsu API programu Microsoft Graph. Opisano również sposób przypisywania ról w różnych zakresach, takich jak dzierżawa, rejestracja aplikacji i zakresy jednostek administracyjnych.

Do użytkownika można przypisać zarówno role bezpośrednie, jak i pośrednie. Jeśli użytkownik ma przypisaną rolę przez członkostwo w grupie, dodaj użytkownika do grupy, aby dodać przypisanie roli. Aby uzyskać więcej informacji, zobacz Zarządzanie przypisaniami ról przy użyciu grup entra firmy Microsoft.

W usłudze Microsoft Entra ID role są zazwyczaj przypisywane do całego dzierżawcy. Można jednak przypisać również role Microsoft Entra dla różnych zasobów, takich jak rejestracje aplikacji lub jednostki administracyjne. Można na przykład przypisać rolę Administratora helpdesku, tak aby dotyczyła tylko określonej jednostki administracyjnej, a nie całego dzierżawcy. Zasoby, do których ma zastosowanie przypisanie roli, są również nazywane zakresem. Obsługiwane jest ograniczenie zakresu przypisania ról dla ról wbudowanych i niestandardowych. Aby uzyskać więcej informacji na temat zakresu, zobacz Omówienie kontroli dostępu opartej na rolach (RBAC) w usłudze Microsoft Entra ID.

Role usługi Microsoft Entra w usłudze PIM

Jeśli masz licencję microsoft Entra ID P2 i privileged Identity Management (PIM), masz dodatkowe możliwości podczas przypisywania ról, takich jak kwalifikowanie użytkownika do przypisania roli lub definiowanie godziny rozpoczęcia i zakończenia przypisania roli. Aby uzyskać informacje na temat przypisywania ról usługi Microsoft Entra w usłudze PIM, zobacz następujące artykuły:

Metoda	Informacja
centrum administracyjne Microsoft Entra	Przypisywanie ról usługi Microsoft Entra w usłudze Privileged Identity Management
Microsoft Graph PowerShell	Poradnik: przypisywanie ról usługi Microsoft Entra w Privileged Identity Management za pomocą Microsoft Graph PowerShell
Microsoft Graph API	Zarządzanie przypisaniami ról w Microsoft Entra za pomocą interfejsów API PIM Przypisywanie ról usługi Microsoft Entra w usłudze Privileged Identity Management

Warunki wstępne

Administrator ról uprzywilejowanych
Moduł Microsoft Graph PowerShell podczas używania PowerShell
Zgoda administratora podczas korzystania z Eksploratora programu Graph dla interfejsu API programu Microsoft Graph

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Przypisywanie ról z zakresem dzierżawy

W tej sekcji opisano sposób przypisywania ról na poziomie dzierżawy.

Centrum administracyjne
PowerShell
interfejs API programu Graph

Zaloguj się do centrum administracji Microsoft Entra jako przynajmniej Administrator Ról uprzywilejowanych .
Przejdź do pozycji Entra ID>Role i administratorzy.
Wybierz nazwę roli, aby otworzyć rolę. Nie dodawaj znacznika wyboru obok roli.
Wybierz pozycję Dodaj przypisania , a następnie wybierz tożsamości użytkowników, grup lub agentów, które chcesz przypisać do tej roli.

Wyświetlane są tylko grupy z możliwością przypisywania ról. Jeśli grupa nie znajduje się na liście, musisz utworzyć grupę z możliwością przypisania ról. Aby uzyskać więcej informacji, zobacz Create a role-assignable group in Microsoft Entra ID (Tworzenie grupy z możliwością przypisywania ról w identyfikatorze Entra firmy Microsoft).

Aby uzyskać listę ról, które można przypisać do tożsamości agenta, zobacz Autoryzacja w identyfikatorze microsoft Entra Agent.

Jeśli Twoje doświadczenie różni się od przedstawionego na poniższym zrzucie ekranu, być może masz Microsoft Entra ID P2 i PIM. Aby uzyskać więcej informacji, zobacz Przypisywanie ról usługi Microsoft Entra w usłudze Privileged Identity Management.
Wybierz pozycję Dodaj , aby przypisać rolę.

Wykonaj następujące kroki, aby przypisać role firmy Microsoft Entra przy użyciu programu PowerShell.

Otwórz okno programu PowerShell. W razie potrzeby użyj polecenia Install-Module , aby zainstalować program Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
```
Install-Module Microsoft.Graph -Scope CurrentUser
```
W oknie PowerShell użyj polecenia Connect-MgGraph, aby zalogować się na swoje konto w dzierżawie.
```
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
```

Użyj Get-MgUser, aby pobrać użytkownika.

$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"

Użyj polecenia Get-MgGroup , aby uzyskać grupę z możliwością przypisywania ról.

$group = Get-MgGroup -Filter "DisplayName eq 'Contoso Helpdesk'"

Użyj Get-MgRoleManagementDirectoryRoleDefinition, aby uzyskać rolę, którą chcesz przypisać.

Aby wyświetlić listę identyfikatorów definicji ról dla wszystkich wbudowanych ról, zobacz Wbudowane role firmy Microsoft Entra.
```
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
```
Ustaw podmiot jako zakres roli.
```
$directoryScope = '/'
```

Za pomocą polecenia New-MgRoleManagementDirectoryRoleAssignment przypisz rolę.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
   -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
   -RoleDefinitionId $roleDefinition.Id

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
    -DirectoryScopeId $directoryScope -PrincipalId $group.Id `
    -RoleDefinitionId $roleDefinition.Id

Oto inny sposób przypisywania roli.

$params = @{
   "directoryScopeId" = "/" 
   "principalId" = $group.Id
   "roleDefinitionId" = $roleDefinition.Id
}
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $params

Postępuj zgodnie z tymi instrukcjami, aby przypisać rolę przy użyciu interfejsu API programu Microsoft Graph w Eksploratorze programu Graph.

Zaloguj się do eksploratora Graph .

Użyj API Lista użytkowników, aby uzyskać użytkownika.

GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'

Użyj interfejsu API listy grup, aby uzyskać grupę, której można przypisywać role.

GET https://graph.microsoft.com/v1.0/groups?$filter=displayName eq 'Contoso Helpdesk'

Użyj interfejsu API List unifiedRoleDefinitions , aby uzyskać rolę, którą chcesz przypisać.

Aby wyświetlić listę identyfikatorów definicji ról dla wszystkich wbudowanych ról, zobacz Wbudowane role firmy Microsoft Entra.
```
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
```

Aby przypisać rolę, użyj interfejsu API Create unifiedRoleAssignment .

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of user or group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Odpowiedź

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of user or group>",
    "directoryScopeId": "/"
}

Jeśli definicja podmiotu zabezpieczeń lub roli nie istnieje, odpowiedź nie zostanie odnaleziona.

Odpowiedź

HTTP/1.1 404 Not Found

Przypisywanie ról w kontekście rejestracji aplikacji

Wbudowane role i role niestandardowe są domyślnie przypisywane na poziomie dzierżawy, aby przyznać uprawnienia dostępu do wszystkich rejestracji aplikacji w organizacji. Ponadto role niestandardowe i niektóre odpowiednie role wbudowane (w zależności od typu zasobu Microsoft Entra) mogą być również przypisywane w zakresie pojedynczego zasobu firmy Microsoft Entra. Dzięki temu użytkownik może przyznać użytkownikowi uprawnienia do aktualizowania poświadczeń i podstawowych właściwości pojedynczej aplikacji bez konieczności tworzenia drugiej roli niestandardowej.

W tej sekcji opisano sposób przypisywania ról w zakresie rejestracji aplikacji.

Centrum administracyjne
PowerShell
interfejs API programu Graph

Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.
Przejdź do obszaruRejestracje aplikacji>.
Wybierz aplikację. Aby znaleźć żądaną aplikację, możesz użyć pola wyszukiwania.

Może być konieczne wybranie Wszystkie aplikacje, aby wyświetlić pełną listę rejestracji aplikacji w dzierżawie.
Wybierz pozycję Role i administratorzy z menu nawigacji po lewej stronie, aby wyświetlić listę wszystkich ról dostępnych do przypisania w ramach rejestracji aplikacji.
Wybierz żądaną rolę.

Napiwek

Nie zobaczysz tutaj całej listy wbudowanych ani niestandardowych ról Microsoft Entra. Jest to oczekiwane. Przedstawiamy role, które mają uprawnienia związane tylko z zarządzaniem rejestracjami aplikacji.
Wybierz pozycję Dodaj przypisania , a następnie wybierz użytkowników lub grupy, do których chcesz przypisać tę rolę.
Wybierz pozycję Dodaj , aby przypisać rolę w zakresie rejestracji aplikacji.

Wykonaj następujące kroki, aby przypisać role Microsoft Entra w zakresie aplikacji przy użyciu PowerShell.

Otwórz okno programu PowerShell. W razie potrzeby użyj polecenia Install-Module , aby zainstalować program Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
```
Install-Module Microsoft.Graph -Scope CurrentUser
```

W oknie PowerShell użyj polecenia Connect-MgGraph, aby zalogować się na swoje konto w dzierżawie.

Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"

Użyj Get-MgUser, aby pobrać użytkownika.
```
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
```
Aby przypisać rolę do jednostki usługi zamiast użytkownika, użyj polecenia Get-MgServicePrincipal.

Użyj Get-MgRoleManagementDirectoryRoleDefinition, aby uzyskać rolę, którą chcesz przypisać.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
   -Filter "displayName eq 'Application Administrator'"

Użyj polecenia Get-MgApplication , aby uzyskać rejestrację aplikacji, do której ma być ograniczone przypisanie roli.

$appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

Za pomocą polecenia New-MgRoleManagementDirectoryRoleAssignment przypisz rolę.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
   -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
   -RoleDefinitionId $roleDefinition.Id

Postępuj zgodnie z tymi instrukcjami, aby przypisać rolę w zakresie aplikacji przy użyciu interfejsu API programu Microsoft Graph w Eksploratorze programu Graph.

Zaloguj się do eksploratora Graph .

Użyj API Lista użytkowników, aby uzyskać użytkownika.

GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'

Użyj interfejsu API List unifiedRoleDefinitions , aby uzyskać rolę, którą chcesz przypisać.

GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'

Użyj interfejsu API Lista aplikacji , aby uzyskać aplikację, na którą będzie nałożony zakres przypisania roli.
```
GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
```
Aby przypisać rolę, użyj interfejsu API Create unifiedRoleAssignment .
```
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of user>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/<Object ID of app registration>"
}
```
Odpowiedź
```
HTTP/1.1 201 Created
```
Notatka

W tym przykładzie directoryScopeId jest określony jako /<ID>, w odróżnieniu od części dotyczącej jednostek administracyjnych. To jest zamierzone. Zakres /<ID> oznacza, że główny podmiot może zarządzać tym obiektem Microsoft Entra. Zakres /administrativeUnits/<ID> oznacza, że administrator może zarządzać członkami jednostki administracyjnej (na podstawie przypisanej mu roli), a nie samą jednostką administracyjną.

Przypisywanie ról z zakresem jednostki administracyjnej

W usłudze Microsoft Entra ID, aby uzyskać bardziej szczegółową kontrolę administracyjną, możesz przypisać rolę Entra firmy Microsoft z zakresem ograniczonym do co najmniej jednej jednostki administracyjnej. Gdy rola Microsoft Entra jest przypisana w ramach zakresu jednostki administracyjnej, uprawnienia roli mają zastosowanie wyłącznie w zarządzaniu członkami tej jednostki i nie dotyczą ustawień ani konfiguracji obejmujących całą dzierżawę.

Na przykład administrator, który ma przypisaną rolę Administrator grup w zakresie jednostki administracyjnej, może zarządzać grupami należącymi do jednostki administracyjnej, ale nie może zarządzać innymi grupami w dzierżawie. Nie mogą również zarządzać ustawieniami na poziomie dzierżawy związanymi z grupami, takimi jak zasady wygasania lub nazewnictwa grup.

W tej sekcji opisano sposób przypisywania ról Microsoft Entra z zakresem jednostki administracyjnej.

Warunki wstępne

Licencja microsoft Entra ID P1 lub P2 dla każdego administratora jednostki administracyjnej
Microsoft Entra ID — bezpłatne licencje dla członków jednostki administracyjnej
Administrator ról uprzywilejowanych
Moduł PowerShell dla Microsoft Graph podczas korzystania z PowerShell
Zgoda administratora podczas korzystania z Eksploratora programu Graph dla interfejsu API programu Microsoft Graph

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Role, które można przypisać w zakresie jednostki administracyjnej

Role Microsoft Entra, które można przypisać z zakresem jednostki administracyjnej, to: Ponadto dowolną rolę niestandardową można przypisać jako zakres jednostki administracyjnej, jeżeli uprawnienia roli niestandardowej obejmują co najmniej jedno uprawnienie istotne dla użytkowników, grup lub urządzeń.

Rola	Opis
Administrator uwierzytelniania	Ma dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla każdego użytkownika niebędącego administratorem tylko w przypisanej jednostce administracyjnej.
Administrator przypisania atrybutu	Może odczytywać i aktualizować niestandardowe przypisania atrybutów zabezpieczeń (z dowolnego zestawu atrybutów) tylko dla użytkowników lub jednostek usługi w ramach jednostki administracyjnej.
Czytnik przypisywania atrybutów	Może odczytywać niestandardowe atrybuty zabezpieczeń (z dowolnego zestawu atrybutów) dla użytkowników lub usługodawców wyłącznie w ramach jednostki administracyjnej.
Administrator urządzeń w chmurze	Ograniczony dostęp do zarządzania urządzeniami w usłudze Microsoft Entra ID.
Administrator grup	Może zarządzać wszystkimi aspektami grup tylko w przypisanej jednostce administracyjnej.
Administrator pomocy technicznej	Może resetować hasła tylko dla osób, które nie są administratorami, w przypisanej jednostce administracyjnej.
Administrator licencji	Może przypisywać, usuwać i aktualizować przypisania licencji tylko w jednostce administracyjnej.
Administrator haseł	Może resetować hasła dla osób niebędących administratorami tylko w ramach przypisanej jednostki administracyjnej.
Administrator drukarki	Może zarządzać drukarkami i łącznikami drukarek. Aby uzyskać więcej informacji, zobacz Delegowanie administrowania drukarkami w usłudze Universal Print.
Administrator uwierzytelniania uprzywilejowanego	Może uzyskać dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika (administratora lub innego niż administrator).
administratora programu SharePoint	Może zarządzać grupami platformy Microsoft 365 tylko w przypisanej jednostce administracyjnej. W przypadku witryn programu SharePoint skojarzonych z grupami platformy Microsoft 365 w jednostce administracyjnej można również aktualizować właściwości witryny (nazwa witryny, adres URL i zasady udostępniania zewnętrznego) przy użyciu centrum administracyjnego platformy Microsoft 365. Do zarządzania witrynami nie można użyć centrum administracyjnego programu SharePoint ani interfejsów API programu SharePoint.
Teams Administrator	Może zarządzać grupami platformy Microsoft 365 tylko w przypisanej jednostce administracyjnej. Może zarządzać członkami zespołu w centrum administracyjnym Microsoft 365 dla zespołów powiązanych z grupami, tylko w przypisanej jednostce administracyjnej. Nie można użyć centrum administracyjnego usługi Teams.
Administrator urządzeń usługi Teams	Może wykonywać zadania związane z zarządzaniem na certyfikowanych urządzeniach usługi Teams.
Administrator użytkowników	Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów tylko w ramach przypisanej jednostki administracyjnej. Obecnie nie można zarządzać zdjęciami profilowymi użytkowników.
<Rola niestandardowa>	Może wykonywać akcje, które mają zastosowanie do użytkowników, grup lub urządzeń, zgodnie z definicją roli niestandardowej.

Niektóre uprawnienia roli mają zastosowanie tylko do użytkowników niebędących administratorami w przypadku przypisania do zakresu jednostki administracyjnej. Innymi słowy, administratorzy pomocy technicznej w jednostce administracyjnej mogą resetować hasła użytkowników w tej jednostce tylko, jeśli użytkownicy ci nie mają ról administratora. Poniższa lista uprawnień jest ograniczona, gdy elementem docelowym akcji jest inny administrator:

Odczytywanie i modyfikowanie metod uwierzytelniania użytkowników lub resetowanie haseł użytkowników
Modyfikowanie poufnych właściwości użytkownika, takich jak numery telefonów, alternatywne adresy e-mail lub klucze tajne Open Authorization (OAuth)
Usuwanie lub przywracanie kont użytkowników

Elementy zabezpieczeń, które można przypisać do jednostki administracyjnej

Następujące podmioty zabezpieczeń można przypisać do roli z zakresem jednostki administracyjnej:

Użytkownicy
Grupy z rolami przypisywalnymi w Microsoft Entra
Podmioty usługi

Jednostki usługi i użytkownicy-goście

Jednostki usługi i użytkownicy-goście nie będą mogli używać przypisania roli w zakresie do jednostki administracyjnej, chyba że przypisano im również odpowiednie uprawnienia do odczytywania obiektów. Dzieje się tak, ponieważ jednostki usługi i użytkownicy-goście domyślnie nie otrzymują uprawnień do odczytu katalogu, które są wymagane do wykonywania akcji administracyjnych. Aby umożliwić zasadzie usługi lub użytkownikowi-gościowi używanie przypisania roli w ramach jednostki administracyjnej, należy przypisać rolę Czytelników katalogu (lub inną rolę, która zawiera uprawnienia do odczytu) na poziomie dzierżawy.

Obecnie nie można przypisać uprawnień do odczytu katalogu w ramach jednostki administracyjnej. Aby uzyskać więcej informacji na temat domyślnych uprawnień dla użytkowników, zobacz domyślne uprawnienia użytkownika.

Przypisywanie ról z zakresem jednostki administracyjnej

W tej sekcji opisano sposób przypisywania ról w zakresie jednostki administracyjnej.

Centrum administracyjne
PowerShell
interfejs API programu Graph

Zaloguj się do centrum administracji Microsoft Entra jako przynajmniej Administrator Ról uprzywilejowanych .
Przejdź do Entra ID>Role i administratorzy>Jednostki administratora.
Wybierz jednostkę administracyjną.
Wybierz pozycję Role i administratorzy z menu nawigacji po lewej stronie, aby wyświetlić listę wszystkich ról dostępnych do przypisania za pośrednictwem jednostki administracyjnej.
Wybierz żądaną rolę.

Napiwek

Nie zobaczysz tutaj całej listy wbudowanych ani niestandardowych ról Microsoft Entra. Jest to oczekiwane. Przedstawiamy role, które mają uprawnienia związane z obiektami obsługiwanymi w jednostce administracyjnej. Aby wyświetlić listę obiektów obsługiwanych w ramach jednostki administracyjnej, zobacz Jednostki administracyjne w identyfikatorze Entra firmy Microsoft.
Wybierz pozycję Dodaj przypisania , a następnie wybierz użytkowników lub grupy, do których chcesz przypisać tę rolę.
Wybierz pozycję Dodaj , aby przypisać rolę o określonym zakresie w jednostce administracyjnej.

Wykonaj następujące kroki, aby przypisać role w Microsoft Entra w zakresie jednostki administracyjnej za pomocą PowerShell.

Otwórz okno programu PowerShell. W razie potrzeby użyj polecenia Install-Module , aby zainstalować program Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
```
Install-Module Microsoft.Graph -Scope CurrentUser
```

W oknie PowerShell użyj polecenia Connect-MgGraph, aby zalogować się na swoje konto w dzierżawie.

Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"

Użyj Get-MgUser, aby pobrać użytkownika.

$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"

Użyj Get-MgRoleManagementDirectoryRoleDefinition, aby uzyskać rolę, którą chcesz przypisać.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
   -Filter "displayName eq 'User Administrator'"

Użyj polecenia Get-MgDirectoryAdministrativeUnit , aby uzyskać jednostkę administracyjną, do której ma zostać ograniczone przypisanie roli.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id

Za pomocą polecenia New-MgRoleManagementDirectoryRoleAssignment przypisz rolę.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
   -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
   -RoleDefinitionId $roleDefinition.Id

Postępuj zgodnie z tymi instrukcjami, aby przypisać rolę w zakresie jednostki administracyjnej przy użyciu interfejsu API programu Microsoft Graph w Eksploratorze programu Graph.

Przypisz rolę za pomocą interfejsu API Create unifiedRoleAssignment

Zaloguj się do eksploratora Graph .

Użyj API Lista użytkowników, aby uzyskać użytkownika.

GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'

Użyj interfejsu API List unifiedRoleDefinitions , aby uzyskać rolę, którą chcesz przypisać.

GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'

Użyj interfejsu API List administrativeUnits , aby uzyskać jednostkę administracyjną, do której ma zostać ograniczone przypisanie roli.
```
GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
```
Aby przypisać rolę, użyj interfejsu API Create unifiedRoleAssignment .
```
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of user>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/administrativeUnits/<Object ID of administrative unit>"
}
```
Odpowiedź
```
HTTP/1.1 201 Created
```
Jeśli rola nie jest obsługiwana, odpowiedź to nieprawidłowe żądanie.
```
HTTP/1.1 400 Bad Request
{
    "odata.error":
    {
        "code":"Request_BadRequest",
        "message":
        {
            "message":"The given built-in role is not supported to be assigned to a single resource scope."
        }
    }
}
```
Notatka

W tym przykładzie directoryScopeId jest określona jako /administrativeUnits/<ID>, a nie /<ID>. To jest zamierzone. Zakres /administrativeUnits/<ID> oznacza, że główna osoba odpowiedzialna może zarządzać członkami jednostki administracyjnej (na podstawie przypisanej jej roli), a nie samą jednostką administracyjną. Zakres /<ID> oznacza, że podmiot może zarządzać obiektem Microsoft Entra we własnym zakresie. W sekcji rejestracji aplikacji widzisz, że zakres jest /<ID>, ponieważ rola ograniczona do rejestracji aplikacji przyznaje przywilej zarządzania samym obiektem.

Przypisz rolę, używając interfejsu API Add a scopedRoleMember.

Alternatywnie możesz użyć API Add a scopedRoleMember do przypisania roli z zakresem jednostki administracyjnej.

Prośba

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Ciało

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

Następne kroki

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-07-08

Udostępnij przez

Przypisz role Microsoft Entra

Role usługi Microsoft Entra w usłudze PIM

Warunki wstępne

Przypisywanie ról z zakresem dzierżawy

Przypisywanie ról w kontekście rejestracji aplikacji

Przypisywanie ról z zakresem jednostki administracyjnej

Warunki wstępne

Role, które można przypisać w zakresie jednostki administracyjnej

Elementy zabezpieczeń, które można przypisać do jednostki administracyjnej

Jednostki usługi i użytkownicy-goście

Przypisywanie ról z zakresem jednostki administracyjnej

Następne kroki

Sprzężenie zwrotne

Dodatkowe źródła