Skapa en anpassad roll i Microsoft Entra-ID

Skapa en anpassad roll

De här stegen beskriver hur du skapar en anpassad roll i administrationscentret för Microsoft Entra för att hantera appregistreringar.

1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

2. Bläddra till Entra IDRoller & administratörer.

3. Välj Ny anpassad roll.

   

4. På fliken Grundläggande anger du ett namn och en beskrivning för rollen.

   Du kan klona baslinjebehörigheterna från en anpassad roll, men du kan inte klona en inbyggd roll.

   

5. På fliken Behörigheter väljer du de behörigheter som krävs för att hantera grundläggande egenskaper och egenskaper för autentiseringsuppgifter för appregistreringar. En detaljerad beskrivning av varje behörighet finns i undertyper och behörigheter för programregistrering i Microsoft Entra ID.

   1. Ange först "autentiseringsuppgifter" i sökfältet och välj behörigheten microsoft.directory/applications/credentials/update.

      

   2. Ange sedan "basic" i sökfältet, välj behörigheten microsoft.directory/applications/basic/update och klicka sedan på Nästa.

6. På fliken Granska + skapa granskar du behörigheterna och väljer Skapa.

   Din anpassade roll visas i listan över tillgängliga roller som ska tilldelas.

Logga in

Använd kommandot Connect-MgGraph för att logga in på din klientorganisation.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Skapa en anpassad roll

Skapa en ny roll med följande PowerShell-skript:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

Uppdatera en anpassad roll

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

Ta bort en anpassad roll

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

Skapa en anpassad roll

Följ dessa steg:

1. Använd Skapa unifiedRoleDefinition API för att skapa en anpassad roll.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Kropp

   {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
   }
   

   Obs

   "templateId": "GUID" är en valfri parameter som skickas i brödtexten beroende på kravet. Om du har ett krav på att skapa flera olika anpassade roller med vanliga parametrar är det bäst att skapa en mall och definiera ett templateId värde. Du kan generera ett templateId värde i förväg med hjälp av PowerShell-cmdleten (New-Guid).Guid.

2. Använd API:t för att skapa unifiedRoleAssignment och tilldela den anpassade rollen.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   

   Kropp

   {
   "principalId":"<GUID OF USER>",
   "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
   "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
   }