Vytvoření a přiřazení vlastní role v Azure Active Directory
Tento článek popisuje, jak vytvořit nové vlastní role v Azure Active Directory (Azure AD). Základní informace o vlastních rolích najdete v přehledu vlastních rolí. Roli je možné přiřadit buď v oboru na úrovni adresáře, nebo jenom v oboru prostředku registrace aplikace.
Vlastní role můžete vytvořit na kartě Role a správci na stránce přehledu Azure AD.
Požadavky
- Azure AD Premium P1 nebo P2
- Správce privilegovaných rolí nebo globální správce
- Modul AzureADPreview při použití PowerShellu
- Souhlas správce při použití Graph exploreru pro rozhraní Api Graph Microsoftu
Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.
Vytvoření role v Azure Portal
Vytvoření nové vlastní role pro udělení přístupu ke správě registrací aplikací
Přihlaste se k Azure Portal nebo Centru pro správu Azure AD.
Vyberte Azure Active Directory > Role a správci Nová vlastní > role.
Na kartě Základy zadejte název a popis role a pak klikněte na Další.
Na kartě Oprávnění vyberte oprávnění potřebná ke správě základních vlastností a vlastností přihlašovacích údajů při registraci aplikací. Podrobný popis jednotlivých oprávnění najdete v tématu Podtypy aoprávnění registrace aplikace v Azure Active Directory .
Nejprve na panelu hledání zadejte "credentials" (přihlašovací údaje) a vyberte
microsoft.directory/applications/credentials/updateoprávnění.
Dále na panelu hledání zadejte basic, vyberte oprávnění a
microsoft.directory/applications/basic/updatepak klikněte na Další.
Na kartě Zkontrolovat a vytvořit zkontrolujte oprávnění a vyberte Vytvořit.
Vaše vlastní role se zobrazí v seznamu dostupných rolí, které chcete přiřadit.
Vytvoření role pomocí PowerShellu
Připojení k Azure
Pokud se chcete Azure Active Directory, použijte následující příkaz:
Connect-AzureAD
Vytvoření vlastní role
Vytvořte novou roli pomocí následujícího skriptu PowerShellu:
# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
# Create new custom admin role
$customAdmin = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true
Přiřazení vlastní role pomocí PowerShellu
Přiřaďte roli pomocí následujícího skriptu PowerShellu:
# Get the user and role definition you want to link
$user = Get-AzureADUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Application Support Administrator'"
# Get app registration and construct resource scope for assignment.
$appRegistration = Get-AzureADApplication -Filter "displayName eq 'f/128 Filter Photos'"
$resourceScope = '/' + $appRegistration.objectId
# Create a scoped role assignment
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId
Vytvoření role pomocí rozhraní Microsoft Graph API
Vytvořte definici role.
Požadavek HTTP na vytvoření vlastní definice role.
POST
https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitionsText
{ "description": "Can manage basic aspects of application registrations.", "displayName": "Application Support Administrator", "isEnabled": true, "templateId": "<GUID>", "rolePermissions": [ { "allowedResourceActions": [ "microsoft.directory/applications/basic/update", "microsoft.directory/applications/credentials/update" ] } ] }Poznámka
je
"templateId": "GUID"volitelný parametr, který se odesílá v těle v závislosti na požadavku. Pokud máte požadavek na vytvoření několika různých vlastních rolí se společnými parametry, je nejlepší vytvořit šablonu a definovattemplateIdhodnotu. Hodnotu můžete předemtemplateIdvygenerovat pomocí rutiny PowerShellu(New-Guid).Guid.Vytvořte přiřazení role.
Požadavek HTTP na vytvoření vlastní definice role.
POST
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentsText
{ "principalId":"<GUID OF USER>", "roleDefinitionId":"<GUID OF ROLE DEFINITION>", "resourceScope":"/<GUID OF APPLICATION REGISTRATION>" }
Přiřazení vlastní role s vymezenou oborem prostředku
Podobně jako předdefinované role jsou vlastní role ve výchozím nastavení přiřazeny ve výchozím rozsahu pro celou organizaci, aby bylo možné udělit přístupová oprávnění pro všechny registrace aplikací ve vaší organizaci. V oboru jednoho prostředku Azure AD je také možné přiřadit vlastní role a některé relevantní předdefinované role (v závislosti na typu prostředku Azure AD). To umožňuje uživateli udělit oprávnění k aktualizaci přihlašovacích údajů a základních vlastností jedné aplikace bez nutnosti vytvářet druhou vlastní roli.
Přihlaste se k centru pro Azure Portal nebo Azure AD s oprávněními pro vývojáře aplikací.
Vyberte Azure Active Directory > Registrace aplikací.
Vyberte registraci aplikace, které udělíte přístup ke správě. Možná budete muset vybrat Všechny aplikace a zobrazit úplný seznam registrací aplikací ve vaší organizaci Azure AD.
V registraci aplikace vyberte Role a správci. Pokud jste ho ještě nevytá typ vytvořili, najdete pokyny v předchozím postupu.
Výběrem role otevřete stránku Přiřazení.
Vyberte Přidat přiřazení a přidejte uživatele. Uživateli budou udělena jakákoli oprávnění pouze k vybrané registraci aplikace.
Další kroky
- Podělte se s námi na fóru správních rolí Azure AD.
- Další informace o oprávněních rolí najdete v tématu Předdefinované role Azure AD.
- Výchozí uživatelská oprávnění najdete v porovnání výchozích oprávnění uživatele hosta a člena.