Erstellen von benutzerdefinierten Rollen zum Verwalten von Unternehmens-Apps in Microsoft Entra ID

  • Artikel

In diesem Artikel wird erläutert, wie Sie eine benutzerdefinierte Rolle mit Berechtigungen zum Verwalten von Unternehmens-App-Zuweisungen für Benutzer*innen und Gruppen in Microsoft Entra ID erstellen. Erläuterungen der Elemente von Rollenzuweisungen und der Bedeutung von Begriffen wie Untertyp, Berechtigung und Eigenschaftensatz finden Sie in der Übersicht über benutzerdefinierte Rollen.

Voraussetzungen

  • P1- oder P2-Lizenz für Microsoft Entra ID
  • „Administrator für privilegierte Rollen“ oder „Globaler Administrator“
  • Installiertes Microsoft Graph PowerShell-SDK bei Verwendung von PowerShell
  • Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Rollenberechtigungen für Unternehmens-Apps

In diesem Artikel werden zwei Berechtigungen für Unternehmens-Apps erörtert. In allen Beispielen wird die Berechtigung zum Aktualisieren („update“) verwendet.

  • Zum Lesen der Benutzer- und Gruppenzuweisungen im Bereich erteilen Sie die Berechtigung microsoft.directory/servicePrincipals/appRoleAssignedTo/read.
  • Zum Verwalten der Benutzer- und Gruppenzuweisungen im Bereich erteilen Sie die Berechtigung microsoft.directory/servicePrincipals/appRoleAssignedTo/update.

Das Erteilen der Berechtigung zum Aktualisieren führt dazu, dass die zugewiesene Person Zuweisungen von Benutzern und Gruppen zu Unternehmens-Apps verwalten kann. Der Bereich von Benutzer- und/oder Gruppenzuweisungen kann für eine einzelne Anwendung oder für alle Anwendungen erteilt werden. Wenn die Erteilung auf organisationsweiter Ebene erfolgt, kann die zugewiesene Person Zuweisungen für alle Anwendungen verwalten. Wenn die Erteilung auf Anwendungsebene erfolgt, kann die zugewiesene Person nur Zuweisungen für die angegebene Anwendung verwalten.

Das Erteilen der Berechtigung zum Aktualisieren erfolgt in zwei Schritten:

  1. Erstellen einer benutzerdefinierten Rolle mit der Berechtigung microsoft.directory/servicePrincipals/appRoleAssignedTo/update
  2. Erteilen von Berechtigungen für Benutzer oder Gruppen zum Verwalten von Benutzer- und Gruppenzuweisungen für Unternehmens-Apps: Dabei können Sie den Bereich auf die organisationsweite Ebene oder auf eine einzelne Anwendung festlegen.

Microsoft Entra Admin Center

Erstellen einer neuen benutzerdefinierten Rolle

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Hinweis

Benutzerdefinierte Rollen werden auf Organisationsebene erstellt und verwaltet und sind nur auf der Seite „Übersicht“ der Organisation verfügbar.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Browsen Sie zu Identität>Rollen und Administratoren>Rollen und Administratoren.

  3. Wählen Sie Neue benutzerdefinierte Rolle aus.

    Add a new custom role from the roles list in Microsoft Entra ID

  4. Geben Sie auf der Registerkarte Grundeinstellungen im Feld „Name“ für die Rolle die Bezeichnung „Benutzer- und Gruppenzuweisungen verwalten“ und im Feld „Beschreibung“ den Text „Berechtigungen zum Verwalten von Benutzer- und Gruppenzuweisungen erteilen“ ein, und wählen Sie dann Weiter aus.

    Provide a name and description for the custom role

  5. Geben Sie auf der Registerkarte Berechtigungen im Suchfeld die Zeichenfolge „microsoft.directory/servicePrincipals/appRoleAssignedTo/update“ ein. Aktivieren Sie dann die Kontrollkästchen neben den gewünschten Berechtigungen, und wählen Sie anschließend Weiter aus.

    Add the permissions to the custom role

  6. Überprüfen Sie die Berechtigungen auf der Registerkarte Überprüfen + erstellen, und wählen Sie Erstellen aus.

    Now you can create the custom role

Zuweisen der Rolle zu einem Benutzer oder einer Benutzerin über das Microsoft Entra Admin Center

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Browsen Sie zu Identität>Rollen und Administratoren>Rollen und Administratoren.

  3. Wählen Sie die Rolle Benutzer- und Gruppenzuweisungen verwalten aus.

    Open Roles and Administrators and search for the custom role

  4. Wählen Sie Zuweisung hinzufügen aus, wählen Sie den gewünschten Benutzer aus, und klicken Sie dann auf Auswählen, um dem Benutzer eine Rollenzuweisung hinzuzufügen.

    Add an assignment for the custom role to the user

Zuweisungstipps

  • Wenn Sie zugewiesenen Personen Berechtigungen zum Verwalten des Benutzer- und Gruppenzugriffs für alle organisationsweiten Unternehmens-Apps erteilen möchten, beginnen Sie in Microsoft Entra ID mit der organisationsweiten Liste Rollen und Administratoren auf der Seite Übersicht für Ihre Organisation.

  • Wenn Sie zugewiesenen Personen Berechtigungen zum Verwalten des Benutzer- und Gruppenzugriffs für eine bestimmte Unternehmens-App erteilen möchten, navigieren Sie in Microsoft Entra ID zu dieser App, und öffnen Sie die Liste Rollen und Administratoren für diese App. Wählen Sie die neue benutzerdefinierte Rolle aus, und schließen Sie die Benutzer- oder Gruppenzuweisung ab. Die zugewiesenen Personen können den Benutzer- und Gruppenzugriff nur für diese bestimmte App verwalten.

  • Wenn Sie Ihre benutzerdefinierte Rollenzuweisung testen möchten, melden Sie sich als die zugewiesene Person an, und öffnen Sie die Seite Benutzer und Gruppen einer Anwendung, um zu überprüfen, ob die Option Benutzer hinzufügen aktiviert ist.

    Verify the user permissions

PowerShell

Ausführliche Informationen finden Sie unter Erstellen und Zuweisen einer benutzerdefinierten Rolle in Microsoft Entra ID und Zuweisen benutzerdefinierter Rollen mit Ressourcengeltungsbereich unter Verwendung von PowerShell.

Erstellen einer benutzerdefinierten Rolle

Verwenden Sie zum Erstellen einer neuen Rolle das folgende PowerShell-Skript:

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

Zuweisen der benutzerdefinierten Rolle

Weisen Sie die Rolle mithilfe des folgenden PowerShell-Skripts zu.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Microsoft Graph-API

Verwenden Sie die API unifiedRoleDefinition erstellen, um eine benutzerdefinierte Rolle zu erstellen. Weitere Informationen finden Sie unter Erstellen und Zuweisen einer benutzerdefinierten Rolle in Microsoft Entra ID und Zuweisen von benutzerdefinierten Administratorrollen mithilfe der Microsoft Graph-API.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Zuweisen der benutzerdefinierten Rolle mithilfe der Microsoft Graph-API

Verwenden Sie die API unifiedRoleAssignment erstellen, um die benutzerdefinierte Rolle zuzuweisen. Die Rollenzuweisung kombiniert eine Sicherheitsprinzipal-ID (ein/e Benutzer*in oder ein Dienstprinzipal), eine Rollendefinitions-ID und einen Microsoft Entra-Ressourcenbereich. Weitere Informationen zu den Elementen einer Rollenzuweisung finden Sie in der Übersicht über benutzerdefinierte Rollen.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Nächste Schritte