Erstellen und Zuweisen einer benutzerdefinierten Rolle in Azure Active Directory

In diesem Artikel wird beschrieben, wie Sie neue benutzerdefinierte Rollen in Azure Active Directory (Azure AD) erstellen. Weitere Informationen zu den Grundlagen benutzerdefinierter Rollen finden Sie in der Übersicht über benutzerdefinierte Rollen. Die Rolle kann entweder für den Bereich der Verzeichnisebene oder nur für den Ressourcenbereich einer App-Registrierung zugewiesen werden.

Benutzerdefinierte Rollen können auf der Übersichtsseite für Azure AD auf der Registerkarte Rollen und Administratoren erstellt werden.

Voraussetzungen

  • Eine Lizenz vom Typ Azure AD Premium P1 oder P2
  • „Administrator für privilegierte Rollen“ oder „Globaler Administrator“
  • AzureADPreview-Modul bei Verwendung von PowerShell
  • Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Erstellen einer Rolle im Azure-Portal

Erstellen einer neuen benutzerdefinierten Rolle für den Zugriff zum Verwalten von App-Registrierungen

  1. Melden Sie sich beim Azure-Portal oder Azure AD Admin Center an.

  2. Wählen Sie Azure Active Directory>Rollen und Administratoren>Neue benutzerdefinierte Rolle aus.

    Create or edit roles from the Roles and administrators page

  3. Geben Sie auf der Registerkarte Grundlagen einen Namen und eine Beschreibung für die Rolle ein, und klicken Sie dann auf Weiter.

    provide a name and description for a custom role on the Basics tab

  4. Wählen Sie auf der Registerkarte Berechtigungen die Berechtigungen aus, die zum Verwalten von grundlegenden Eigenschaften und Anmeldeinformationen für App-Registrierungen erforderlich sind. Eine ausführliche Beschreibung der einzelnen Berechtigungen finden Sie unter Anwendungsregistrierungsuntertypen und -berechtigungen in Azure Active Directory.

    1. Geben Sie zunächst „credentials“ in die Suchleiste ein, und wählen Sie die Berechtigung microsoft.directory/applications/credentials/update aus.

      Select the permissions for a custom role on the Permissions tab

    2. Dann geben Sie „basic“ in die Suchleiste ein, wählen die Berechtigung microsoft.directory/applications/basic/update aus und klicken anschließend auf Weiter.

  5. Überprüfen Sie die Berechtigungen auf der Registerkarte Überprüfen + erstellen, und wählen Sie Erstellen aus.

Die benutzerdefinierte Rolle wird in der Liste der für die Zuweisung verfügbaren Rollen angezeigt.

Erstellen einer Rolle mit PowerShell

Herstellen einer Verbindung mit Azure

Um eine Verbindung mit Azure Active Directory herzustellen, verwenden Sie das folgende Cmdlet:

Connect-AzureAD

Erstellen der benutzerdefinierten Rolle

Verwenden Sie zum Erstellen einer neuen Rolle das folgende PowerShell-Skript:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
 
# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
 
# Create new custom admin role
$customAdmin = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true

Zuweisen der benutzerdefinierten Rolle mithilfe von PowerShell

Weisen Sie die Rolle mithilfe des folgenden PowerShell-Skripts zu:

# Get the user and role definition you want to link
$user = Get-AzureADUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-AzureADApplication -Filter "displayName eq 'f/128 Filter Photos'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId

Erstellen einer Rolle mit der Microsoft Graph-API

  1. Erstellen Sie die Rollendefinition.

    HTTP-Anforderung zum Erstellen einer benutzerdefinierten Rollendefinition.

    POST

    https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
    

    Body

    {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
    }
    

    Hinweis

    Die "templateId": "GUID" ist ein optionaler Parameter, der je nach der Anforderung im Text gesendet wird. Wenn Sie mehrere verschiedene benutzerdefinierte Rollen mit allgemeinen Parametern erstellen müssen, empfiehlt es sich, eine Vorlage zu erstellen und einen templateId-Wert zu definieren. Vorher können Sie mit dem PowerShell-Cmdlet (New-Guid).Guid einen templateId-Wert generieren.

  2. Erstellen Sie die Rollenzuweisung.

    HTTP-Anforderung zum Erstellen einer benutzerdefinierten Rollendefinition.

    POST

    https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    

    Body

    {
        "principalId":"<GUID OF USER>",
        "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
        "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
    }
    

Zuweisen einer auf eine Ressource begrenzten benutzerdefinierten Rolle

Wie integrierte Rollen werden benutzerdefinierte Rollen standardmäßig im organisationsweiten Standardbereich zugewiesen, um Zugriffsberechtigungen für alle App-Registrierungen in Ihrer Organisation zu erteilen. Darüber hinaus können benutzerdefinierte Rollen und einige relevante integrierte Rollen (je nach Typ der Azure AD-Ressource) auch im Bereich einer einzelnen Azure AD-Ressource zugewiesen werden. Dadurch können Sie dem Benutzer die Berechtigung zum Aktualisieren von Anmeldeinformationen und grundlegenden Eigenschaften einer einzelnen App erteilen, ohne eine zweite benutzerdefinierte Rolle erstellen zu müssen.

  1. Melden Sie sich beim Azure-Portal oder Azure AD Admin Center mit Berechtigungen des Typs „Anwendungsentwickler“ an.

  2. Klicken Sie auf Azure Active Directory>App-Registrierungen.

  3. Wählen Sie die App-Registrierung aus, für die Sie Zugriff zum Verwalten gewähren möchten. Möglicherweise müssen Sie die Option Alle Anwendungen auswählen, um die vollständige Liste der App-Registrierungen in ihrer Azure AD-Organisation anzuzeigen.

    Select the app registration as a resource scope for a role assignment

  4. Wählen Sie in der App-Registrierung die Option Rollen und Administratoren aus. Wenn Sie noch keine erstellt haben, finden Sie Anweisungen im vorherigen Verfahren.

  5. Wählen Sie die Rolle aus, um die Seite Zuweisungen zu öffnen.

  6. Wählen Sie Zuweisung hinzufügen aus, um einen Benutzer hinzuzufügen. Dem Benutzer werden ausschließlich Berechtigungen für die ausgewählte App-Registrierung erteilt.

Nächste Schritte