Creación y asignación de un rol personalizado en Azure Active Directory

En este artículo se describe cómo crear roles personalizados en Azure Active Directory (Azure AD). Para conocer los aspectos básicos de los roles personalizados, consulte la información general sobre roles personalizados. El rol se puede asignar en el ámbito de nivel de directorio o en un ámbito de recurso del registro de aplicación únicamente.

Los roles personalizados se pueden crear en la pestaña Roles y administradores en la página de información general sobre Azure AD.

Prerrequisitos

  • Una licencia de Azure AD Premium P1 o P2
  • Administrador global o administrador de roles con privilegios
  • Módulo de AzureADPreview al usar PowerShell
  • Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API

Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

Creación de un rol en Azure Portal

Creación de un rol personalizado para conceder acceso para administrar los registros de aplicaciones

  1. Inicie sesión en Azure Portal o en el Centro de administración de Azure AD.

  2. Seleccione Azure Active Directory > Roles y administradores > Nuevo rol personalizado.

    Creación o edición de roles en la página Roles y administradores

  3. En la pestaña Aspectos básicos, proporcione un nombre y una descripción para el rol y, luego, haga clic en Siguiente.

    Proporcione un nombre y una descripción para un rol personalizado en la pestaña Aspectos básicos

  4. En la pestaña Permisos, seleccione los permisos necesarios para administrar las propiedades básicas y las propiedades de credenciales de los registros de aplicaciones. Para una descripción detallada de cada permiso, consulte Permisos y subtipos del registro de aplicaciones en Azure Active Directory.

    1. En primer lugar, escriba "credenciales" en la barra de búsqueda y seleccione el permiso microsoft.directory/applications/credentials/update.

      Selección de los permisos de un rol personalizado en la pestaña Permisos

    2. A continuación, escriba "básico" en la barra de búsqueda, seleccione el permiso microsoft.directory/applications/basic/update y, luego, haga clic en Siguiente.

  5. En la pestaña Revisar y crear, revise los detalles y seleccione Crear.

El rol personalizado se mostrará en la lista de los roles disponibles para asignar.

Creación de un rol con PowerShell

Conexión con Azure

Para la conexión con Azure Active Directory, use el siguiente comando:

Connect-AzureAD

Creación del rol personalizado

Cree un nuevo rol mediante el siguiente script de PowerShell:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
 
# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
 
# Create new custom admin role
$customAdmin = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true

Asignación del rol personalizado con PowerShell

Asigne el rol mediante el siguiente script de PowerShell:

# Get the user and role definition you want to link
$user = Get-AzureADUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-AzureADApplication -Filter "displayName eq 'f/128 Filter Photos'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId

Creación de un rol con Microsoft Graph API

  1. Cree la definición de roles.

    Solicitud HTTP para crear una definición de roles personalizados.

    POST

    https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions
    

    Body

    {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
    }
    

    Nota

    El valor "templateId": "GUID" es un parámetro opcional que se envía al cuerpo según el requisito. Si tiene un requisito para crear varios roles personalizados con parámetros comunes, es mejor crear una plantilla y definir un valor templateId. Puede generar un valor templateId de antemano mediante el cmdlet de PowerShell (New-Guid).Guid.

  2. Cree la asignación de roles.

    Solicitud HTTP para crear una definición de roles personalizados.

    POST

    https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments
    

    Body

    {
        "principalId":"<GUID OF USER>",
        "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
        "resourceScope":"/<GUID OF APPLICATION REGISTRATION>"
    }
    

Asignación de un rol personalizado con ámbito de un recurso

Al igual que los roles integrados, los roles personalizados se asignan de forma predeterminada en el ámbito predeterminado de toda la organización para conceder permisos de acceso a todos los registros de aplicaciones de la organización. Además, los roles personalizados y algunos roles integrados pertinentes (según el tipo de recurso de Azure AD) también se pueden asignar en el ámbito de un único recurso de Azure AD. Esto le permite entregar al usuario el permiso para actualizar las credenciales y las propiedades básicas de una aplicación única sin la necesidad de crear un segundo rol personalizado.

  1. Inicie sesión en Azure Portal o en el Centro de administración de Azure AD con los permisos Desarrollador de aplicaciones.

  2. Seleccione Azure Active Directory > Registros de aplicaciones.

  3. Seleccione el registro de aplicaciones al que se concede acceso para administrar. Es posible que tenga que seleccionar Todas las aplicaciones para ver la lista completa de los registros de aplicaciones de la organización de Azure AD.

    Selección del registro de aplicaciones como un ámbito de recurso para una asignación de roles

  4. En el registro de aplicaciones, seleccione Roles y administradores. Si todavía no crea uno, puede encontrar instrucciones sobre cómo hacerlo en el procedimiento anterior.

  5. Seleccione el rol para abrir la página Asignaciones.

  6. Seleccione Agregar asignación para agregar un usuario. Al usuario se le concederán permisos únicamente sobre el registro de aplicaciones seleccionado.

Pasos siguientes