Microsoft Entra-szerepkörök hozzárendelése különböző hatókörökhöz
A Microsoft Entra ID-ban általában Microsoft Entra-szerepköröket rendel hozzá, hogy azok a teljes bérlőre vonatkozzanak. Microsoft Entra-szerepköröket azonban különböző erőforrásokhoz, például felügyeleti egységekhez vagy alkalmazásregisztrációkhoz is hozzárendelhet. Hozzárendelheti például a Segélyszolgálat Rendszergazda istrator szerepkört, hogy az csak egy adott felügyeleti egységre vonatkozjon, és ne a teljes bérlőre. A szerepkör-hozzárendelés által érintett erőforrásokat hatókörnek is nevezik. Ez a cikk bemutatja, hogyan rendelhet hozzá Microsoft Entra-szerepköröket a bérlői, a felügyeleti egységhez és az alkalmazásregisztrációs hatókörökhöz. A hatókörről további információt a Microsoft Entra ID szerepköralapú hozzáférés-vezérlésének (RBAC) áttekintésében talál.
Előfeltételek
- Privileged Role Rendszergazda istrator.
- A PowerShell használatakor telepített Microsoft Graph PowerShell SDK.
- Rendszergazda hozzájárulást a Graph Explorer Microsoft Graph API-hoz való használatakor.
További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.
Hatókörrel rendelkező szerepkörök hozzárendelése a bérlőhöz
Ez a szakasz a szerepkörök bérlői hatókörben való hozzárendelését ismerteti.
Microsoft Entra felügyeleti központ
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
Keresse meg az Identitásszerepkörök>> Rendszergazdai>szerepkörök > rendszergazdai szerepköröket.
Válasszon ki egy szerepkört a hozzárendeléseinek megtekintéséhez. A szükséges szerepkör megtalálásához a Szűrők hozzáadása funkcióval szűrheti a szerepköröket.
Válassza a Hozzárendelések hozzáadása lehetőséget, majd válassza ki a szerepkörhöz hozzárendelni kívánt felhasználókat.
Válassza a Hozzáadás lehetőséget a szerepkör hozzárendeléséhez.
PowerShell
Kövesse az alábbi lépéseket a Microsoft Entra-szerepkörök PowerShell-lel való hozzárendeléséhez.
Indítson el egy PowerShell-ablakot. Ha szükséges, az Install-Module használatával telepítse a Microsoft Graph PowerShellt. További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.
Install-Module Microsoft.Graph -Scope CurrentUserPowerShell-ablakban Csatlakozás-MgGraph használatával jelentkezzen be a bérlőbe.
Connect-MgGraph -Scopes "RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"A Get-MgUser használatával kérje le a felhasználót.
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"A Get-MgRoleManagementDirectoryRoleDefinition használatával szerezze be a hozzárendelni kívánt szerepkört.
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"Bérlő beállítása szerepkör-hozzárendelés hatóköreként.
$directoryScope = '/'A Szerepkör hozzárendeléséhez használja a New-MgRoleManagementDirectoryRoleAssignment parancsot.
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment ` -DirectoryScopeId $directoryScope -PrincipalId $user.Id ` -RoleDefinitionId $roleDefinition.Id
Microsoft Graph API
Az alábbi utasításokat követve rendelhet hozzá szerepkört a Microsoft Graph API-val a Graph Explorerben.
Jelentkezzen be a Graph Explorerbe.
A Felhasználók listázása API használatával kérje le a felhasználót.
GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'A hozzárendelni kívánt szerepkör lekéréséhez használja a List unifiedRoleDefinitions API-t.
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'A szerepkör hozzárendeléséhez használja a Create unifiedRoleAssignment API-t.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "principalId": "<provide objectId of the user obtained above>", "roleDefinitionId": "<provide templateId of the role obtained above>", "directoryScopeId": "/" }
Hatókörrel rendelkező szerepkörök hozzárendelése felügyeleti egységhez
Ez a szakasz azt ismerteti, hogyan rendelhet hozzá szerepköröket egy felügyeleti egység hatókörébe.
Microsoft Entra felügyeleti központ
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
Keresse meg az Identitásszerepkörök>> rendszergazdák> Rendszergazda egységeket.
Válasszon egy felügyeleti egységet.
A bal oldali navigációs menüben válassza a Szerepkörök és rendszergazdák lehetőséget a felügyeleti egységen keresztül hozzárendelhető szerepkörök listájának megtekintéséhez.
Válassza ki a kívánt szerepkört.
Válassza a Hozzárendelések hozzáadása lehetőséget, majd válassza ki a szerepkörhöz hozzárendelni kívánt felhasználókat vagy csoportokat.
Válassza a Hozzáadás lehetőséget a felügyeleti egység hatókörébe tartozó szerepkör hozzárendeléséhez.
Feljegyzés
Itt nem jelenik meg a Microsoft Entra beépített vagy egyéni szerepköreinek teljes listája. Ez várható. A felügyeleti egységben támogatott objektumokhoz kapcsolódó engedélyekkel rendelkező szerepköröket mutatjuk be. A felügyeleti egységben támogatott objektumok listájának megtekintéséhez tekintse meg a Microsoft Entra ID Rendszergazda istrative egységeit.
PowerShell
Az alábbi lépéseket követve Rendeljen hozzá Microsoft Entra-szerepköröket a felügyeleti egység hatóköréhez a PowerShell használatával.
Indítson el egy PowerShell-ablakot. Ha szükséges, az Install-Module használatával telepítse a Microsoft Graph PowerShellt. További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.
Install-Module Microsoft.Graph -Scope CurrentUserPowerShell-ablakban Csatlakozás-MgGraph használatával jelentkezzen be a bérlőbe.
Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"A Get-MgUser használatával kérje le a felhasználót.
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"A Get-MgRoleManagementDirectoryRoleDefinition használatával szerezze be a hozzárendelni kívánt szerepkört.
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition ` -Filter "displayName eq 'User Administrator'"A Get-MgDirectory Rendszergazda istrativeUnit használatával lekérheti azt a felügyeleti egységet, amelyhez hatókörbe szeretné helyezni a szerepkör-hozzárendelést.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'" $directoryScope = '/administrativeUnits/' + $adminUnit.IdA Szerepkör hozzárendeléséhez használja a New-MgRoleManagementDirectoryRoleAssignment parancsot.
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment ` -DirectoryScopeId $directoryScope -PrincipalId $user.Id ` -RoleDefinitionId $roleDefinition.Id
Microsoft Graph API
Az alábbi utasításokat követve szerepkört rendelhet a felügyeleti egység hatóköréhez a Microsoft Graph API használatával a Graph Explorerben.
Jelentkezzen be a Graph Explorerbe.
A Felhasználók listázása API használatával kérje le a felhasználót.
GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'A hozzárendelni kívánt szerepkör lekéréséhez használja a List unifiedRoleDefinitions API-t.
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'A List administrativeUnits API-val lekérheti azt a felügyeleti egységet, amelyhez a szerepkör-hozzárendelés hatókörét szeretné hozzárendelni.
GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'A szerepkör hozzárendeléséhez használja a Create unifiedRoleAssignment API-t.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "principalId": "<provide objectId of the user obtained above>", "roleDefinitionId": "<provide templateId of the role obtained above>", "directoryScopeId": "/administrativeUnits/<provide objectId of the admin unit obtained above>" }
Feljegyzés
Itt a directoryScopeId /administrativeUnits/foo néven van megadva a /foo helyett. Ez a terv. A hatókör /administrativeUnits/foo azt jelenti, hogy a tag kezelheti a felügyeleti egység tagjait (a hozzárendelt szerepkör alapján), nem magát a felügyeleti egységet. A /foo hatóköre azt jelenti, hogy az egyszerű felhasználó kezelheti magát a Microsoft Entra-objektumot. A következő szakaszban látni fogja, hogy a hatókör /foo , mert egy alkalmazásregisztráción keresztül hatókörbe tartozó szerepkör jogosultságot biztosít magának az objektumnak a kezelésére.
Hatókörrel rendelkező szerepkörök hozzárendelése alkalmazásregisztrációhoz
Ez a szakasz azt ismerteti, hogyan rendelhet hozzá szerepköröket egy alkalmazásregisztrációs hatókörhöz.
Microsoft Entra felügyeleti központ
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.
Válasszon ki egy alkalmazást. A keresőmezővel megkeresheti a kívánt alkalmazást.
A bal oldali navigációs menüben válassza a Szerepkörök és rendszergazdák lehetőséget az alkalmazásregisztráción keresztül hozzárendelni kívánt szerepkörök listájának megtekintéséhez.
Válassza ki a kívánt szerepkört.
Válassza a Hozzárendelések hozzáadása lehetőséget, majd válassza ki a szerepkörhöz hozzárendelni kívánt felhasználókat vagy csoportokat.
Válassza a Hozzáadás lehetőséget az alkalmazásregisztráció hatókörébe tartozó szerepkör hozzárendeléséhez.
Feljegyzés
Itt nem jelenik meg a Microsoft Entra beépített vagy egyéni szerepköreinek teljes listája. Ez várható. Csak az alkalmazásregisztrációk kezeléséhez kapcsolódó engedélyekkel rendelkező szerepköröket mutatjuk be.
PowerShell
Az alábbi lépéseket követve Rendeljen hozzá Microsoft Entra-szerepköröket az alkalmazás hatóköréhez a PowerShell használatával.
Indítson el egy PowerShell-ablakot. Ha szükséges, az Install-Module használatával telepítse a Microsoft Graph PowerShellt. További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.
Install-Module Microsoft.Graph -Scope CurrentUserPowerShell-ablakban Csatlakozás-MgGraph használatával jelentkezzen be a bérlőbe.
Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"A Get-MgUser használatával kérje le a felhasználót.
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"A Get-MgRoleManagementDirectoryRoleDefinition használatával szerezze be a hozzárendelni kívánt szerepkört.
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition ` -Filter "displayName eq 'Application Administrator'"A Get-MgApplication használatával lekérheti azt az alkalmazásregisztrációt , amelyhez a szerepkör-hozzárendelés hatókörét szeretné hozzárendelni.
$appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'" $directoryScope = '/' + $appRegistration.IdA Szerepkör hozzárendeléséhez használja a New-MgRoleManagementDirectoryRoleAssignment parancsot.
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment ` -DirectoryScopeId $directoryScope -PrincipalId $user.Id ` -RoleDefinitionId $roleDefinition.Id
Microsoft Graph API
Az alábbi utasításokat követve rendelhet hozzá egy szerepkört az alkalmazás hatóköréhez a Microsoft Graph API használatával a Graph Explorerben.
Jelentkezzen be a Graph Explorerbe.
A Felhasználók listázása API használatával kérje le a felhasználót.
GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'A hozzárendelni kívánt szerepkör lekéréséhez használja a List unifiedRoleDefinitions API-t.
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'A List applications API használatával lekérheti azt a felügyeleti egységet, amelyhez a szerepkör-hozzárendelés hatókörét szeretné hozzárendelni.
GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'A szerepkör hozzárendeléséhez használja a Create unifiedRoleAssignment API-t.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "principalId": "<provide objectId of the user obtained above>", "roleDefinitionId": "<provide templateId of the role obtained above>", "directoryScopeId": "/<provide objectId of the app registration obtained above>" }
Feljegyzés
Itt a directoryScopeId a fenti szakasztól eltérően /foo néven van megadva. Ez a terv. A /foo hatóköre azt jelenti, hogy az egyszerű felhasználó kezelheti a Microsoft Entra-objektumot. A hatókör /administrativeUnits/foo azt jelenti, hogy a tag kezelheti a felügyeleti egység tagjait (a hozzárendelt szerepkör alapján), nem magát a felügyeleti egységet.