Modifica

Creare e assegnare un ruolo personalizzato in Microsoft Entra ID

  • Procedure

Questo articolo descrive come creare nuovi ruoli personalizzati in Microsoft Entra ID. Per le nozioni di base sui ruoli personalizzati, vedere la panoramica dei ruoli personalizzati. Il ruolo può essere assegnato solo a livello di directory o di risorsa di registrazione dell'app.

I ruoli personalizzati possono essere creati nella pagina Ruoli e amministratori di Interfaccia di amministrazione di Microsoft Entra.

Prerequisiti

  • Licenza Microsoft Entra ID P1 o P2
  • Amministratore dei ruoli con privilegi o amministratore globale
  • Modulo Microsoft.Graph quando si usa PowerShell
  • Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Creare un ruolo nell'interfaccia di amministrazione di Microsoft Entra

Creare un nuovo ruolo personalizzato per concedere l'accesso per la gestione delle registrazioni di app

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Passare a Ruoli di identità>e ruoli amministratori e amministratori.>

  3. Selezionare + Nuovo ruolo personalizzato.

    Creare e modificare i ruoli nella pagina Ruoli e amministratori

  4. Nella scheda Generale specificare un nome e una descrizione per il ruolo e quindi fare clic su Avanti.

    Specificare un nome e una descrizione per un ruolo personalizzato nella scheda Generale

  5. Nella scheda Autorizzazioni selezionare le autorizzazioni necessarie per gestire le credenziali e le proprietà di base delle registrazioni di app. Per una descrizione dettagliata di ogni autorizzazione, vedere Sottotipi e autorizzazioni di registrazione dell'applicazione in Microsoft Entra ID.

    1. Immettere prima "credentials" nella barra di ricerca e selezionare l'autorizzazione microsoft.directory/applications/credentials/update.

      Selezionare le autorizzazioni per un ruolo personalizzato nella scheda Autorizzazioni

    2. Immettere quindi "basic" nella barra di ricerca, selezionare l'autorizzazione microsoft.directory/applications/basic/update e quindi fare clic su Avanti.

  6. Nella scheda Rivedi e crea rivedere le autorizzazioni e selezionare Crea.

    Il ruolo personalizzato sarà visualizzato nell'elenco dei ruoli disponibili da assegnare.

Creare un ruolo con PowerShell

Accedere

Usare il comando Connessione-MgGraph per accedere al tenant.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Create the custom role

Create a new role using the following PowerShell script:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})

# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

Assign the custom role using PowerShell

Assign the role using the below PowerShell script:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Creare un ruolo con l'API Microsoft Graph

Seguire questa procedura:

  1. Usare l'API Create unifiedRoleDefinition per creare un ruolo personalizzato.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

    Testo

    {
  "description": "Can manage basic aspects of application registrations.",
  "displayName": "Application Support Administrator",
  "isEnabled": true,
  "templateId": "<GUID>",
  "rolePermissions": [
      {
          "allowedResourceActions": [
              "microsoft.directory/applications/basic/update",
              "microsoft.directory/applications/credentials/update"
          ]
      }
  ]
}

    Nota

    "templateId": "GUID" è un parametro facoltativo inviato nel corpo a seconda del requisito. Se è necessario creare più ruoli personalizzati diversi con parametri comuni, è consigliabile creare un modello e definire un templateId valore. È possibile generare un templateId valore in anticipo usando il cmdlet (New-Guid).Guiddi PowerShell .

  2. Usare l'API Create unifiedRoleAssignment per assegnare il ruolo personalizzato.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

    Testo

    {
    "principalId":"<GUID OF USER>",
    "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
    "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
}

Assegnare un ruolo personalizzato con ambito a una risorsa

Analogamente ai ruoli predefiniti, i ruoli personalizzati vengono assegnati per impostazione predefinita a livello di organizzazione predefinita per concedere autorizzazioni di accesso per tutte le registrazioni di app dell'organizzazione. Inoltre, i ruoli personalizzati e alcuni ruoli predefiniti pertinenti (a seconda del tipo di risorsa Microsoft Entra) possono essere assegnati anche nell'ambito di una singola risorsa Microsoft Entra. In questo modo, è possibile concedere all'utente l'autorizzazione per aggiornare le credenziali e le proprietà di base di una singola app senza dover creare un secondo ruolo personalizzato.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Application Developer.

  2. Passare a Applicazioni> di identità>Registrazioni app.

  3. Selezionare la registrazione dell'app a cui si concede l'accesso per la gestione. Potrebbe essere necessario selezionare Tutte le applicazioni per visualizzare l'elenco completo delle registrazioni delle app nell'organizzazione Microsoft Entra.

    Selezionare la registrazione dell'app come ambito di risorsa per un'assegnazione di ruolo

  4. Nella registrazione dell'app selezionare Ruoli e amministratori. Se non è stato ancora creato un ruolo, tornare alle istruzioni nella procedura precedente.

  5. Selezionare il ruolo per aprire la pagina Assegnazioni.

  6. Selezionare Aggiungi assegnazione per aggiungere un utente. All'utente verranno assegnate tutte le autorizzazioni limitatamente alla registrazione dell'app selezionata.

Contenuti correlati