Een aangepaste rol maken en toewijzen in Azure Active Directory

  • Artikel
  • 3 minuten om te lezen

In dit artikel wordt beschreven hoe u nieuwe aangepaste rollen maakt in Azure Active Directory (Azure AD). Zie overzicht van aangepaste rollen voor de basisbeginselen van aangepaste rollen. De rol kan worden toegewezen op mapniveau of alleen een resourcebereik voor app-registratie.

Aangepaste rollen kunnen worden gemaakt op het tabblad Rollen en beheerders op de overzichtspagina van Azure AD.

Vereisten

  • Azure AD Premium P1 of P2-licentie
  • Beheerder met bevoorrechte rol of globale beheerder
  • AzureADPreview-module bij het gebruik van PowerShell
  • Toestemming van de beheerder bij het gebruik Graph Explorer voor Microsoft Graph API

Zie Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

Een rol maken in de Azure Portal

Een nieuwe aangepaste rol maken om toegang te verlenen voor het beheren van app-registraties

  1. Meld u aan bij het Azure Portal of het Azure AD-beheercentrum.

  2. Selecteer Azure Active Directory > rollen en beheerders Nieuwe aangepaste > rol.

    Rollen maken of bewerken op de pagina Rollen en beheerders

  3. Geef op het tabblad Basisinformatie een naam en beschrijving op voor de rol en klik vervolgens op Volgende.

    Geef een naam en beschrijving op voor een aangepaste rol op het tabblad Basis

  4. Selecteer op het tabblad Machtigingen de machtigingen die nodig zijn om basiseigenschappen en referentie-eigenschappen van app-registraties te beheren. Zie Subtypen en machtigingen voor toepassingsregistratie in Azure Active Directory voor een gedetailleerde beschrijving van Azure Active Directory.

    1. Voer eerst 'referenties' in de zoekbalk in en selecteer de microsoft.directory/applications/credentials/update machtiging.

      De machtigingen voor een aangepaste rol selecteren op het tabblad Machtigingen

    2. Voer vervolgens 'basic' in de zoekbalk in, selecteer de microsoft.directory/applications/basic/update machtiging en klik vervolgens op Volgende.

  5. Controleer op het tabblad Beoordelen en maken de machtigingen en selecteer Maken.

Uw aangepaste rol wordt weergegeven in de lijst met beschikbare rollen die u wilt toewijzen.

Een rol maken met PowerShell

Verbinding maken met Azure

Als u verbinding wilt Azure Active Directory, gebruikt u de volgende opdracht:

Connect-AzureAD

De aangepaste rol maken

Maak een nieuwe rol met behulp van het volgende PowerShell-script:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
 
# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
 
# Create new custom admin role
$customAdmin = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true

De aangepaste rol toewijzen met behulp van PowerShell

Wijs de rol toe met behulp van het onderstaande PowerShell-script:

# Get the user and role definition you want to link
$user = Get-AzureADUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-AzureADApplication -Filter "displayName eq 'f/128 Filter Photos'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId

Een rol maken met de Microsoft Graph-API

  1. Maak de roldefinitie.

    HTTP-aanvraag voor het maken van een aangepaste roldefinitie.

    POST

    https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions

    Hoofdtekst

    {
   "description": "Can manage basic aspects of application registrations.",
   "displayName": "Application Support Administrator",
   "isEnabled": true,
   "templateId": "<GUID>",
   "rolePermissions": [
       {
           "allowedResourceActions": [
               "microsoft.directory/applications/basic/update",
               "microsoft.directory/applications/credentials/update"
           ]
       }
   ]
}

    Notitie

    De "templateId": "GUID" is een optionele parameter die in de body wordt verzonden, afhankelijk van de vereiste. Als u meerdere verschillende aangepaste rollen met algemene parameters moet maken, kunt u het beste een sjabloon maken en een waarde templateId definiëren. U kunt vooraf een templateId waarde genereren met behulp van de PowerShell-cmdlet (New-Guid).Guid .

  2. Maak de roltoewijzing.

    HTTP-aanvraag voor het maken van een aangepaste roldefinitie.

    POST

    https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments

    Hoofdtekst

    {
    "principalId":"<GUID OF USER>",
    "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
    "resourceScope":"/<GUID OF APPLICATION REGISTRATION>"
}

Een aangepaste rol toewijzen die is toegewezen aan een resource

Net als ingebouwde rollen worden aangepaste rollen standaard toegewezen binnen het bereik van de standaardorganisatie om toegangsrechten te verlenen voor alle app-registraties in uw organisatie. Daarnaast kunnen aangepaste rollen en een aantal relevante ingebouwde rollen (afhankelijk van het type Azure AD-resource) ook worden toegewezen binnen het bereik van één Azure AD-resource. Hiermee kunt u de gebruiker de machtiging geven om referenties en basiseigenschappen van één app bij te werken zonder dat u een tweede aangepaste rol moet maken.

  1. Meld u aan bij het Azure Portal of het Azure AD-beheercentrum met machtigingen voor toepassingsontwikkelaars.

  2. Selecteer Azure Active Directory > App-registraties.

  3. Selecteer de app-registratie waaraan u toegang verleent om te beheren. Mogelijk moet u Alle toepassingen selecteren om de volledige lijst met app-registraties in uw Azure AD-organisatie te zien.

    Selecteer de app-registratie als een resourcebereik voor een roltoewijzing

  4. Selecteer rollen en beheerders in de app-registratie. Als u er nog geen hebt gemaakt, vindt u de instructies in de voorgaande procedure.

  5. Selecteer de rol om de pagina Toewijzingen te openen.

  6. Selecteer Toewijzing toevoegen om een gebruiker toe te voegen. De gebruiker krijgt alleen machtigingen voor de geselecteerde app-registratie.

Volgende stappen

  • U kunt dit met ons delen op het forum voor Azure AD-beheerders.
  • Zie Ingebouwde Azure AD-rollen voor meer informatie over rolmachtigingen.
  • Zie voor standaardgebruikersmachtigingen een vergelijking van standaardgebruikersmachtigingen voor gasten en leden.