Skapa och tilldela en anpassad roll i Azure Active Directory
Den här artikeln beskriver hur du skapar nya anpassade roller i Azure Active Directory (Azure AD). Grundläggande information om anpassade roller finns i översikten över anpassade roller. Rollen kan antingen tilldelas på katalognivå eller bara i ett resursomfång för appregistrering.
Anpassade roller kan skapas på fliken Roller och administratörer på översiktssidan för Azure AD.
Förutsättningar
- Azure AD Premium P1- eller P2-licens
- Privilegierad rolladministratör eller global administratör
- AzureADPreview-modul när du använder PowerShell
- Administratörsmedgivande vid användning Graph Explorer för Microsoft Graph API
Mer information finns i Krav för att använda PowerShell eller Graph Explorer.
Skapa en roll i Azure Portal
Skapa en ny anpassad roll för att bevilja åtkomst för att hantera appregistreringar
Logga in på Azure Portal eller Azure AD-administrationscentret.
Välj Azure Active Directory > Roller och administratörer Ny anpassad > roll.
På fliken Grundläggande anger du ett namn och en beskrivning för rollen och klickar sedan på Nästa.
På fliken Behörigheter väljer du de behörigheter som krävs för att hantera grundläggande egenskaper och autentiseringsegenskaper för appregistreringar. En detaljerad beskrivning av varje behörighet finns i Undertyper och behörigheter för programregistrering i Azure Active Directory.
Ange först "autentiseringsuppgifter" i sökfältet och välj
microsoft.directory/applications/credentials/updatebehörigheten.
Ange sedan "basic" i sökfältet, välj
microsoft.directory/applications/basic/updatebehörigheten och klicka sedan på Nästa.
På fliken Granska + skapa granskar du behörigheterna och väljer Skapa.
Din anpassade roll visas i listan över tillgängliga roller att tilldela.
Skapa en roll med PowerShell
Anslut till Azure
Använd följande kommando Azure Active Directory att ansluta till en Azure Active Directory:
Connect-AzureAD
Skapa den anpassade rollen
Skapa en ny roll med följande PowerShell-skript:
# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
# Create new custom admin role
$customAdmin = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true
Tilldela den anpassade rollen med hjälp av PowerShell
Tilldela rollen med hjälp av PowerShell-skriptet nedan:
# Get the user and role definition you want to link
$user = Get-AzureADUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Application Support Administrator'"
# Get app registration and construct resource scope for assignment.
$appRegistration = Get-AzureADApplication -Filter "displayName eq 'f/128 Filter Photos'"
$resourceScope = '/' + $appRegistration.objectId
# Create a scoped role assignment
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId
Skapa en roll med Microsoft Graph API
Skapa rolldefinitionen.
HTTP-begäran för att skapa en anpassad rolldefinition.
POST
https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitionsBrödtext
{ "description": "Can manage basic aspects of application registrations.", "displayName": "Application Support Administrator", "isEnabled": true, "templateId": "<GUID>", "rolePermissions": [ { "allowedResourceActions": [ "microsoft.directory/applications/basic/update", "microsoft.directory/applications/credentials/update" ] } ] }Anteckning
är
"templateId": "GUID"en valfri parameter som skickas i brödtexten beroende på kravet. Om du har ett krav på att skapa flera olika anpassade roller med gemensamma parametrar är det bäst att skapa en mall och definiera etttemplateIdvärde. Du kan generera etttemplateIdvärde i förväg med hjälp av PowerShell-cmdleten(New-Guid).Guid.Skapa rolltilldelningen.
HTTP-begäran för att skapa en anpassad rolldefinition.
POST
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentsBrödtext
{ "principalId":"<GUID OF USER>", "roleDefinitionId":"<GUID OF ROLE DEFINITION>", "resourceScope":"/<GUID OF APPLICATION REGISTRATION>" }
Tilldela en anpassad roll som är begränsad till en resurs
Precis som inbyggda roller tilldelas anpassade roller som standard i omfånget för hela organisationen för att bevilja åtkomstbehörigheter för alla appregistreringar i din organisation. Dessutom kan anpassade roller och vissa relevanta inbyggda roller (beroende på typen av Azure AD-resurs) också tilldelas i omfånget för en enda Azure AD-resurs. På så sätt kan du ge användaren behörighet att uppdatera autentiseringsuppgifter och grundläggande egenskaper för en enskild app utan att behöva skapa en andra anpassad roll.
Logga in på Azure Portal administrationscentret för Azure AD med behörighet som programutvecklare.
Välj Azure Active Directory > Appregistreringar.
Välj den appregistrering som du beviljar åtkomst för att hantera. Du kan behöva välja Alla program för att se den fullständiga listan över appregistreringar i Azure AD-organisationen.
I appregistreringen väljer du Roller och administratörer. Om du inte redan har skapat en finns instruktioner i föregående procedur.
Välj rollen för att öppna sidan Tilldelningar.
Välj Lägg till tilldelning för att lägga till en användare. Användaren beviljas endast behörigheter för den valda appregistreringen.
Nästa steg
- Dela gärna med oss i forumet för administrativa roller i Azure AD.
- Mer information om rollbehörigheter finns i Inbyggda roller i Azure AD.
- För standardanvändarbehörigheter, se en jämförelse av standardbehörigheter för gäst- och medlemsanvändare.