Skapa anpassade roller för att hantera företagsappar i Microsoft Entra-ID

  • Artikel

Den här artikeln beskriver hur du skapar en anpassad roll med behörighet att hantera företagsapptilldelningar för användare och grupper i Microsoft Entra-ID. Information om elementen i rolltilldelningar och innebörden av termer som undertyp, behörighet och egenskapsuppsättning finns i översikten över anpassade roller.

Förutsättningar

  • Microsoft Entra ID P1- eller P2-licens
  • Privilegierad rolladministratör eller global administratör
  • Microsoft Graph PowerShell SDK installerat när du använder PowerShell
  • Administratörsmedgivande när Graph Explorer för Microsoft Graph API används

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Rollbehörigheter för företagsappar

Det finns två behörigheter för företagsappar som beskrivs i den här artikeln. Alla exempel använder uppdateringsbehörigheten.

  • Om du vill läsa användar- och grupptilldelningarna i omfånget beviljar du behörigheten microsoft.directory/servicePrincipals/appRoleAssignedTo/read
  • Om du vill hantera användar- och grupptilldelningarna i omfånget beviljar du behörigheten microsoft.directory/servicePrincipals/appRoleAssignedTo/update

Om du beviljar uppdateringsbehörigheten kan den tilldelade personen hantera tilldelningar av användare och grupper till företagsappar. Omfånget för användar- och/eller grupptilldelningar kan beviljas för ett enda program eller beviljas för alla program. Om det beviljas på organisationsomfattande nivå kan tilldelningsmottagaren hantera tilldelningar för alla program. Om det görs på programnivå kan tilldelningsmottagaren endast hantera tilldelningar för det angivna programmet.

Du beviljar uppdateringsbehörigheten i två steg:

  1. Skapa en anpassad roll med behörighet microsoft.directory/servicePrincipals/appRoleAssignedTo/update
  2. Ge användare eller grupper behörighet att hantera användar- och grupptilldelningar till företagsappar. Det här är då du kan ange omfånget till organisationsomfattande nivå eller till ett enda program.

Microsoft Entra administrationscenter

Skapa en ny anpassad roll

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Kommentar

Anpassade roller skapas och hanteras på organisationsomfattande nivå och är endast tillgängliga från organisationens översiktssida.

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identitetsroller>och administratörsroller>och administratörer.

  3. Välj Ny anpassad roll.

    Add a new custom role from the roles list in Microsoft Entra ID

  4. På fliken Grundläggande anger du "Hantera användar- och grupptilldelningar" för namnet på rollen och "Bevilja behörigheter för att hantera användar- och grupptilldelningar" för rollbeskrivningen och väljer sedan Nästa.

    Provide a name and description for the custom role

  5. På fliken Behörigheter anger du "microsoft.directory/servicePrincipals/appRoleAssignedTo/update" i sökrutan och markerar sedan kryssrutorna bredvid önskade behörigheter och väljer sedan Nästa.

    Add the permissions to the custom role

  6. På fliken Granska + skapa granskar du behörigheterna och väljer Skapa.

    Now you can create the custom role

Tilldela rollen till en användare med hjälp av administrationscentret för Microsoft Entra

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identitetsroller>och administratörsroller>och administratörer.

  3. Välj rollen Hantera användar- och grupptilldelningar .

    Open Roles and Administrators and search for the custom role

  4. Välj Lägg till tilldelning, välj önskad användare och klicka sedan på Välj för att lägga till rolltilldelning till användaren.

    Add an assignment for the custom role to the user

Tilldelningstips

  • Om du vill bevilja behörigheter till tilldelningar för att hantera användare och gruppåtkomst för alla företagsappar i hela organisationen börjar du från listan roller och administratörer i hela organisationen på sidan Översikt över Microsoft Entra-ID för din organisation.

  • Om du vill bevilja behörigheter till tilldelningar för att hantera användare och gruppåtkomst för en specifik företagsapp går du till appen i Microsoft Entra-ID och öppnar i listan Roller och administratörer för appen. Välj den nya anpassade rollen och slutför användar- eller grupptilldelningen. Tilldelningarna kan endast hantera användare och gruppåtkomst för den specifika appen.

  • Om du vill testa din anpassade rolltilldelning loggar du in som tilldelad och öppnar sidan Användare och grupper för att kontrollera att alternativet Lägg till användare är aktiverat.

    Verify the user permissions

PowerShell

Mer information finns i Skapa och tilldela en anpassad roll i Microsoft Entra-ID och Tilldela anpassade roller med resursomfång med hjälp av PowerShell.

Skapa en anpassad roll

Skapa en ny roll med följande PowerShell-skript:

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

Tilldela den anpassade rollen

Tilldela rollen med det här PowerShell-skriptet.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Microsoft Graph API

Använd API:et Create unifiedRoleDefinition för att skapa en anpassad roll. Mer information finns i Skapa och tilldela en anpassad roll i Microsoft Entra-ID och Tilldela anpassade administratörsroller med hjälp av Microsoft Graph API.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Tilldela den anpassade rollen med hjälp av Microsoft Graph API

Använd API:et Create unifiedRoleAssignment för att tilldela den anpassade rollen. Rolltilldelningen kombinerar ett säkerhetshuvudnamns-ID (som kan vara en användare eller tjänstens huvudnamn), ett rolldefinitions-ID och ett Microsoft Entra-resursomfång. Mer information om elementen i en rolltilldelning finns i översikten över anpassade roller

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Nästa steg