Tilldela Azure AD-roller till användare

  • Artikel
  • 5 minuter för att läsa

Om du vill bevilja åtkomst till användare i Azure Active Directory (Azure AD) tilldelar du Azure AD-roller. En roll är en samling behörigheter. I den här artikeln beskrivs hur du tilldelar Azure AD-roller med hjälp Azure Portal och PowerShell.

Förutsättningar

  • Privilegierad rolladministratör eller global administratör
  • Azure AD Premium P2 licens när du använder Privileged Identity Management (PIM)
  • AzureADPreview-modul när du använder PowerShell
  • Administratörsmedgivande vid användning Graph Explorer för Microsoft Graph API

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Azure Portal

Följ dessa steg om du vill tilldela Azure AD-roller med hjälp av Azure Portal. Din upplevelse varierar beroende på om du har Azure AD Privileged Identity Management (PIM) aktiverat.

Tilldela en roll

  1. Logga in på Azure Portal eller Azure AD-administrationscentret.

  2. Välj Azure Active Directory > roller och administratörer för att se listan över alla tillgängliga roller.

    Sidan Roller och administratörer i Azure Active Directory.

  3. Välj en roll för att se dess tilldelningar.

    Använd Lägg till filter för att filtrera rollerna för att hitta den roll du behöver.

  4. Välj Lägg till tilldelningar och välj sedan de användare som du vill tilldela till den här rollen.

    Om du ser något annat än följande bild kan PIM vara aktiverat. Se nästa avsnitt.

    Fönstret Lägg till tilldelningar för den valda rollen.

  5. Välj Lägg till för att tilldela rollen.

Tilldela en roll med hjälp av PIM

Om du har aktiverat Azure AD Privileged Identity Management (PIM) har du ytterligare rolltilldelningsfunktioner. Du kan till exempel göra en användare berättigad till en roll eller ange varaktigheten. När PIM är aktiverat finns det två sätt att tilldela roller med hjälp av Azure Portal. Du kan använda sidan Roller och administratörer eller PIM-upplevelsen. Oavsett vilket använder samma PIM-tjänst.

Följ de här stegen för att tilldela roller med hjälp av sidan Roller och administratörer. Om du vill tilldela roller med hjälp av Privileged Identity Management kan du se Tilldela Azure AD-roller i Privileged Identity Management.

  1. Logga in på Azure Portal eller Azure AD-administrationscentret.

  2. Välj Azure Active Directory > roller och administratörer för att se listan över alla tillgängliga roller.

    Sidan Roller och administratörer i Azure Active Directory när PIM är aktiverat.

  3. Välj en roll för att se dess berättigade, aktiva och utgångna rolltilldelningar.

    Använd Lägg till filter för att filtrera rollerna för att hitta den roll du behöver.

  4. Välj Lägg till tilldelningar.

  5. Välj Ingen medlem har valts och välj sedan de användare som du vill tilldela till den här rollen.

    Sidan Lägg till tilldelningar och välj ett medlemsfönster med PIM aktiverat.

  6. Välj Nästa.

  7. På fliken Inställning väljer du om du vill göra rolltilldelningen berättigad eller aktiv.

    En berättigad rolltilldelning innebär att användaren måste utföra en eller flera åtgärder för att använda rollen. En aktiv rolltilldelning innebär att användaren inte behöver utföra någon åtgärd för att använda rollen. Mer information om vad de här inställningarna innebär finns i PIM-terminologin.

    Lägg till sidan Tilldelningar och fliken Inställning med PIM aktiverat.

  8. Använd de återstående alternativen för att ange varaktigheten för tilldelningen.

  9. Välj Tilldela för att tilldela rollen.

PowerShell

Följ de här stegen för att tilldela Azure AD-roller med hjälp av PowerShell.

Installation

  1. Öppna ett PowerShell-fönster och använd Import-Module för att importera AzureADPreview-modulen. Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

    Import-Module -Name AzureADPreview -Force

  2. I ett PowerShell-fönster använder du Anslut-AzureAD för att logga in på din klientorganisation.

    Connect-AzureAD

  3. Använd Get-AzureADUser för att hämta den användare som du vill tilldela en roll till.

    $user = Get-AzureADUser -Filter "userPrincipalName eq 'user@contoso.com'"

Tilldela en roll

  1. Använd Get-AzureADMSRoleDefinition för att hämta den roll som du vill tilldela.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"

  2. Använd New-AzureADMSRoleAssignment för att tilldela rollen.

    $roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId

Tilldela en roll som berättigad med hjälp av PIM

Om PIM är aktiverat har du ytterligare funktioner, till exempel att göra en användare berättigad till en rolltilldelning eller definiera start- och sluttid för en rolltilldelning. De här funktionerna använder en annan uppsättning PowerShell-kommandon. Mer information om hur du använder PowerShell och PIM finns i PowerShell för Azure AD-roller i Privileged Identity Management.

  1. Använd Get-AzureADMSRoleDefinition för att hämta den roll som du vill tilldela.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"

  2. Använd Get-AzureADMSPrivilegedResource för att hämta den privilegierade resursen. I det här fallet din klientorganisation.

    $aadTenant = Get-AzureADMSPrivilegedResource -ProviderId aadRoles

  3. Använd New-Object för att skapa ett AzureADMSPrivilegedSchedule nytt objekt för att definiera start- och sluttiden för rolltilldelningen.

    $schedule = New-Object Microsoft.Open.MSGraph.Model.AzureADMSPrivilegedSchedule
$schedule.Type = "Once"
$schedule.StartDateTime = (Get-Date).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ss.fffZ")
$schedule.EndDateTime = "2021-07-25T20:00:00.000Z"

  4. Använd Open-AzureADMSPrivilegedRoleAssignmentRequest för att tilldela rollen som berättigad.

    $roleAssignmentEligible = Open-AzureADMSPrivilegedRoleAssignmentRequest -ProviderId 'aadRoles' -ResourceId $aadTenant.Id -RoleDefinitionId $roleDefinition.Id -SubjectId $user.objectId -Type 'AdminAdd' -AssignmentState 'Eligible' -schedule $schedule -reason "Review billing info"

Microsoft Graph API

Följ de här anvisningarna för att tilldela en roll med hjälp av Microsoft Graph-API:et i Graph Explorer.

Tilldela en roll

I det här exemplet tilldelas ett säkerhetsobjekt med objectID f8ca5a85-489a-49a0-b555-0a6d81e56f0d rollen Faktureringsadministratör (rolldefinitions-ID b0f54661-2d74-4c50-afa3-1ec803f12efe ) i klientorganisationsomfånget. Om du vill se en lista över oföränderliga rollmall-ID:er för alla inbyggda roller kan du gå till Inbyggda roller i Azure AD.

  1. Logga in på Graph Explorer.
  2. Välj POST som HTTP-metod i listrutan.
  3. Välj DEN API-version som ska betas.
  4. Använd API:et roleAssignments för att tilldela roller. Lägg till följande information i URL:en och begärandetexten och välj Kör fråga.
POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments
Content-type: application/json

{ 
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

Tilldela en roll med hjälp av PIM

I det här exemplet tilldelas ett säkerhetsobjekt med objectID en tidsbunden berättigad rolltilldelning till faktureringsadministratör f8ca5a85-489a-49a0-b555-0a6d81e56f0d (rolldefinitions-ID b0f54661-2d74-4c50-afa3-1ec803f12efe ) i 180 dagar.

  1. Logga in på Graph Explorer.
  2. Välj POST som HTTP-metod i listrutan.
  3. Välj DEN API-version som ska betas.
  4. Lägg till följande information i URL:en och begärandetexten och välj Kör fråga.
POST https://graph.microsoft.com/beta/rolemanagement/directory/roleEligibilityScheduleRequests

Content-type: application/json

{
    "action": "AdminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT180D"
        }
    }
}

I följande exempel tilldelas ett säkerhetsobjekt en permanent berättigad rolltilldelning till faktureringsadministratören.

POST https://graph.microsoft.com/beta/rolemanagement/directory/roleEligibilityScheduleRequests

Content-type: application/json

{
    "action": "AdminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "NoExpiration"
        }
    }
}

Använd följande API för att aktivera rolltilldelningen.

POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests

Content-type: application/json

{
    "action": "SelfActivate",
    "justification": "activating role assignment for admin privileges",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
}

Nästa steg