Azure Active Directory'de özel rol oluşturma ve atama

Bu makalede, Azure AD'de yeni özel rollerin Azure Active Directory açıklanmıştır. Özel rollerin temelleri için bkz. özel rollere genel bakış. Rol, dizin düzeyi kapsamında veya yalnızca uygulama kaydı kaynak kapsamında atanabilir.

Özel roller, Azure AD genel bakış sayfasındaki Roller ve yöneticiler sekmesinde oluşturulabilir.

Önkoşullar

• Azure AD Premium P1 veya P2 lisansı
• Ayrıcalıklı Rol Yöneticisi veya Genel Yönetici
• PowerShell kullanırken AzureADPreview modülü
• Microsoft Graph API için Graph gezginini kullanırken yönetici onayı

Daha fazla bilgi için bkz. PowerShell veya Graph Explorer'ı kullanma önkoşulları.

Rol oluşturma Azure portal

Uygulama kayıtlarını yönetme erişimi vermek için yeni bir özel rol oluşturma

1. Azure portal veya Azure AD yönetim merkezinde oturum açma.

2. Rol Azure Active Directory > yöneticilerYeni özel > rol'ler'i seçin.

   

3. Temel sekmesinde rol için bir ad ve açıklama girin ve ardından Sonraki 'ye tıklayın.

   

4. İzinler sekmesinde, uygulama kayıtlarının temel özelliklerini ve kimlik bilgisi özelliklerini yönetmek için gereken izinleri seçin. Her iznin ayrıntılı açıklaması için bkz. uygulama kaydı alt türleri ve izinleri Azure Active Directory.

   1. İlk olarak arama çubuğuna "kimlik bilgileri" girin ve izni microsoft.directory/applications/credentials/update seçin.

      

   2. Ardından arama çubuğuna "basic" girin, izni seçin microsoft.directory/applications/basic/update ve ardından Sonraki 'ye tıklayın.

5. Gözden geçir ve oluştur sekmesinde izinleri gözden geçirerek Oluştur'a tıklayın.

Özel rolünüz atanacak kullanılabilir roller listesinde görünür.

PowerShell kullanarak rol oluşturma

Azure'a Bağlanma

Azure Active Directory bağlanmak için aşağıdaki komutu kullanın:

Connect-AzureAD

Özel rol oluşturma

Aşağıdaki PowerShell betiği kullanarak yeni bir rol oluşturun:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
 
# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
 
# Create new custom admin role
$customAdmin = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true

PowerShell kullanarak özel rol atama

Aşağıdaki PowerShell betiği kullanarak rolü attayın:

# Get the user and role definition you want to link
$user = Get-AzureADUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-AzureADApplication -Filter "displayName eq 'f/128 Filter Photos'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId

Microsoft Graph API'si ile rol oluşturma

1. Rol tanımını oluşturun.

   Özel rol tanımı oluşturmak için HTTP isteği.

   POST

   https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions
   

   Gövde

   {
      "description": "Can manage basic aspects of application registrations.",
      "displayName": "Application Support Administrator",
      "isEnabled": true,
      "templateId": "<GUID>",
      "rolePermissions": [
          {
              "allowedResourceActions": [
                  "microsoft.directory/applications/basic/update",
                  "microsoft.directory/applications/credentials/update"
              ]
          }
      ]
   }
   

   Not

   "templateId": "GUID", gereksinime bağlı olarak gövdede gönderilen isteğe bağlı bir parametredir. Ortak parametrelerle birden çok farklı özel rol oluşturma gereksiniminiz varsa, en iyisi bir şablon oluşturmak ve bir değer templateId tanımlamaktır. templateIdPowerShell cmdlet'ini kullanarak önceden bir değer (New-Guid).Guid oluşturabilirsiniz.

2. Rol ataması oluşturun.

   Özel rol tanımı oluşturmak için HTTP isteği.

   POST

   https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments
   

   Gövde

   {
       "principalId":"<GUID OF USER>",
       "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
       "resourceScope":"/<GUID OF APPLICATION REGISTRATION>"
   }
   

Kaynağa kapsamı belirli bir özel rol atama

Yerleşik roller gibi, özel roller de varsayılan olarak kuruluş genelinde varsayılan kapsamda atanır ve bu kapsamda, kuruluş genelindeki tüm uygulama kayıtlarına erişim izinleri atanır. Ayrıca, özel roller ve bazı ilgili yerleşik roller (Azure AD kaynağının türüne bağlı olarak) tek bir Azure AD kaynağı kapsamında da atanabilir. Bu, ikinci bir özel rol oluşturmak zorunda kalmadan kullanıcıya tek bir uygulamanın kimlik bilgilerini ve temel özelliklerini güncelleştirme izni vermenizi sağlar.

1. Uygulama Geliştirici izinleriyle Azure portal Azure AD yönetim merkezinde oturum açma.

2. öğesini Azure Active Directory > Uygulama kayıtları.

3. Yönetme erişimi vermekte olduğunu uygulama kaydını seçin. Azure AD kuruluşta uygulama kayıtlarının tam listesini görmek için Tüm uygulamalar'ı seçmeniz gerekir.

   

4. Uygulama kaydında Roller ve yöneticiler'i seçin. Henüz oluşturmadıysanız, yönergeler önceki yordamdadır.

5. Atamalar sayfasını açmak için rolü seçin.

6. Kullanıcı eklemek için Atama ekle'yi seçin. Kullanıcıya yalnızca seçili uygulama kaydı üzerinde tüm izinler verilmelidir.

Sonraki adımlar

• Azure AD yönetim rolleri forumunda bizimle paylaşmakta serbestsiniz.
• Rol izinleri hakkında daha fazla bilgi için bkz. Azure AD yerleşik rolleri.
• Varsayılan kullanıcı izinleri için bkz. Varsayılan konuk ve üye kullanıcı izinlerinin karşılaştırması.