Microsoft Entra ID'de kurumsal uygulamaları yönetmek için özel roller oluşturma

  • Makale

Bu makalede, Microsoft Entra Id'de kullanıcılar ve gruplar için kurumsal uygulama atamalarını yönetme izinlerine sahip özel bir rolün nasıl oluşturulacağı açıklanmaktadır. Rol atamalarının öğeleri ve alt tür, izin ve özellik kümesi gibi terimlerin anlamı için bkz. özel rollere genel bakış.

Önkoşullar

  • Microsoft Entra Kimlik P1 veya P2 lisansı
  • Ayrıcalıklı Rol Yöneticisi veya Genel Yönetici
  • PowerShell kullanılırken Microsoft Graph PowerShell SDK'sı yüklendi
  • Microsoft Graph API için Graph gezginini kullanırken yönetici onayı

Daha fazla bilgi için bkz . PowerShell veya Graph Explorer'ı kullanma önkoşulları.

Kurumsal uygulama rolü izinleri

Bu makalede ele alınan iki kurumsal uygulama izni vardır. Tüm örnekler güncelleştirme iznini kullanır.

  • Kapsamdaki kullanıcı ve grup atamalarını okumak için microsoft.directory/servicePrincipals/appRoleAssignedTo/read izni verin
  • Kapsamdaki kullanıcı ve grup atamalarını yönetmek için microsoft.directory/servicePrincipals/appRoleAssignedTo/update izni verin

Güncelleştirme izninin verilmesi, atanan kişinin kurumsal uygulamalara kullanıcı ve grupların atamalarını yönetebilmesini sağlar. Kullanıcı ve/veya grup atamalarının kapsamı tek bir uygulama için veya tüm uygulamalar için verilebilir. Kuruluş genelinde verilirse, atanan tüm uygulamalar için atamaları yönetebilir. Uygulama düzeyinde yapılırsa, atanan yalnızca belirtilen uygulama için atamaları yönetebilir.

Güncelleştirme izninin verilmesi iki adımda gerçekleştirilir:

  1. İzinle özel rol oluşturma microsoft.directory/servicePrincipals/appRoleAssignedTo/update
  2. Kullanıcılara veya gruplara, kurumsal uygulamalara kullanıcı ve grup atamalarını yönetme izinleri verin. Bu, kapsamı kuruluş genelinde veya tek bir uygulamaya ayarlayabileceğiniz zamandır.

Microsoft Entra yönetim merkezi

Yeni bir özel rol oluşturma

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Not

Özel roller kuruluş genelinde oluşturulur ve yönetilir ve yalnızca kuruluşun Genel Bakış sayfasından kullanılabilir.

  1. En azından Ayrıcalıklı Rol Yönetici istrator olarak Microsoft Entra yönetim merkezinde oturum açın.

  2. Kimlik>Rolleri ve yöneticiler>Rolleri ve yöneticiler'e göz atın.

  3. Yeni özel rol'e tıklayın.

    Add a new custom role from the roles list in Microsoft Entra ID

  4. Temel Bilgiler sekmesinde, rolün adı için "Kullanıcı ve grup atamalarını yönet" ve rol açıklaması için "Kullanıcı ve grup atamalarını yönetme izinleri ver" ifadesini sağlayın ve ardından İleri'yi seçin.

    Provide a name and description for the custom role

  5. İzinler sekmesinde, arama kutusuna "microsoft.directory/servicePrincipals/appRoleAssignedTo/update" yazın ve ardından istenen izinlerin yanındaki onay kutularını seçin ve ardından İleri'yi seçin.

    Add the permissions to the custom role

  6. Gözden Geçir ve oluştur sekmesinde izinleri gözden geçirin ve Oluştur'u seçin.

    Now you can create the custom role

Microsoft Entra yönetim merkezini kullanarak rolü kullanıcıya atama

  1. En azından Ayrıcalıklı Rol Yönetici istrator olarak Microsoft Entra yönetim merkezinde oturum açın.

  2. Kimlik>Rolleri ve yöneticiler>Rolleri ve yöneticiler'e göz atın.

  3. Kullanıcı ve grup atamalarını yönet rolünü seçin.

    Open Roles and Administrators and search for the custom role

  4. Atama ekle'yi seçin, istediğiniz kullanıcıyı seçin ve ardından seç'e tıklayarak kullanıcıya rol ataması ekleyin.

    Add an assignment for the custom role to the user

Ödev ipuçları

  • Kuruluş genelindeki tüm kurumsal uygulamalarda kullanıcıları ve grup erişimini yönetmek üzere atananlara izin vermek için, kuruluşunuzun Microsoft Entra Id Genel Bakış sayfasındaki kuruluş genelindeki Roller ve Yönetici istrators listesinden başlayın.

  • Belirli bir kurumsal uygulama için kullanıcıları ve grup erişimini yönetmek üzere atananlara izin vermek için Bu uygulamaya Microsoft Entra Id'de gidin ve bu uygulamanın Roller ve Yönetici istrators listesinde açın. Yeni özel rolü seçin ve kullanıcı veya grup atamasını tamamlayın. Atananlar yalnızca belirli bir uygulama için kullanıcıları ve grup erişimini yönetebilir.

  • Özel rol atamanızı test etmek için atanan olarak oturum açın ve kullanıcı ekle seçeneğinin etkinleştirildiğini doğrulamak için uygulamanın Kullanıcılar ve gruplar sayfasını açın.

    Verify the user permissions

PowerShell

Daha fazla ayrıntı için bkz . Microsoft Entra Id'de özel rol oluşturma ve atama ve PowerShell kullanarak kaynak kapsamıyla özel roller atama.

Özel rol oluşturma

Aşağıdaki PowerShell betiğini kullanarak yeni bir rol oluşturun:

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

Özel rolü atama

Bu PowerShell betiğini kullanarak rolü atayın.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Microsoft Graph API

Özel rol oluşturmak için Create unifiedRoleDefinition API'sini kullanın. Daha fazla bilgi için bkz . Microsoft Entra Id'de özel rol oluşturma ve atama ve Microsoft Graph API'sini kullanarak özel yönetici rolleri atama.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Microsoft Graph API'sini kullanarak özel rolü atama

Özel rolü atamak için UnifiedRoleAssignment API'sini oluşturun. Rol ataması bir güvenlik sorumlusu kimliğini (kullanıcı veya hizmet sorumlusu olabilir), rol tanımı kimliğini ve Microsoft Entra kaynak kapsamını birleştirir. Rol atamasının öğeleri hakkında daha fazla bilgi için bkz. özel rollere genel bakış

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Sonraki adımlar