Microsoft Entra Id'de özel rol oluşturma ve atama

Makale
01/29/2024

Bu makalede, Microsoft Entra Id'de yeni özel rollerin nasıl oluşturulacağı açıklanmaktadır. Özel rollerin temelleri için bkz. özel rollere genel bakış. Rol, yalnızca dizin düzeyinde veya uygulama kaydı kaynak kapsamında atanabilir.

Özel roller, Microsoft Entra yönetim merkezinin Roller ve yöneticiler sayfasında oluşturulabilir.

Önkoşullar

Microsoft Entra Kimlik P1 veya P2 lisansı
Ayrıcalıklı Rol Yöneticisi veya Genel Yönetici
PowerShell kullanırken Microsoft.Graph modülü
Microsoft Graph API için Graph gezginini kullanırken yönetici onayı

Daha fazla bilgi için bkz . PowerShell veya Graph Explorer'ı kullanma önkoşulları.

Microsoft Entra yönetim merkezinde rol oluşturma

Uygulama kayıtlarını yönetme erişimi vermek için yeni bir özel rol oluşturma

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

En azından Ayrıcalıklı Rol Yönetici istrator olarak Microsoft Entra yönetim merkezinde oturum açın.
Kimlik>Rolleri ve yöneticiler>Rolleri ve yöneticiler'e göz atın.
Yeni özel rol'e tıklayın.
Temel Bilgiler sekmesinde rol için bir ad ve açıklama sağlayın ve İleri'ye tıklayın.
İzinler sekmesinde, uygulama kayıtlarının temel özelliklerini ve kimlik bilgisi özelliklerini yönetmek için gerekli izinleri seçin. Her iznin ayrıntılı açıklaması için bkz . Microsoft Entra Id'de uygulama kaydı alt türleri ve izinleri.
1. İlk olarak, arama çubuğuna "kimlik bilgileri" yazın ve izni seçin microsoft.directory/applications/credentials/update .
2. Ardından, arama çubuğuna "temel" yazın, izni seçin microsoft.directory/applications/basic/update ve ardından İleri'ye tıklayın.
Gözden Geçir ve oluştur sekmesinde izinleri gözden geçirin ve Oluştur'u seçin.

Özel rolünüz atanacak kullanılabilir roller listesinde gösterilir.

PowerShell kullanarak rol oluşturma

Kiracınızda oturum açmak için Bağlan-MgGraph komutunu kullanın.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Özel rolü oluşturma

Aşağıdaki PowerShell betiğini kullanarak yeni bir rol oluşturun:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
 
# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})
 
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

PowerShell kullanarak özel rol atama

Aşağıdaki PowerShell betiğini kullanarak rolü atayın:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Microsoft Graph API'siyle rol oluşturma

Özel rol oluşturmak için Create unifiedRoleDefinition API'sini kullanın.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Gövde

{
   "description": "Can manage basic aspects of application registrations.",
   "displayName": "Application Support Administrator",
   "isEnabled": true,
   "templateId": "<GUID>",
   "rolePermissions": [
       {
           "allowedResourceActions": [
               "microsoft.directory/applications/basic/update",
               "microsoft.directory/applications/credentials/update"
           ]
       }
   ]
}

Not

"templateId": "GUID", gereksinime bağlı olarak gövdeye gönderilen isteğe bağlı bir parametredir. Ortak parametrelerle birden çok farklı özel rol oluşturma gereksiniminiz varsa, en iyisi şablon oluşturmak ve bir templateId değer tanımlamaktır. PowerShell cmdlet'ini (New-Guid).Guidkullanarak önceden bir templateId değer oluşturabilirsiniz.

Özel rolü atamak için UnifiedRoleAssignment API'sini oluşturun.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Gövde

{
    "principalId":"<GUID OF USER>",
    "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
    "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
}

Kaynağa kapsamı belirlenmiş özel bir rol atama

Yerleşik roller gibi özel roller de kuruluşunuzdaki tüm uygulama kayıtları üzerinde erişim izinleri vermek için varsayılan kuruluş genelinde varsayılan kapsamda atanır. Ayrıca, özel roller ve bazı ilgili yerleşik roller (Microsoft Entra kaynağının türüne bağlı olarak) tek bir Microsoft Entra kaynağı kapsamında da atanabilir. Bu, kullanıcıya ikinci bir özel rol oluşturmak zorunda kalmadan tek bir uygulamanın kimlik bilgilerini ve temel özelliklerini güncelleştirme izni vermenizi sağlar.

Microsoft Entra yönetim merkezinde en az Bir Uygulama Geliştiricisi olarak oturum açın.
Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları.
Yönetme erişimi vermekte olduğunuz uygulama kaydını seçin. Microsoft Entra kuruluşunuzdaki uygulama kayıtlarının tam listesini görmek için Tüm uygulamalar'ı seçmeniz gerekebilir.
Uygulama kaydında Roller ve yöneticiler'i seçin. Henüz oluşturmadıysanız yönergeler önceki yordamda yer alır.
Atamalar sayfasını açmak için rolü seçin.
Kullanıcı eklemek için Atama ekle'yi seçin. Kullanıcıya yalnızca seçili uygulama kaydı üzerinde herhangi bir izin verilir.

Sonraki adımlar

Microsoft Entra yönetim rolleri forumunu bizimle paylaşmaktan çekinmeyin.
Rol izinleri hakkında daha fazla bilgi için bkz . Microsoft Entra yerleşik rolleri.
Varsayılan kullanıcı izinleri için bkz . Varsayılan konuk ve üye kullanıcı izinlerinin karşılaştırması.