Egyéni szerepkör létrehozása a Microsoft Entra-azonosítóban

Cikk
01/29/2025

Ez a cikk bemutatja, hogyan hozhat létre egyéni szerepkört a Microsoft Entra-azonosítóban a Microsoft Entra felügyeleti központ, a Microsoft Graph PowerShell vagy a Microsoft Graph API használatával.

Az egyéni szerepkörök alapjaiért tekintse meg az egyéni szerepkörök áttekintését. A szerepkör a címtárszintű hatókörben vagy csak az alkalmazásregisztrációs erőforrás hatókörében rendelhető hozzá. A Microsoft Entra-szervezetben létrehozható egyéni szerepkörök maximális számáról szóló információkért lásd a Microsoft Entra szolgáltatási korlátok és megszorítások.

Előfeltételek

Microsoft Entra ID P1 vagy P2 licenc
Kiemelt szerepkör-rendszergazda
Microsoft Graph PowerShell modul a PowerShell használatakor
Rendszergazdai hozzájárulás a Graph Explorer Microsoft Graph API-hoz való használatakor

További információ: A PowerShell vagy a Graph Explorerhasználatának előfeltételei.

Egyéni szerepkör létrehozása

Ezek a lépések bemutatják, hogyan hozhat létre egyéni szerepkört a Microsoft Entra felügyeleti központban az alkalmazásregisztrációk kezeléséhez.

Jelentkezzen be a Microsoft Entra felügyeleti központba legalább kiemelt szerepkör rendszergazdaként.
Keresse meg a azonosító>szerepköröket & rendszergazdákat>szerepköröket & rendszergazdákat.
Válassza Új egyéni szerepkör.
Az Alapszintű lapon adja meg a szerepkör nevét és leírását.

Az alapkonfigurációs engedélyeket egyéni szerepkörből klónozhatja, de beépített szerepkört nem klónozhat.
Az Engedélyek lapon válassza ki az alkalmazásregisztrációk alapvető tulajdonságainak és hitelesítő adatainak kezeléséhez szükséges engedélyeket. Az egyes engedélyek részletes leírását az Alkalmazásregisztrációs altípusok és engedélyek a Microsoft Entra-azonosítócímű cikkben találja.
1. Először írja be a "hitelesítő adatokat" a keresősávba, és válassza ki a microsoft.directory/applications/credentials/update engedélyt.
2. Ezután írja be az "alapszintű" kifejezést a keresősávba, válassza ki a microsoft.directory/applications/basic/update engedélyt, majd kattintson a Továbbgombra.
A Áttekintés + létrehozás lapon tekintse át az engedélyeket, és válassza a Létrehozásopciót.

Az egyéni szerepkör megjelenik a hozzárendelni kívánt szerepkörök listájában.

A Connect-MgGraph paranccsal jelentkezzen be a felhasználói fiókjába.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Egyéni szerepkör létrehozása

Hozzon létre egy új szerepkört a következő PowerShell-szkripttel:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

Egyéni szerepkör frissítése

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

Egyéni szerepkör törlése

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

Egyéni szerepkör létrehozása

Kövesse az alábbi lépéseket:

Egyéni szerepkör létrehozásához használja az Create unifiedRoleDefinition API-t.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Test

{
    "description": "Can manage basic aspects of application registrations.",
    "displayName": "Application Support Administrator",
    "isEnabled": true,
    "templateId": "<GUID>",
    "rolePermissions": [
        {
            "allowedResourceActions": [
                "microsoft.directory/applications/basic/update",
                "microsoft.directory/applications/credentials/update"
            ]
        }
    ]
}

Jegyzet

A "templateId": "GUID" egy opcionális paraméter, amelyet a rendszer a követelménytől függően a törzsbe küld. Ha több különböző egyéni szerepkört kell létrehoznia közös paraméterekkel, a legjobb, ha létrehoz egy sablont, és definiál egy templateId értéket. Előre létrehozhat templateId értéket a PowerShell-parancsmag (New-Guid).Guidhasználatával.

Az egyéni szerepkör hozzárendeléséhez használja az Create unifiedRoleAssignment API-t.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Test

{
"principalId":"<GUID OF USER>",
"roleDefinitionId":"<GUID OF ROLE DEFINITION>",
"directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
}