Artikel ini menjelaskan cara membuat peran kustom di MICROSOFT Entra ID menggunakan pusat admin Microsoft Entra, Microsoft Graph PowerShell, atau Microsoft Graph API.
Untuk dasar-dasar peran kustom, lihat gambaran umum peran kustom . Peran dapat ditetapkan baik di cakupan tingkat direktori atau cakupan sumber daya pendaftaran aplikasi saja. Untuk informasi tentang jumlah maksimum peran kustom yang dapat dibuat di organisasi Microsoft Entra, lihat batas dan batasan layanan Microsoft Entra.
Prasyarat
Lisensi Microsoft Entra ID P1 atau P2
Administrator Peran Hak Khusus
Modul Microsoft Graph PowerShell saat menggunakan PowerShell
Persetujuan admin saat menggunakan penjelajah Graph untuk Microsoft Graph API
Langkah-langkah ini menjelaskan cara membuat peran kustom di pusat admin Microsoft Entra untuk mengelola pendaftaran aplikasi.
Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Peran Istimewa .
Telusuri Identitas>Peran & admin>Peran & admin.
Pilih Peran kustom baru.
Pada tab Dasar, berikan nama dan deskripsi untuk peran tersebut.
Anda dapat mengkloning izin garis besar dari peran kustom tetapi Anda tidak dapat mengkloning peran bawaan.
Pada tab Izin, pilih izin yang diperlukan untuk mengelola properti dasar dan kredensial dari pendaftaran aplikasi. Untuk deskripsi terperinci tentang setiap izin, lihat subjenis dan izin Pendaftaran aplikasi di ID Microsoft Entra.
Pertama, masukkan "kredensial" di bilah pencarian dan pilih izin microsoft.directory/applications/credentials/update.
Selanjutnya, masukkan "dasar" di bilah pencarian, pilih izin microsoft.directory/applications/basic/update, lalu klik Berikutnya.
Pada tab Tinjau + buat, tinjau izin dan pilih Buat.
Peran kustom Anda akan muncul dalam daftar peran yang tersedia untuk ditetapkan.
Tandatangan
Gunakan perintah Connect-MgGraph untuk masuk ke penyewa (tenant) Anda.
Buat peran baru menggunakan skrip PowerShell berikut ini:
# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$rolePermissions = @{
"allowedResourceActions" = @(
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
)
}
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
-DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true
Memperbarui peran kustom
# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
-DisplayName "Updated DisplayName"
Menghapus peran kustom
# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f
"templateId": "GUID" adalah parameter opsional yang dikirim dalam isi tergantung pada persyaratannya. Jika Anda memiliki persyaratan untuk membuat beberapa peran kustom yang berbeda dengan parameter umum, yang terbaik adalah membuat templat dan menentukan nilai templateId. Anda dapat menghasilkan nilai templateId sebelumnya dengan menggunakan cmdlet PowerShell (New-Guid).Guid.
