Přiřazení rolí Microsoft Entra v různých oborech

V Microsoft Entra ID obvykle přiřadíte role Microsoft Entra tak, aby platily pro celého tenanta. Můžete ale také přiřadit role Microsoft Entra pro různé prostředky, jako jsou jednotky pro správu nebo registrace aplikací. Můžete například přiřadit roli helpdesku Správa istrator, aby se vztahovala pouze na konkrétní jednotku pro správu, a ne na celého tenanta. Prostředky, na které se přiřazení role vztahuje, se také označují jako obor. Tento článek popisuje, jak přiřadit role Microsoft Entra v oboru tenanta, jednotky pro správu a registrace aplikací. Další informace o oboru naleznete v tématu Přehled řízení přístupu na základě role (RBAC) v Microsoft Entra ID.

Požadavky

  • Privileged Role Správa istrator.
  • Sada Microsoft Graph PowerShell SDK nainstalovaná při použití PowerShellu
  • Správa souhlas při používání Graph Exploreru pro rozhraní Microsoft Graph API.

Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

Přiřazenírolích

Tato část popisuje, jak přiřadit role v oboru tenanta.

Centrum pro správu Microsoft Entra

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Přejděte k rolím identit>a správcům>a správcům.

    Stránka Role a správci v MICROSOFT Entra ID.

  3. Výběrem role zobrazíte její přiřazení. Pokud chcete najít požadovanou roli, použijte k filtrování rolí filtry.

  4. Vyberte Přidat přiřazení a pak vyberte uživatele, které chcete přiřadit k této roli.

    Přidání podokna přiřazení pro vybranou roli

  5. Výběrem možnosti Přidat přiřaďte roli.

PowerShell

Pomocí následujícího postupu přiřaďte role Microsoft Entra pomocí PowerShellu.

  1. Otevřete okno PowerShellu. V případě potřeby nainstalujte Microsoft Graph PowerShell pomocí modulu Install-Module . Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. V okně PowerShellu se pomocí Připojení MgGraph přihlaste ke svému tenantovi.

    Connect-MgGraph -Scopes "RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
    
  3. K získání uživatele použijte Get-MgUser .

    $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
    
  4. K získání role, kterou chcete přiřadit, použijte Get-MgRoleManagementDirectoryRoleDefinition .

    $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  5. Nastavte tenanta jako rozsah přiřazení role.

    $directoryScope = '/'
    
  6. K přiřazení role použijte New-MgRoleManagementDirectoryRoleAssignment .

    $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
       -RoleDefinitionId $roleDefinition.Id
    

Microsoft Graph API

Podle těchto pokynů přiřaďte roli pomocí rozhraní Microsoft Graph API v Graph Exploreru.

  1. Přihlaste se k Graph Exploreru.

  2. K získání uživatele použijte rozhraní API pro seznam uživatelů .

    GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
    
  3. K získání role, kterou chcete přiřadit, použijte rozhraní API List unifiedRoleDefinitions.

    GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
    
  4. K přiřazení role použijte rozhraní API Create unifiedRoleAssignment.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    {
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "principalId": "<provide objectId of the user obtained above>",
        "roleDefinitionId": "<provide templateId of the role obtained above>",
        "directoryScopeId": "/"
    }
    

Přiřazení rolí s vymezeným oborem k jednotce pro správu

Tato část popisuje, jak přiřadit role v oboru jednotky správy.

Centrum pro správu Microsoft Entra

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Přejděte k rolím identit>a správcům> Správa jednotek.

  3. Vyberte jednotku pro správu.

    Správa istrative Units in Microsoft Entra ID.

  4. V levé navigační nabídce vyberte Role a správci a zobrazte seznam všech rolí, které jsou k dispozici pro přiřazení přes jednotku pro správu.

    Nabídka Role a správci v části Jednotky pro správu v Microsoft Entra ID

  5. Vyberte požadovanou roli.

  6. Vyberte Přidat přiřazení a pak vyberte uživatele nebo skupinu, ke které chcete přiřadit tuto roli.

  7. Výběrem možnosti Přidat přiřaďte roli vymezenou nad jednotkou pro správu.

Poznámka:

Tady se nezobrazí celý seznam předdefinovaných nebo vlastních rolí Microsoft Entra. To se očekává. Zobrazujeme role, které mají oprávnění související s objekty, které jsou podporovány v rámci jednotky pro správu. Pokud chcete zobrazit seznam objektů podporovaných v jednotce pro správu, přečtěte si Správa istrativní jednotky v Microsoft Entra ID.

PowerShell

Pomocí následujícího postupu přiřaďte role Microsoft Entra v oboru jednotek pro správu pomocí PowerShellu.

  1. Otevřete okno PowerShellu. V případě potřeby nainstalujte Microsoft Graph PowerShell pomocí modulu Install-Module . Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. V okně PowerShellu se pomocí Připojení MgGraph přihlaste ke svému tenantovi.

    Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
    
  3. K získání uživatele použijte Get-MgUser .

    $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
    
  4. K získání role, kterou chcete přiřadit, použijte Get-MgRoleManagementDirectoryRoleDefinition .

    $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
       -Filter "displayName eq 'User Administrator'"
    
  5. Pomocí příkazu Get-MgDirectory Správa istrativeUnit získejte jednotku pro správu, na kterou má být přiřazení role vymezeno.

    $adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
    $directoryScope = '/administrativeUnits/' + $adminUnit.Id
    
  6. K přiřazení role použijte New-MgRoleManagementDirectoryRoleAssignment .

    $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
       -RoleDefinitionId $roleDefinition.Id
    

Microsoft Graph API

Podle těchto pokynů přiřaďte roli v oboru jednotek správy pomocí rozhraní Microsoft Graph API v Graph Exploreru.

  1. Přihlaste se k Graph Exploreru.

  2. K získání uživatele použijte rozhraní API pro seznam uživatelů .

    GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
    
  3. K získání role, kterou chcete přiřadit, použijte rozhraní API List unifiedRoleDefinitions.

    GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'
    
  4. Pomocí rozhraní API List administrativeUnits získejte jednotku pro správu, na kterou má být přiřazení role vymezeno.

    GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
    
  5. K přiřazení role použijte rozhraní API Create unifiedRoleAssignment.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    {
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "principalId": "<provide objectId of the user obtained above>",
        "roleDefinitionId": "<provide templateId of the role obtained above>",
        "directoryScopeId": "/administrativeUnits/<provide objectId of the admin unit obtained above>"
    }
    

Poznámka:

Zde je parametr directoryScopeId zadán jako /administrativeUnits/foo místo /foo. Je to záměrně. Obor /administrativeUnits/foo znamená, že objekt zabezpečení může spravovat členy jednotky správy (na základě přiřazené role), nikoli samotné správní jednotky. Rozsah /foo znamená, že objekt Instanční objekt může spravovat samotný objekt Microsoft Entra. V následující části uvidíte, že obor je /foo , protože role vymezená registrací aplikace uděluje oprávnění ke správě samotného objektu.

Přiřazení rolí s vymezeným oborem k registraci aplikace

Tato část popisuje, jak přiřadit role v oboru registrace aplikace.

Centrum pro správu Microsoft Entra

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Přejděte k aplikacím> identit>Registrace aplikací.

  3. Vyberte aplikaci. K vyhledání požadované aplikace můžete použít vyhledávací pole.

    Registrace aplikací v Microsoft Entra ID.

  4. V levé navigační nabídce vyberte Role a správci a zobrazte seznam všech rolí, které je možné přiřadit při registraci aplikace.

    Role pro registraci aplikací v Microsoft Entra ID

  5. Vyberte požadovanou roli.

  6. Vyberte Přidat přiřazení a pak vyberte uživatele nebo skupinu, ke které chcete přiřadit tuto roli.

    Přidejte přiřazení role s vymezeným oborem k registraci aplikací v MICROSOFT Entra ID.

  7. Výběrem možnosti Přidat přiřaďte roli vymezenou při registraci aplikace.

    Úspěšně bylo přidáno přiřazení role s vymezeným oborem k registracím aplikací v MICROSOFT Entra ID.

    Role přiřazená uživateli s vymezeným oborem registrace aplikace v ID Microsoft Entra.

Poznámka:

Tady se nezobrazí celý seznam předdefinovaných nebo vlastních rolí Microsoft Entra. To se očekává. Zobrazujeme role, které mají oprávnění související pouze se správou registrací aplikací.

PowerShell

Pomocí následujícího postupu přiřaďte role Microsoft Entra v oboru aplikace pomocí PowerShellu.

  1. Otevřete okno PowerShellu. V případě potřeby nainstalujte Microsoft Graph PowerShell pomocí modulu Install-Module . Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. V okně PowerShellu se pomocí Připojení MgGraph přihlaste ke svému tenantovi.

    Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
    
  3. K získání uživatele použijte Get-MgUser .

    $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
    
  4. K získání role, kterou chcete přiřadit, použijte Get-MgRoleManagementDirectoryRoleDefinition .

    $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
       -Filter "displayName eq 'Application Administrator'"
    
  5. Pomocí příkazu Get-MgApplication získejte registraci aplikace, na kterou má být přiřazení role vymezeno.

    $appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
    $directoryScope = '/' + $appRegistration.Id
    
  6. K přiřazení role použijte New-MgRoleManagementDirectoryRoleAssignment .

    $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
       -RoleDefinitionId $roleDefinition.Id 
    

Microsoft Graph API

Podle těchto pokynů přiřaďte roli v oboru aplikace pomocí rozhraní Microsoft Graph API v Graph Exploreru.

  1. Přihlaste se k Graph Exploreru.

  2. K získání uživatele použijte rozhraní API pro seznam uživatelů .

    GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
    
  3. K získání role, kterou chcete přiřadit, použijte rozhraní API List unifiedRoleDefinitions.

    GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'
    
  4. Pomocí rozhraní API pro výpis aplikací získejte jednotku pro správu, na kterou má být přiřazení role vymezeno.

    GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
    
  5. K přiřazení role použijte rozhraní API Create unifiedRoleAssignment.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    
    {
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "principalId": "<provide objectId of the user obtained above>",
        "roleDefinitionId": "<provide templateId of the role obtained above>",
        "directoryScopeId": "/<provide objectId of the app registration obtained above>"
    }
    

Poznámka:

Tady je parametr directoryScopeId zadaný jako /foo, na rozdíl od výše uvedeného oddílu. Je to záměrně. Obor /foo znamená, že objekt Instanční objekt může spravovat objekt Microsoft Entra. Obor /administrativeUnits/foo znamená, že objekt zabezpečení může spravovat členy jednotky správy (na základě přiřazené role), nikoli samotné správní jednotky.

Další kroky