Přiřazení rolí Microsoft Entra v různých oborech
V Microsoft Entra ID obvykle přiřadíte role Microsoft Entra tak, aby platily pro celého tenanta. Můžete ale také přiřadit role Microsoft Entra pro různé prostředky, jako jsou jednotky pro správu nebo registrace aplikací. Můžete například přiřadit roli helpdesku Správa istrator, aby se vztahovala pouze na konkrétní jednotku pro správu, a ne na celého tenanta. Prostředky, na které se přiřazení role vztahuje, se také označují jako obor. Tento článek popisuje, jak přiřadit role Microsoft Entra v oboru tenanta, jednotky pro správu a registrace aplikací. Další informace o oboru naleznete v tématu Přehled řízení přístupu na základě role (RBAC) v Microsoft Entra ID.
Požadavky
- Privileged Role Správa istrator.
- Sada Microsoft Graph PowerShell SDK nainstalovaná při použití PowerShellu
- Správa souhlas při používání Graph Exploreru pro rozhraní Microsoft Graph API.
Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.
Přiřazenírolích
Tato část popisuje, jak přiřadit role v oboru tenanta.
Centrum pro správu Microsoft Entra
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.
Přejděte k rolím identit>a správcům>a správcům.
Výběrem role zobrazíte její přiřazení. Pokud chcete najít požadovanou roli, použijte k filtrování rolí filtry.
Vyberte Přidat přiřazení a pak vyberte uživatele, které chcete přiřadit k této roli.
Výběrem možnosti Přidat přiřaďte roli.
PowerShell
Pomocí následujícího postupu přiřaďte role Microsoft Entra pomocí PowerShellu.
Otevřete okno PowerShellu. V případě potřeby nainstalujte Microsoft Graph PowerShell pomocí modulu Install-Module . Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.
Install-Module Microsoft.Graph -Scope CurrentUser
V okně PowerShellu se pomocí Připojení MgGraph přihlaste ke svému tenantovi.
Connect-MgGraph -Scopes "RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
K získání uživatele použijte Get-MgUser .
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
K získání role, kterou chcete přiřadit, použijte Get-MgRoleManagementDirectoryRoleDefinition .
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
Nastavte tenanta jako rozsah přiřazení role.
$directoryScope = '/'
K přiřazení role použijte New-MgRoleManagementDirectoryRoleAssignment .
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment ` -DirectoryScopeId $directoryScope -PrincipalId $user.Id ` -RoleDefinitionId $roleDefinition.Id
Microsoft Graph API
Podle těchto pokynů přiřaďte roli pomocí rozhraní Microsoft Graph API v Graph Exploreru.
K získání uživatele použijte rozhraní API pro seznam uživatelů .
GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
K získání role, kterou chcete přiřadit, použijte rozhraní API List unifiedRoleDefinitions.
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
K přiřazení role použijte rozhraní API Create unifiedRoleAssignment.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "principalId": "<provide objectId of the user obtained above>", "roleDefinitionId": "<provide templateId of the role obtained above>", "directoryScopeId": "/" }
Přiřazení rolí s vymezeným oborem k jednotce pro správu
Tato část popisuje, jak přiřadit role v oboru jednotky správy.
Centrum pro správu Microsoft Entra
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.
Přejděte k rolím identit>a správcům> Správa jednotek.
Vyberte jednotku pro správu.
V levé navigační nabídce vyberte Role a správci a zobrazte seznam všech rolí, které jsou k dispozici pro přiřazení přes jednotku pro správu.
Vyberte požadovanou roli.
Vyberte Přidat přiřazení a pak vyberte uživatele nebo skupinu, ke které chcete přiřadit tuto roli.
Výběrem možnosti Přidat přiřaďte roli vymezenou nad jednotkou pro správu.
Poznámka:
Tady se nezobrazí celý seznam předdefinovaných nebo vlastních rolí Microsoft Entra. To se očekává. Zobrazujeme role, které mají oprávnění související s objekty, které jsou podporovány v rámci jednotky pro správu. Pokud chcete zobrazit seznam objektů podporovaných v jednotce pro správu, přečtěte si Správa istrativní jednotky v Microsoft Entra ID.
PowerShell
Pomocí následujícího postupu přiřaďte role Microsoft Entra v oboru jednotek pro správu pomocí PowerShellu.
Otevřete okno PowerShellu. V případě potřeby nainstalujte Microsoft Graph PowerShell pomocí modulu Install-Module . Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.
Install-Module Microsoft.Graph -Scope CurrentUser
V okně PowerShellu se pomocí Připojení MgGraph přihlaste ke svému tenantovi.
Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
K získání uživatele použijte Get-MgUser .
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
K získání role, kterou chcete přiřadit, použijte Get-MgRoleManagementDirectoryRoleDefinition .
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition ` -Filter "displayName eq 'User Administrator'"
Pomocí příkazu Get-MgDirectory Správa istrativeUnit získejte jednotku pro správu, na kterou má být přiřazení role vymezeno.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'" $directoryScope = '/administrativeUnits/' + $adminUnit.Id
K přiřazení role použijte New-MgRoleManagementDirectoryRoleAssignment .
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment ` -DirectoryScopeId $directoryScope -PrincipalId $user.Id ` -RoleDefinitionId $roleDefinition.Id
Microsoft Graph API
Podle těchto pokynů přiřaďte roli v oboru jednotek správy pomocí rozhraní Microsoft Graph API v Graph Exploreru.
K získání uživatele použijte rozhraní API pro seznam uživatelů .
GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
K získání role, kterou chcete přiřadit, použijte rozhraní API List unifiedRoleDefinitions.
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'
Pomocí rozhraní API List administrativeUnits získejte jednotku pro správu, na kterou má být přiřazení role vymezeno.
GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
K přiřazení role použijte rozhraní API Create unifiedRoleAssignment.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "principalId": "<provide objectId of the user obtained above>", "roleDefinitionId": "<provide templateId of the role obtained above>", "directoryScopeId": "/administrativeUnits/<provide objectId of the admin unit obtained above>" }
Poznámka:
Zde je parametr directoryScopeId zadán jako /administrativeUnits/foo místo /foo. Je to záměrně. Obor /administrativeUnits/foo znamená, že objekt zabezpečení může spravovat členy jednotky správy (na základě přiřazené role), nikoli samotné správní jednotky. Rozsah /foo znamená, že objekt Instanční objekt může spravovat samotný objekt Microsoft Entra. V následující části uvidíte, že obor je /foo , protože role vymezená registrací aplikace uděluje oprávnění ke správě samotného objektu.
Přiřazení rolí s vymezeným oborem k registraci aplikace
Tato část popisuje, jak přiřadit role v oboru registrace aplikace.
Centrum pro správu Microsoft Entra
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.
Přejděte k aplikacím> identit>Registrace aplikací.
Vyberte aplikaci. K vyhledání požadované aplikace můžete použít vyhledávací pole.
V levé navigační nabídce vyberte Role a správci a zobrazte seznam všech rolí, které je možné přiřadit při registraci aplikace.
Vyberte požadovanou roli.
Vyberte Přidat přiřazení a pak vyberte uživatele nebo skupinu, ke které chcete přiřadit tuto roli.
Výběrem možnosti Přidat přiřaďte roli vymezenou při registraci aplikace.
Poznámka:
Tady se nezobrazí celý seznam předdefinovaných nebo vlastních rolí Microsoft Entra. To se očekává. Zobrazujeme role, které mají oprávnění související pouze se správou registrací aplikací.
PowerShell
Pomocí následujícího postupu přiřaďte role Microsoft Entra v oboru aplikace pomocí PowerShellu.
Otevřete okno PowerShellu. V případě potřeby nainstalujte Microsoft Graph PowerShell pomocí modulu Install-Module . Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.
Install-Module Microsoft.Graph -Scope CurrentUser
V okně PowerShellu se pomocí Připojení MgGraph přihlaste ke svému tenantovi.
Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
K získání uživatele použijte Get-MgUser .
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
K získání role, kterou chcete přiřadit, použijte Get-MgRoleManagementDirectoryRoleDefinition .
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition ` -Filter "displayName eq 'Application Administrator'"
Pomocí příkazu Get-MgApplication získejte registraci aplikace, na kterou má být přiřazení role vymezeno.
$appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'" $directoryScope = '/' + $appRegistration.Id
K přiřazení role použijte New-MgRoleManagementDirectoryRoleAssignment .
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment ` -DirectoryScopeId $directoryScope -PrincipalId $user.Id ` -RoleDefinitionId $roleDefinition.Id
Microsoft Graph API
Podle těchto pokynů přiřaďte roli v oboru aplikace pomocí rozhraní Microsoft Graph API v Graph Exploreru.
K získání uživatele použijte rozhraní API pro seznam uživatelů .
GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
K získání role, kterou chcete přiřadit, použijte rozhraní API List unifiedRoleDefinitions.
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'
Pomocí rozhraní API pro výpis aplikací získejte jednotku pro správu, na kterou má být přiřazení role vymezeno.
GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
K přiřazení role použijte rozhraní API Create unifiedRoleAssignment.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "principalId": "<provide objectId of the user obtained above>", "roleDefinitionId": "<provide templateId of the role obtained above>", "directoryScopeId": "/<provide objectId of the app registration obtained above>" }
Poznámka:
Tady je parametr directoryScopeId zadaný jako /foo, na rozdíl od výše uvedeného oddílu. Je to záměrně. Obor /foo znamená, že objekt Instanční objekt může spravovat objekt Microsoft Entra. Obor /administrativeUnits/foo znamená, že objekt zabezpečení může spravovat členy jednotky správy (na základě přiřazené role), nikoli samotné správní jednotky.