Vytvoření vlastních rolí pro správu podnikových aplikací v Microsoft Entra ID

  • Článek

Tento článek vysvětluje, jak vytvořit vlastní roli s oprávněními ke správě přiřazení podnikových aplikací pro uživatele a skupiny v Microsoft Entra ID. Informace o prvcích přiřazení rolí a významu termínů, jako jsou podtyp, oprávnění a sada vlastností, najdete v přehledu vlastních rolí.

Požadavky

  • Licence Microsoft Entra ID P1 nebo P2
  • Správce privilegovaných rolí
  • Sada Microsoft Graph PowerShell SDK nainstalovaná při použití PowerShellu
  • Souhlas správce při použití nástroje Graph explorer pro Microsoft Graph API

Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

Oprávnění role podnikové aplikace

V tomto článku jsou popsána dvě oprávnění podnikových aplikací. Všechny příklady používají oprávnění k aktualizaci.

  • Pokud chcete číst přiřazení uživatelů a skupin v rozsahu, udělte oprávnění microsoft.directory/servicePrincipals/appRoleAssignedTo/read.
  • Pokud chcete spravovat přiřazení uživatelů a skupin v rozsahu, udělte oprávnění microsoft.directory/servicePrincipals/appRoleAssignedTo/update.

Když uživateli udělíte oprávnění k aktualizaci, bude moct spravovat přiřazení uživatelů a skupin k podnikovým aplikacím. Rozsah přiřazení uživatelů nebo skupin je možné udělit pro jednu aplikaci nebo udělit všem aplikacím. Pokud je udělení provedeno na úrovni celé organizace, může pověřený uživatel spravovat přiřazení pro všechny aplikace. Pokud se provádí na úrovni aplikace, může přiřaditel spravovat přiřazení pouze pro zadanou aplikaci.

Udělení oprávnění k aktualizaci se provádí ve dvou krocích:

  1. Vytvoření vlastní role s oprávněním microsoft.directory/servicePrincipals/appRoleAssignedTo/update
  2. Udělte uživatelům nebo skupinám oprávnění ke správě přiřazení uživatelů a skupin k podnikovým aplikacím. V tuto chvíli můžete nastavit rozsah na úroveň celé organizace, nebo na jednu aplikaci.

Centrum pro správu Microsoft Entra

Vytvoření nové vlastní role

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Poznámka:

Vlastní role se vytvářejí a spravují na úrovni celé organizace a jsou k dispozici jenom na stránce Přehled organizace.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Přejděte k rolím identit>a správcům>a správcům.

  3. Vyberte Možnost Nová vlastní role.

    Přidání nové vlastní role ze seznamu rolí v Microsoft Entra ID

  4. Na kartě Základy zadejte pro popis role možnost Spravovat přiřazení uživatelů a skupin a u popisu role udělte oprávnění pro správu přiřazení uživatelů a skupin a pak vyberte Další.

    Zadání názvu a popisu vlastní role

  5. Na kartě Oprávnění zadejte do vyhledávacího pole "microsoft.directory/servicePrincipals/appRoleAssignedTo/update" a zaškrtněte políčka vedle požadovaných oprávnění a pak vyberte Další.

    Přidání oprávnění k vlastní roli

  6. Na kartě Zkontrolovat a vytvořit zkontrolujte oprávnění a vyberte Vytvořit.

    Teď lze vytvořit vlastní roli

Přiřazení role uživateli pomocí Centra pro správu Microsoft Entra

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Přejděte k rolím identit>a správcům>a správcům.

  3. Vyberte roli Spravovat přiřazení uživatelů a skupin.

    Otevření Role a správci a vyhledání vlastní role

  4. Vyberte Přidat přiřazení, vyberte požadovaného uživatele a potom kliknutím na tlačítko Vybrat přidejte přiřazení role uživateli.

    Přidání přiřazení vlastní role uživateli

Tipy pro zadání

  • Pokud chcete udělit oprávnění ke správě přístupu uživatelů a skupin pro všechny podnikové aplikace pro celou organizaci, začněte od seznamu rolí pro celou organizaci a Správa istrátorů na stránce Přehled ID Microsoft Entra pro vaši organizaci.

  • Pokud chcete udělit oprávnění pro přiřazení ke správě přístupu uživatelů a skupin pro konkrétní podnikovou aplikaci, přejděte do této aplikace v ID Microsoft Entra a otevřete ji v seznamu Rolí a Správa istrators pro danou aplikaci. Vyberte novou vlastní roli a dokončete přiřazení uživatele nebo skupiny. Přiřazovaní můžou spravovat uživatele a přístup ke skupinám jenom pro konkrétní aplikaci.

  • Pokud chcete otestovat vlastní přiřazení role, přihlaste se jako přiřazený a otevřete stránku Uživatelé a skupiny aplikace a ověřte, že je povolená možnost Přidat uživatele.

    Ověření uživatelských oprávnění

PowerShell

Další podrobnosti najdete v tématu Vytvoření a přiřazení vlastní role v Microsoft Entra ID a přiřazení vlastních rolí s oborem prostředků pomocí PowerShellu.

Vytvoření vlastní role

Vytvořte novou roli pomocí následujícího skriptu PowerShellu:

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

Přiřazení vlastní role

Přiřaďte roli pomocí tohoto skriptu PowerShellu.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Microsoft Graph API

K vytvoření vlastní role použijte rozhraní API Create unifiedRoleDefinition. Další informace naleznete v tématu Vytvoření a přiřazení vlastní role v Microsoft Entra ID a Přiřazení vlastních rolí správce pomocí rozhraní Microsoft Graph API.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Přiřazení vlastní role pomocí rozhraní Microsoft Graph API

K přiřazení vlastní role použijte rozhraní API Create unifiedRoleAssignment. Přiřazení role kombinuje ID objektu zabezpečení (což může být uživatel nebo instanční objekt), ID definice role a obor prostředku Microsoft Entra. Další informace o prvech přiřazení role najdete v přehledu vlastních rolí.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Další kroky