Erstellen und Zuweisen einer benutzerdefinierten Rolle in Microsoft Entra ID

In diesem Artikel wird beschrieben, wie Sie neue benutzerdefinierte Rollen in Microsoft Entra ID erstellen. Weitere Informationen zu den Grundlagen benutzerdefinierter Rollen finden Sie in der Übersicht über benutzerdefinierte Rollen. Die Rolle kann entweder für den Bereich der Verzeichnisebene oder nur für den Ressourcenbereich einer App-Registrierung zugewiesen werden.

Benutzerdefinierte Rollen können im Microsoft Entra Admin Center auf der Seite Rollen und Administratoren erstellt werden.

Voraussetzungen

  • P1- oder P2-Lizenz für Microsoft Entra ID
  • Administrator für privilegierte Rollen
  • Microsoft. Graph-Modul bei Verwendung von PowerShell
  • Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Erstellen einer Rolle im Microsoft Entra Admin Center

Erstellen einer neuen benutzerdefinierten Rolle für den Zugriff zum Verwalten von App-Registrierungen

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Browsen Sie zu Identität>Rollen und Administratoren>Rollen und Administratoren.

  3. Wählen Sie Neue benutzerdefinierte Rolle aus.

    Erstellen oder Bearbeiten von Rollen auf der Seite „Rollen und Administratoren“

  4. Geben Sie auf der Registerkarte Grundlagen einen Namen und eine Beschreibung für die Rolle ein.

    Sie können die Baselineberechtigungen aus einer benutzerdefinierten Rolle, aber keine integrierten Rollen klonen.

    Angeben eines Namens und einer Beschreibung für eine benutzerdefinierte Rolle auf der Registerkarte „Grundlagen“

  5. Wählen Sie auf der Registerkarte Berechtigungen die Berechtigungen aus, die zum Verwalten von grundlegenden Eigenschaften und Anmeldeinformationen für App-Registrierungen erforderlich sind. Eine ausführliche Beschreibung der einzelnen Berechtigungen finden Sie unter Anwendungsregistrierungsuntertypen und -berechtigungen in Microsoft Entra ID.

    1. Geben Sie zunächst „credentials“ in die Suchleiste ein, und wählen Sie die Berechtigung microsoft.directory/applications/credentials/update aus.

      Auswählen der Berechtigungen für eine benutzerdefinierte Rolle auf der Registerkarte „Berechtigungen“

    2. Dann geben Sie „basic“ in die Suchleiste ein, wählen die Berechtigung microsoft.directory/applications/basic/update aus und klicken anschließend auf Weiter.

  6. Überprüfen Sie die Berechtigungen auf der Registerkarte Überprüfen + erstellen, und wählen Sie Erstellen aus.

    Die benutzerdefinierte Rolle wird in der Liste der für die Zuweisung verfügbaren Rollen angezeigt.

Erstellen einer Rolle mit PowerShell

Anmelden

Verwenden Sie den Befehl Connect-MgGraph, um sich bei Ihrem Mandanten anzumelden.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Create the custom role

Create a new role using the following PowerShell script:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})

# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

Assign the custom role using PowerShell

Assign the role using the below PowerShell script:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'user@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'MyApp1'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Erstellen einer Rolle mit der Microsoft Graph-API

Führen Sie folgende Schritte aus:

  1. Verwenden Sie die API unifiedRoleDefinition erstellen, um eine benutzerdefinierte Rolle zu erstellen.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
    

    Body

    {
      "description": "Can manage basic aspects of application registrations.",
      "displayName": "Application Support Administrator",
      "isEnabled": true,
      "templateId": "<GUID>",
      "rolePermissions": [
          {
              "allowedResourceActions": [
                  "microsoft.directory/applications/basic/update",
                  "microsoft.directory/applications/credentials/update"
              ]
          }
      ]
    }
    

    Hinweis

    Die "templateId": "GUID" ist ein optionaler Parameter, der je nach der Anforderung im Text gesendet wird. Wenn Sie mehrere verschiedene benutzerdefinierte Rollen mit allgemeinen Parametern erstellen müssen, empfiehlt es sich, eine Vorlage zu erstellen und einen templateId-Wert zu definieren. Vorher können Sie mit dem PowerShell-Cmdlet (New-Guid).Guid einen templateId-Wert generieren.

  2. Verwenden Sie die API unifiedRoleAssignment erstellen, um die benutzerdefinierte Rolle zuzuweisen.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    

    Body

    {
        "principalId":"<GUID OF USER>",
        "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
        "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
    }
    

Zuweisen einer auf eine Ressource begrenzten benutzerdefinierten Rolle

Wie integrierte Rollen werden benutzerdefinierte Rollen standardmäßig im organisationsweiten Standardbereich zugewiesen, um Zugriffsberechtigungen für alle App-Registrierungen in Ihrer Organisation zu erteilen. Darüber hinaus können benutzerdefinierte Rollen und einige relevante integrierte Rollen (je nach Typ der Microsoft Entra-Ressource) auch im Bereich einer einzelnen Microsoft Entra-Ressource zugewiesen werden. Dadurch können Sie dem Benutzer die Berechtigung zum Aktualisieren von Anmeldeinformationen und grundlegenden Eigenschaften einer einzelnen App erteilen, ohne eine zweite benutzerdefinierte Rolle erstellen zu müssen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsentwickler an.

  2. Navigieren Sie zu Identität>Anwendungen>App-Registrierungen.

  3. Wählen Sie die App-Registrierung aus, für die Sie Zugriff zum Verwalten gewähren möchten. Möglicherweise müssen Sie die Option Alle Anwendungen auswählen, um die vollständige Liste der App-Registrierungen in Ihrer Microsoft Entra-Organisation anzuzeigen.

    Auswählen der App-Registrierung als Ressourcenbereich für eine Rollenzuweisung

  4. Wählen Sie in der App-Registrierung die Option Rollen und Administratoren aus. Wenn Sie noch keine erstellt haben, finden Sie Anweisungen im vorherigen Verfahren.

  5. Wählen Sie die Rolle aus, um die Seite Zuweisungen zu öffnen.

  6. Wählen Sie Zuweisung hinzufügen aus, um einen Benutzer hinzuzufügen. Dem Benutzer werden ausschließlich Berechtigungen für die ausgewählte App-Registrierung erteilt.