이 문서에서는 Microsoft Entra 관리 센터, Microsoft Graph PowerShell 또는 Microsoft Graph API를 사용하여 Microsoft Entra 리소스에 대한 액세스를 관리하는 사용자 지정 역할을 만드는 방법을 설명합니다. 대신 Azure 리소스에 대한 액세스를 관리하는 사용자 지정 역할을 만들려면 Azure Portal을 사용하여 Azure 사용자 지정 역할 만들기 또는 업데이트를 참조하세요.
사용자 지정 역할의 기본 사항에 대해서는 사용자 지정 역할 개요참조하세요. 디렉터리 수준 범위 또는 앱 등록 리소스 범위에서만 역할을 할당할 수 있습니다. Microsoft Entra 조직에서 만들 수 있는 최대 사용자 지정 역할 수에 대한 자세한 내용은 Microsoft Entra 서비스 제한 및 제한참조하세요.
필수 구성 요소
- Microsoft Entra ID P1 또는 P2 라이선스
- 권한 있는 역할 관리자
- PowerShell을 사용할 때 Microsoft Graph PowerShell 모듈
- Microsoft Graph API용 Graph 탐색기를 사용하는 경우 관리자 동의
자세한 내용은 PowerShell 또는 Graph Explorer사용하기 위한 필수 구성 요소를 참조하세요.
사용자 지정 역할 만들기
다음 단계에서는 Microsoft Entra 관리 센터에서 사용자 지정 역할을 만들어 앱 등록을 관리하는 방법을 설명합니다.
최소한 권한 있는 역할 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
Entra ID>역할 및 관리자 페이지로 이동합니다.
새 사용자 정의 역할선택하십시오.
기본 탭에서 역할에 대한 이름과 설명을 제공합니다.
사용자 지정 역할에서 기준 권한을 복제할 수 있지만 기본 제공 역할을 복제할 수는 없습니다.
권한 탭에서 앱 등록의 기본 속성 및 자격 증명 속성을 관리하는 데 필요한 권한을 선택합니다. 각 권한에 대한 자세한 설명은 Microsoft Entra ID애플리케이션 등록 하위 유형 및 사용 권한을 참조하세요.
먼저 검색 창에 "자격 증명"을 입력하고 microsoft.directory/applications/credentials/update 권한을 선택합니다.
그런 다음 검색 창에 "기본"을 입력하고 microsoft.directory/applications/basic/update 권한을 선택한 다음 다음클릭합니다.
검토 + 만들기 탭에서 사용 권한을 검토한 후, 만들기을 선택합니다.
사용자 지정 역할은 할당할 사용 가능한 역할 목록에 표시됩니다.
서명하세요
Connect-MgGraph 명령을 사용하여 테넌트에 로그인하세요.
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
사용자 지정 역할 만들기
다음 PowerShell 스크립트를 사용하여 새 역할을 만듭니다.
# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$rolePermissions = @{
"allowedResourceActions" = @(
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
)
}
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
-DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true
사용자 지정 역할 업데이트
# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
-DisplayName "Updated DisplayName"
사용자 지정 역할 삭제
# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f
사용자 지정 역할 만들기
다음 단계를 수행합니다.
Create unifiedRoleDefinition API를 사용하여 사용자 지정 역할을 만듭니다.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
몸
{
"description": "Can manage basic aspects of application registrations.",
"displayName": "Application Support Administrator",
"isEnabled": true,
"templateId": "<GUID>",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
]
}
]
}
메모
"templateId": "GUID" 요구 사항에 따라 본문에 전송되는 선택적 매개 변수입니다. 공통 매개 변수를 사용하여 여러 사용자 지정 역할을 만들어야 하는 요구 사항이 있는 경우 템플릿을 만들고 templateId 값을 정의하는 것이 가장 좋습니다. PowerShell cmdlet templateId사용하여 (New-Guid).Guid 값을 미리 생성할 수 있습니다.
Create unifiedRoleAssignment API를 사용하여 사용자 지정 역할을 할당합니다.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
몸
{
"principalId":"<GUID OF USER>",
"roleDefinitionId":"<GUID OF ROLE DEFINITION>",
"directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
}
관련 콘텐츠
