Creación de un rol personalizado en el identificador de Microsoft Entra

2025-05-20

En este artículo se describe cómo crear un rol personalizado para administrar el acceso a los recursos de Microsoft Entra mediante el Centro de administración de Microsoft Entra, Microsoft Graph PowerShell o Microsoft Graph API. Si quiere crear un rol personalizado para administrar el acceso a los recursos de Azure, consulte Creación o actualización de roles personalizados de Azure mediante Azure Portal.

Para conocer los conceptos básicos de los roles personalizados, consulte la introducción a los roles personalizados . El rol se puede asignar en el ámbito de nivel de directorio o en un ámbito de recurso del registro de aplicación únicamente. Para obtener información sobre el número máximo de roles personalizados que se pueden crear en una organización de Microsoft Entra, consulte límites y restricciones del servicio Microsoft Entra.

Prerrequisitos

Licencia de Microsoft Entra ID P1 o P2
Administrador de roles con privilegios
Módulo de Microsoft Graph para PowerShell al usar PowerShell
Consentimiento del administrador al usar el Explorador de Graph para Microsoft Graph API

Para obtener más información, consulte Requisitos previos para usar PowerShell o el Explorador de Graph.

Creación de un rol personalizado

En estos pasos se describe cómo crear un rol personalizado en el Centro de administración de Microsoft Entra para administrar los registros de aplicaciones.

Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Vaya a Entra ID>Roles y administradores.
Seleccione Nuevo rol personalizado.
En la pestaña Aspectos básicos, proporcione un nombre y una descripción para el rol.

Puede clonar los permisos de línea base de un rol personalizado, pero no puede clonar un rol integrado.
En la pestaña Permisos, seleccione los permisos necesarios para administrar las propiedades básicas y las propiedades de credenciales de los registros de aplicaciones. Para obtener una descripción detallada de cada permiso, consulte subtipos y permisos de registro de aplicaciones en Microsoft Entra ID.
1. En primer lugar, escriba "credenciales" en la barra de búsqueda y seleccione el permiso microsoft.directory/applications/credentials/update.
2. A continuación, escriba "básico" en la barra de búsqueda, seleccione el permiso microsoft.directory/applications/basic/update y, luego, haga clic en Siguiente.
En la pestaña Revisar y crear, revise los detalles y seleccione Crear.

El rol personalizado se mostrará en la lista de roles disponibles que se van a asignar.

Use el comando Connect-MgGraph para iniciar sesión en su inquilino.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Creación de un rol personalizado

Cree un rol con el siguiente script de PowerShell:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

Actualización de un rol personalizado

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

Eliminación de un rol personalizado

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

Creación de un rol personalizado

Siga estos pasos:

Use la API Create unifiedRoleDefinition para crear un rol personalizado.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Cuerpo

{
    "description": "Can manage basic aspects of application registrations.",
    "displayName": "Application Support Administrator",
    "isEnabled": true,
    "templateId": "<GUID>",
    "rolePermissions": [
        {
            "allowedResourceActions": [
                "microsoft.directory/applications/basic/update",
                "microsoft.directory/applications/credentials/update"
            ]
        }
    ]
}

Nota

El "templateId": "GUID" es un parámetro opcional que se envía en el cuerpo del mensaje según el requisito. Si tiene un requisito para crear varios roles personalizados diferentes con parámetros comunes, es mejor crear una plantilla y definir un valor de templateId. Puede generar un valor de templateId de antemano mediante el cmdlet de PowerShell (New-Guid).Guid.

Use la API Create unifiedRoleAssignment para asignar el rol personalizado.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Cuerpo

{
"principalId":"<GUID OF USER>",
"roleDefinitionId":"<GUID OF ROLE DEFINITION>",
"directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
}

Compartir a través de

Creación de un rol personalizado en el identificador de Microsoft Entra

Prerrequisitos

Creación de un rol personalizado

Contenido relacionado

Comentarios

Recursos adicionales