分配 Microsoft Entra 角色

本文介绍如何使用 Microsoft Entra 管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 将 Microsoft Entra 角色分配给用户和组。 还介绍如何在不同范围分配角色,如租户、应用程序注册和管理单元范围。

你可以向用户分配直接和间接角色分配。 如果按组成员身份向用户分配了角色,则在相应组中添加该用户以添加角色分配。 有关详细信息,请参阅使用 Microsoft Entra 组来管理角色分配

在 Microsoft Entra ID 中,角色通常分配适用于整个租户。 但是,还可以为不同的资源(例如应用程序注册或管理单元)分配Microsoft Entra 角色。 例如,你可以分配支持管理员角色,以便它仅适用于特定的管理单元,而不是整个租户。 角色分配适用的资源也称为范围。 限制角色分配范围的功能适用于内置角色和自定义角色。 有关范围的详细信息,请参阅 Microsoft Entra ID中 基于角色的访问控制(RBAC)概述。

PIM 中的 Microsoft Entra 角色

如果你有一个Microsoft Entra ID P2 许可证和 Privileged Identity Management (PIM),则分配角色时具有其他功能,例如,使用户有资格获得角色分配或定义角色分配的开始和结束时间。 有关在 PIM 中分配Microsoft Entra 角色的信息,请参阅以下文章:

先决条件

有关详细信息,请参阅使用 PowerShell 的先决条件

分配租户范围的角色

本部分介绍如何在租户范围分配角色。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“角色和管理员”>“角色和管理员”

    Microsoft Entra 管理中心中“角色和管理员”页的屏幕截图。

  3. 选择角色名称以打开该角色。 不要勾选该角色。

    角色和管理员页面的屏幕截图,其中鼠标悬停在角色名称上。

  4. 选择 添加任务,然后选择要分配给此角色的用户或组。

    只会显示可分配角色的组。 如果未列出组,则需要创建可分配角色的组。

    如果您的体验不同于以下的屏幕截图,可能是因为您有 Microsoft Entra ID P2 和 PIM。 有关详细信息,请参阅在 Privileged Identity Management 中分配 Microsoft Entra 角色

    为所选角色添加分配窗格的屏幕截图。

  5. 选择“”,再选择“”以分配角色。