分配Microsoft Entra角色

本文介绍如何使用 Microsoft Entra 管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 将Microsoft Entra角色分配给用户和组。还介绍如何在不同范围分配角色，如租户、应用程序注册和管理单元范围。

你可以向用户分配直接和间接角色分配。如果按组成员身份向用户分配了角色，则在相应组中添加该用户以添加角色分配。有关详细信息，请参阅使用Microsoft Entra组来管理角色分配。

在 Microsoft Entra ID 中，角色通常适用于整个租户。但是，还可以为不同的资源（例如应用程序注册或管理单元）分配Microsoft Entra角色。例如，你可以分配支持管理员角色，以便它仅适用于特定的管理单元，而不是整个租户。角色分配适用的资源也称为范围。限制角色分配范围的功能适用于内置角色和自定义角色。有关范围的详细信息，请参阅 Microsoft Entra ID 中基于角色的访问控制 (RBAC) 概述。

在 PIM 中 Microsoft Entra 角色

如果你有Microsoft Entra ID P2 许可证和 Privileged Identity Management （PIM），则分配角色时，你具有其他功能，例如使用户有资格获得角色分配或定义角色分配的开始和结束时间。有关在 PIM 中分配Microsoft Entra角色的信息，请参阅以下文章：

方法	信息
Microsoft Entra管理中心	在特权身份管理中分配 Microsoft Entra 角色
Microsoft Graph PowerShell	教程：使用 Microsoft Graph PowerShell 在特权身份管理中分配 Microsoft Entra 角色
Microsoft Graph API	使用 PIM API 管理 Microsoft Entra 的角色分配在特权身份管理中分配 Microsoft Entra 角色

先决条件

特权角色管理员
在使用 PowerShell 时，使用 Microsoft Graph PowerShell 模块

有关详细信息，请参阅使用 PowerShell 的先决条件。

分配租户范围的角色

本部分介绍如何在租户范围分配角色。

管理中心
PowerShell

您需要以特权角色管理员的身份登录到 Microsoft Entra 管理中心。
浏览至身份>角色和管理员。
选择角色名称以打开该角色。不要勾选该角色。
选择 添加任务，然后选择要分配给此角色的用户或组。

只会显示可分配角色的组。如果未列出组，则需要创建可分配角色的组。

如果您的体验与下图不同，则您可能有 Microsoft Entra ID P2 和 PIM。有关详细信息，请参阅在 Microsoft Entra Privileged Identity Management 中分配角色。
选择“添加”以分配角色。

按照以下步骤使用 PowerShell 分配Microsoft Entra角色。

打开 PowerShell 窗口。如有必要，请使用 Install-Module 安装 Microsoft Graph PowerShell。有关详细信息，请参阅使用 PowerShell 的先决条件。
```
Install-Module Microsoft.Graph -Scope CurrentUser
```

在 PowerShell 窗口中，使用 Connect-MgGraph 登录到你的租户。

Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "RoleManagement.ReadWrite.Directory"

使用 Get-MgUser 获取用户。

$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"

使用 Get-MgGroup 获取可分配角色的组。

$group = Get-MgGroup -Filter "DisplayName eq 'Contoso Helpdesk'"

使用 Get-MgRoleManagementDirectoryRoleDefinition 获取要分配的角色。

若要查看所有内置角色的角色定义 ID 列表，请参阅Microsoft Entra内置角色。
```
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
```
将租户设置为角色分配的作用域。
```
$directoryScope = '/'
```

使用 New-MgRoleManagementDirectoryRoleAssignment 分配角色。

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
   -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
   -RoleDefinitionId $roleDefinition.Id

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
    -DirectoryScopeId $directoryScope -PrincipalId $group.Id `
    -RoleDefinitionId $roleDefinition.Id

下面是另一种方法来分配角色。

$params = @{
   "directoryScopeId" = "/" 
   "principalId" = $group.Id
   "roleDefinitionId" = $roleDefinition.Id
}
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $params

分配应用注册范围的角色

默认情况下在租户范围内分配内置角色和自定义角色，以授予对组织中所有应用注册的访问权限。此外，还可以在单个Microsoft Entra资源范围内分配自定义角色和一些相关的内置角色（具体取决于Microsoft Entra资源的类型）。这样，用户就有权更新单个应用的凭据和基本属性，而无需创建第二个自定义角色。

本部分介绍如何在应用程序注册范围内分配角色。

管理中心
PowerShell

以至少<楼橅0>应用开发者的身份登录到<楼橅0>Microsoft Entra 管理中心。
浏览到 Entra ID>应用注册。
选择应用程序。可以使用搜索框查找所需的应用。

可能需要选择 所有应用程序 才能查看租户中应用注册的完整列表。
从左侧导航菜单中选择 角色和管理员，以查看可通过应用注册分配的所有角色的列表。

Microsoft Entra ID.
选择所需的角色。

小窍门

此处看不到Microsoft Entra内置角色或自定义角色的完整列表。这是预期的。我们显示了与仅管理应用注册相关的权限的角色。
选择“添加分配”，然后选择要向其分配此角色的用户或组。

Microsoft Entra ID 中应用注册的角色分配截图。
选择“添加”分配以应用注册为作用域的角色。

按照以下步骤使用 PowerShell 在应用程序范围内分配Microsoft Entra角色。

打开 PowerShell 窗口。如有必要，请使用 Install-Module 安装 Microsoft Graph PowerShell。有关详细信息，请参阅使用 PowerShell 的先决条件。
```
Install-Module Microsoft.Graph -Scope CurrentUser
```

在 PowerShell 窗口中，使用 Connect-MgGraph 登录到你的租户。

Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"

使用 Get-MgUser 获取用户。
```
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
```
若要将角色分配给服务主体而不是用户，请使用 Get-MgServicePrincipal 命令。

使用 Get-MgRoleManagementDirectoryRoleDefinition 获取要分配的角色。

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
   -Filter "displayName eq 'Application Administrator'"

使用 Get-MgApplication 获取要将角色分配的作用域限定到的应用注册。

$appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

使用 New-MgRoleManagementDirectoryRoleAssignment 分配角色。

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
   -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
   -RoleDefinitionId $roleDefinition.Id

分配角色并设定管理单元范围

在 Microsoft Entra ID 中，若要实现更精细的管理控制，可以分配一个仅限于一个或多个管理单元范围的 Microsoft Entra 的角色。在管理单元范围内分配Microsoft Entra角色时，角色权限仅适用于管理单元本身的成员，并且不适用于租户范围的设置或配置。

例如，在管理单元范围内分配组管理员角色的管理员可以管理属于管理单元成员的组，但他们不能管理租户中的其他组。它们也不能管理与组相关的租户级别设置，例如过期策略或组命名策略。

本部分介绍如何分配 Microsoft Entra 角色，并将其范围限定为管理单元。

先决条件

Microsoft Entra ID 每个管理单元管理员的 P1 或 P2 许可证
Microsoft Entra ID管理单元成员的免费许可证
特权角色管理员
使用 PowerShell 时 Microsoft Graph PowerShell 模块

有关详细信息，请参阅使用 PowerShell 的先决条件。

可在管理单位范围分配的角色

可以在管理单元范围内分配以下 Microsoft Entra 角色。此外，只要自定义角色的权限至少包含一个与用户、组或设备相关的权限，就可以将任何自定义角色分配在管理单元范围内。

角色	DESCRIPTION
身份验证管理员	仅可访问并查看、设置和重置分配的管理单元中的非管理员用户的身份验证方法信息。
属性分配管理员	只能读取和更新管理单元中用户或服务主体的自定义安全属性分配（来自任何属性集）。
属性分配读取器	只能读取管理单元中用户或服务主体的自定义安全属性（从任何属性集）。
云设备管理员	在 Microsoft Entra ID 中对设备进行管理的访问权限受到限制。
组管理员	只能在分配的管理单元中管理组的所有方面。
支持管理员	只能为分配的管理单元中的非管理员重置密码。
许可证管理员	只能在管理单元内分配、删除和更新许可证分配。
密码管理员	只能为分配的管理单元中的非管理员重置密码。
打印机管理员	可以管理打印机和打印机连接器。有关详细信息，请参阅 Universal Print 中关于委托打印机管理的内容。
特权身份验证管理员	可以访问以查看、设置和重置任何用户（管理员或非管理员）的身份验证方法信息。
SharePoint Administrator	只能在分配的管理单元中管理Microsoft 365组。对于与管理单元中的Microsoft 365组关联的SharePoint网站，还可以使用Microsoft 365管理中心更新网站属性（网站名称、URL 和外部共享策略）。无法使用SharePoint管理中心或SharePoint API 来管理网站。
Teams 管理员	只能在分配的管理单元中管理Microsoft 365组。只能在 Microsoft 365 管理中心中管理与分配的管理单元内的组相关联的团队的团队成员。无法使用 Teams 管理中心。
Teams 设备管理员	可以在 Teams 认证设备上执行管理相关任务。
用户管理员	可以管理用户和组的所有方面，包括仅为分配的管理单元中的有限管理员重置密码。当前无法管理用户的个人资料照片。
<自定义角色>	可以根据自定义角色的定义，执行应用于用户、组或设备的操作。

当与管理单元范围一起分配时，某些角色权限仅适用于非管理员用户。换言之，仅当用户没有管理员角色时，管理单元范围的支持管理员才能在管理单元中重置这些用户的密码。当操作的目标是具有不同角色或管理员身份的用户时，以下权限将受到限制：

读取和修改用户身份验证方法
重置用户密码
修改敏感用户属性，如电话号码、备用电子邮件地址或打开授权（OAuth）密钥
删除或还原用户帐户

可在管理单位范围分配的安全主体

可以将以下安全主体分配给具有管理单元范围的角色：

用户
Microsoft Entra角色可分配组
服务主体

服务主体和来宾用户

服务主体和来宾用户将无法使用范围为管理单元的角色分配，除非他们还被分配了读取对象的相应权限。这是因为服务主体和来宾用户默认情况下不会收到目录读取权限，这是执行管理操作所必需的。若要使服务主体或来宾用户能够使用作用域为管理单元的角色分配，必须分配租户范围内的目录读取者角色（或其他角色，该角色包括读取权限）。

目前无法将目录读取权限分配给特定的管理单元。有关用户的默认权限的详细信息，请参阅默认用户权限。

分配角色并设定管理单元范围

本部分介绍如何在管理单元范围内分配角色。

管理中心
PowerShell

您需要以特权角色管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>角色与管理员>管理单元。
选择一个管理单元。
从左侧导航菜单中选择 角色和管理员，以查看可在管理单元上分配的所有角色的列表。

Microsoft Entra ID 中的管理单元下的“角色和管理员”菜单的截图。
选择所需的角色。

小窍门

此处看不到Microsoft Entra内置角色或自定义角色的完整列表。这是预期的。我们展示了哪些角色具有与管理单元中支持的对象相关的权限。若要查看管理单元中支持的对象列表，请参阅 Microsoft Entra ID 中的Administrative 单元。
选择“添加分配”，然后选择要向其分配此角色的用户或组。
选择“添加”分配以管理单元为作用域的角色。

按照以下步骤使用 PowerShell 在管理单元范围内分配Microsoft Entra角色。

打开 PowerShell 窗口。如有必要，请使用 Install-Module 安装 Microsoft Graph PowerShell。有关详细信息，请参阅使用 PowerShell 的先决条件。
```
Install-Module Microsoft.Graph -Scope CurrentUser
```

在 PowerShell 窗口中，使用 Connect-MgGraph 登录到你的租户。

Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"

使用 Get-MgUser 获取用户。

$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"

使用 Get-MgRoleManagementDirectoryRoleDefinition 获取要分配的角色。

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
   -Filter "displayName eq 'User Administrator'"

使用 Get-MgDirectoryAdministrativeUnit 获取要将角色分配的作用域限定到的管理单元。

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id

使用 New-MgRoleManagementDirectoryRoleAssignment 分配角色。

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
   -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
   -RoleDefinitionId $roleDefinition.Id

后续步骤

Last updated on 2026-03-06

Compartir a través de

分配Microsoft Entra角色

在 PIM 中 Microsoft Entra 角色

先决条件

分配租户范围的角色

分配应用注册范围的角色

分配角色并设定管理单元范围

先决条件

可在管理单位范围分配的角色

可在管理单位范围分配的安全主体

服务主体和来宾用户

分配角色并设定管理单元范围

后续步骤

Recursos adicionales