Delegování oprávnění registrace aplikace v Microsoft Entra ID
Tento článek popisuje, jak používat oprávnění udělená vlastními rolemi v MICROSOFT Entra ID k řešení potřeb správy aplikací. V Microsoft Entra ID můžete delegovat oprávnění k vytváření a správě aplikace následujícími způsoby:
- Omezení, kdo může vytvářet aplikace a spravovat aplikace, které vytvářejí. Ve výchozím nastavení v Microsoft Entra ID mohou všichni uživatelé registrovat aplikace a spravovat všechny aspekty aplikací, které vytvářejí. Tato možnost může být omezena tak, aby povolovaly jenom vybrané osoby, které mají toto oprávnění.
- Přiřazení jednoho nebo více vlastníků k aplikaci Je to jednoduchý způsob, jak někomu udělit možnost spravovat všechny aspekty konfigurace Microsoft Entra pro konkrétní aplikaci.
- Přiřazení předdefinované role pro správu, která uděluje přístup ke správě konfigurace v Microsoft Entra ID pro všechny aplikace. Toto je doporučený způsob, jak odborníkům na IT udělit přístup ke správě rozsáhlých oprávnění konfigurace aplikací bez udělení přístupu ke správě dalších částí Microsoft Entra nesouvisejí s konfigurací aplikace.
- Vytvoření vlastní role definující velmi specifická oprávnění a jeho přiřazení někomu buď k rozsahu jedné aplikace jako omezeného vlastníka, nebo v oboru adresáře (všechny aplikace) jako omezený správce.
Je důležité zvážit udělení přístupu pomocí jedné z výše uvedených metod ze dvou důvodů. Za prvé delegování schopnosti provádět úlohy správy snižuje režii správce s vysokou úrovní oprávnění. Za druhé, použití omezených oprávnění zlepšuje stav zabezpečení a snižuje potenciál neoprávněného přístupu. Pokyny k plánování zabezpečení rolí najdete v tématu Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Microsoft Entra ID.
Omezení, kdo může vytvářet aplikace
Ve výchozím nastavení v Microsoft Entra ID mohou všichni uživatelé registrovat aplikace a spravovat všechny aspekty aplikací, které vytvářejí. Každý má také možnost udělit souhlas s aplikacemi, které přistupují k firemním datům svým jménem. Tato oprávnění můžete selektivně udělit nastavením globálních přepínačů na Ne a přidáním vybraných uživatelů do role Vývojář aplikací.
Zakázání výchozí možnosti vytváření registrací aplikací nebo vyjádření souhlasu s aplikacemi
Pokud chcete zakázat výchozí možnost vytvářet registrace aplikací nebo udělit souhlas s aplikacemi, nastavte jedno nebo obě tato nastavení pro vaši organizaci.
Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
Přejděte do nastavení Uživatele identity>>.
Nastavte nastavení Uživatelé můžou registrovat aplikace na Ne.
Tím pro uživatele zakážete výchozí možnost vytvářet registrace aplikací.
Přejděte k vyjádření souhlasu a oprávnění podnikových aplikací>identity.>
Vyberte možnost Nepovolit souhlas uživatele.
Tím pro uživatele zakážete výchozí možnost udělit souhlas pro aplikace, které přistupují k firemním datům jejich jménem.
Udělení individuálních oprávnění k vytváření a vyjádření souhlasu s aplikacemi, pokud je výchozí možnost zakázaná
Přiřaďte roli Vývojář aplikace, která umožňuje vytvářet registrace aplikací, když je nastavení Uživatelé mohou registrovat aplikace nastavenou na Ne. Tato role také uděluje oprávnění k vyjádření souhlasu vlastním jménem uživatele, když uživatelé můžou udělit souhlas s aplikacemi, které přistupují k firemním datům jménem , je nastavené na Ne.
Přiřazení vlastníků aplikací
Přiřazení vlastníků je jednoduchý způsob, jak udělit možnost spravovat všechny aspekty konfigurace Microsoft Entra pro konkrétní registraci aplikace nebo podnikovou aplikaci. Další informace najdete v tématu Přiřazení vlastníků podnikových aplikací.
Přiřazení předdefinovaných rolí správce aplikací
Microsoft Entra ID má sadu předdefinovaných rolí správce pro udělení přístupu ke správě konfigurace v Microsoft Entra ID pro všechny aplikace. Tyto role představují doporučený způsob, jak odborníkům na IT udělit přístup ke správě rozsáhlých oprávnění konfigurace aplikací bez udělení přístupu ke správě dalších částí Microsoft Entra nesouvisejí s konfigurací aplikace.
- Správce aplikace: Uživatelé v této roli mohou vytvářet a spravovat všechny aspekty podnikových aplikací, registrací aplikací a nastavení proxy aplikací. Tato role také uděluje možnost souhlasu s delegovanými oprávněními a oprávněními aplikací s výjimkou Microsoft Graphu. Uživatelé přiřazení k této roli se nepřidávají jako vlastníci při vytváření nových registrací aplikací nebo podnikových aplikací.
- Správce cloudových aplikací: Uživatelé v této roli mají stejná oprávnění jako role Správce aplikací, s výjimkou možnosti spravovat proxy aplikace. Uživatelé přiřazení k této roli se nepřidávají jako vlastníci při vytváření nových registrací aplikací nebo podnikových aplikací.
Další informace a popis těchto rolí najdete v tématu Předdefinované role Microsoft Entra.
Postupujte podle pokynů v tématu Přiřazení rolí uživatelům s návody k přiřazení rolí Správce aplikací nebo Správce cloudových aplikací pomocí Microsoft Entra ID .
Důležité
Správci aplikací a správci cloudových aplikací můžou do aplikace přidávat přihlašovací údaje a pomocí těchto přihlašovacích údajů zosobnit identitu aplikace. Aplikace může mít oprávnění ke zvýšení oprávnění nad oprávněními role správce. Správce v této roli může potenciálně vytvářet nebo aktualizovat uživatele nebo jiné objekty při zosobnění aplikace v závislosti na oprávněních aplikace. Žádná role nesděluje možnost spravovat nastavení podmíněného přístupu.
Vytvoření a přiřazení vlastní role (Preview)
Vytváření vlastních rolí a přiřazování vlastních rolí jsou samostatné kroky:
- Vytvořte vlastní definici role a přidejte do ní oprávnění z přednastaveného seznamu. Jedná se o stejná oprávnění použitá v předdefinovaných rolích.
- Vytvořte přiřazení role pro přiřazení vlastní role.
Toto oddělení umožňuje vytvořit jednu definici role a pak ji přiřadit mnohokrát v různých oborech. Vlastní roli je možné přiřadit v rámci celé organizace nebo ji můžete přiřadit v oboru jednoho objektu Microsoft Entra. Příkladem oboru objektu je jedna registrace aplikace. Pomocí různých oborů je možné stejnou definici role přiřadit Sally ke všem registracím aplikací v organizaci a pak k Naveenu jenom k registraci aplikace Contoso Expense Reports.
Tipy při vytváření a používání vlastních rolí pro delegování správy aplikací:
- Vlastní role udělují přístup pouze v nejaktuálnějších otech registrace aplikací v Centru pro správu Microsoft Entra. Neudělují přístup v otech starších verzích registrací aplikací.
- Vlastní role neudělují přístup do Centra pro správu Microsoft Entra, pokud je uživatelské nastavení Omezit přístup k portálu pro správu Microsoft Entra nastaveno na Ano.
- Registrace aplikací má uživatel přístup k používání přiřazení rolí jenom na kartě Všechny aplikace na stránce Registrace aplikace. Nezobrazují se na kartě Vlastněné aplikace.
Další informace o základech vlastních rolí najdete v přehledu vlastních rolí a také o tom, jak vytvořit vlastní roli a jak přiřadit roli.
Odstraňování potíží
Příznak – Přístup byl odepřen při pokusu o registraci aplikace
Při pokusu o registraci aplikace v Microsoft Entra ID se zobrazí zpráva podobná následující:
Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.
Příčina
Aplikaci nemůžete zaregistrovat v adresáři, protože správce adresáře omezil, kdo může vytvářet aplikace.
Řešení
Obraťte se na správce a udělejte jednu z těchto věcí:
- Udělení oprávnění k vytváření a vyjádření souhlasu s aplikacemi tím , že vám přiřadíte roli Vývojář aplikací.
- Vytvořte registraci aplikace pro vás a přiřaďte ji jako vlastníka aplikace.