Erstellen einer benutzerdefinierten Rolle mit Berechtigungen zum Erstellen unbegrenzter App-Registrierungen

In dieser Schnellstartanleitung wird eine benutzerdefinierte Rolle mit der Berechtigung zum Erstellen einer unbegrenzten Anzahl von App-Registrierungen erstellt und anschließend einem Benutzer zugewiesen. Der zugewiesene Benutzer kann dann das Microsoft Entra Admin Center, Microsoft Graph PowerShell oder die Microsoft Graph-API verwenden, um Anwendungsregistrierungen zu erstellen. Im Gegensatz zur integrierten Rolle „Anwendungsentwickler“ ermöglicht diese Rolle die Erstellung einer unbegrenzten Anzahl von Anwendungsregistrierungen. Die Rolle "Anwendungsentwickler" gewährt die Möglichkeit, aber die Gesamtanzahl der erstellten Objekte ist auf 250 beschränkt, um zu verhindern, dass das verzeichnisweite Objektkontingent erreicht wird. Die am wenigsten privilegierte Rolle zum Erstellen und Zuweisen benutzerdefinierter Microsoft Entra-Rollen ist „Administrator für privilegierte Rollen“.

Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein kostenloses Konto , bevor Sie beginnen.

Voraussetzungen

• P1- oder P2-Lizenz für Microsoft Entra ID
• Administrator für privilegierte Rollen
• Microsoft Graph PowerShell-Modul bei Verwendung von PowerShell
• Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Explorer.

Admin Center

Erstellen einer benutzerdefinierten Rolle

1. Melden Sie sich beim Microsoft Entra Verwaltungscenter als mindestens Administrator einer privilegierten Rolle an.

2. Navigieren Sie zu Entra IDRollen & Administratoren.

3. Wählen Sie "Neue benutzerdefinierte Rolle" aus.

   

4. Geben Sie auf der Registerkarte " Grundlagen " für den Namen der Rolle "Anwendungsregistrierungsersteller" und "Kann eine unbegrenzte Anzahl von Anwendungsregistrierungen erstellen" für die Rollenbeschreibung ein, und wählen Sie dann "Weiter" aus.

   

5. Geben Sie auf der Registerkarte "Berechtigungen " "microsoft.directory/applications/create" in das Suchfeld ein, und aktivieren Sie dann die Kontrollkästchen neben den gewünschten Berechtigungen, und wählen Sie dann "Weiter" aus.

   

6. Überprüfen Sie auf der Registerkarte " Überprüfen+ Erstellen " die Berechtigungen, und wählen Sie "Erstellen" aus.

Zuweisen der Rolle

1. Melden Sie sich beim Microsoft Entra Verwaltungscenter als mindestens Administrator einer privilegierten Rolle an.

2. Navigieren Sie zu Entra IDRollen & Administratoren.

3. Wählen Sie die Rolle "Anwendungsregistrierungsersteller" und dann "Aufgabe hinzufügen" aus.

4. Wählen Sie den gewünschten Benutzer aus, und klicken Sie auf "Auswählen ", um den Benutzer zur Rolle hinzuzufügen.

Das war's! In dieser Schnellstartanleitung haben Sie eine benutzerdefinierte Rolle mit der Berechtigung zum Erstellen einer unbegrenzten Anzahl von App-Registrierungen erstellt und sie anschließend einem Benutzer zugewiesen.

Tipp

Wenn Sie die Rolle einer Anwendung über das Microsoft Entra Admin Center zuweisen möchten, geben Sie den Namen der Anwendung in das Suchfeld der Zuweisungsseite ein. Anwendungen werden standardmäßig nicht in der Liste angezeigt, erscheinen jedoch in den Suchergebnissen.

App-Registrierungsberechtigungen

Für die Erstellung von Anwendungsregistrierungen stehen zwei Berechtigungen zur Verfügung, die sich jeweils unterschiedlich verhalten.

• microsoft.directory/application/createAsOwner: Wird diese Berechtigung zugewiesen, wird der Ersteller als erster Besitzer der erstellten App-Registrierung hinzugefügt, und die erstellte App-Registrierung zählt zum Kontingent von 250 erstellten Objekten des Erstellers.
• microsoft.directory/application/create: Wird diese Berechtigung zugewiesen, wird der Ersteller nicht als erster Besitzer der erstellten App-Registrierung hinzugefügt, und die erstellte App-Registrierung zählt nicht zum Kontingent von 250 erstellten Objekten des Erstellers. Verwenden Sie diese Berechtigung mit Bedacht, da der zugewiesene Benutzer in diesem Fall so viele App-Registrierungen erstellen kann, bis das Kontingent auf der Verzeichnisebene erreicht ist. Sind beide Berechtigungen zugewiesen, hat diese Berechtigung Vorrang.

PowerShell

Erstellen einer benutzerdefinierten Rolle

Verwenden Sie zum Erstellen einer neuen Rolle das folgende PowerShell-Skript:

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

Zuweisen der Rolle

Verwenden Sie zum Zuweisen der Rolle das folgende PowerShell-Skript:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

Graph-API

Erstellen einer benutzerdefinierten Rolle

Verwenden Sie die Create unifiedRoleDefinition-API , um eine benutzerdefinierte Rolle zu erstellen.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Körper

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Zuweisen der Rolle

Verwenden Sie die Create unifiedRoleAssignment-API , um die benutzerdefinierte Rolle zuzuweisen. Die Rollenzuweisung kombiniert eine Sicherheitsprinzipal-ID (ein Benutzer oder ein Dienstprinzipal), eine Rollendefinitions-ID (Rolle) und einen Microsoft Entra-Ressourcenbereich.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Körper

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Nächste Schritte

• Im Forum für Microsoft Entra-Administratorrollen können Sie sich gern mit uns in Verbindung setzen.
• Weitere Informationen zu Microsoft Entra-Rollen finden Sie in den integrierten Microsoft Entra-Rollen.
• Weitere Informationen zu Standardbenutzerberechtigungen finden Sie im Vergleich der Standardberechtigungen für Gast- und Mitgliedsbenutzer.