Creación de un rol personalizado con permisos para crear registros ilimitados de aplicaciones

En esta guía de inicio rápido, creará un rol personalizado con permiso para crear un número ilimitado de registros de aplicaciones y luego asignará ese rol a un usuario. Después, el usuario asignado puede usar el Centro de administración de Microsoft Entra, Microsoft Graph PowerShell o Microsoft Graph API para crear registros de aplicaciones. A diferencia del rol Desarrollador de aplicaciones integrado, este rol personalizado permite crear un número ilimitado de registros de aplicaciones. El rol Desarrollador de aplicaciones concede la capacidad, pero el número total de objetos creados está limitado a 250 para evitar alcanzar la cuota de objetos de todo el directorio. El rol con menos privilegios que se necesita para crear y asignar roles personalizados de Microsoft Entra es el administrador de roles con privilegios.

Si no tiene una suscripción de Azure, cree una cuenta gratuita antes de empezar.

Requisitos previos

• Una licencia de Microsoft Entra ID P1 o P2
• Administrador de roles con privilegios
• Módulo Microsoft Graph PowerShell al usar PowerShell
• Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API

Para obtener más información, consulte Requisitos previos para usar PowerShell o el Explorador de Graph.

Centro de administración

Crear un rol personalizado

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de roles con privilegios.

2. Vaya a Entra ID>Roles y administradores.

3. Seleccione Nuevo rol personalizado.

   

4. En la pestaña Aspectos básicos , escriba "Creador de registro de aplicaciones" como nombre del rol y "Puede crear un número ilimitado de registros de aplicaciones" para la descripción del rol y, a continuación, seleccione Siguiente.

   

5. En la pestaña Permisos , escriba "microsoft.directory/applications/create" en el cuadro de búsqueda y, a continuación, active las casillas situadas junto a los permisos deseados y, a continuación, seleccione Siguiente.

   

6. En la pestaña Revisar y crear , revise los permisos y seleccione Crear.

Asignación del rol

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de roles con privilegios.

2. Vaya a Entra ID>Roles y administradores.

3. Seleccione el rol Creador de registro de aplicaciones y seleccione Agregar asignación.

4. Seleccione el usuario deseado y haga clic en Seleccionar para agregar el usuario al rol.

¡Listo! En este inicio rápido, ha creado un rol personalizado con permiso correctamente para crear un número ilimitado de registros de aplicaciones y luego asignar ese rol a un usuario.

Sugerencia

Para asignar el rol a una aplicación mediante el Centro de administración de Microsoft Entra, escriba el nombre de la aplicación en el cuadro de búsqueda de la página de asignación. Las aplicaciones no se muestran en la lista de forma predeterminada, pero se devuelven en los resultados de búsqueda.

Permisos del registro de aplicaciones

Hay dos permisos disponibles para conceder la capacidad de crear registros de aplicaciones, cada uno con un comportamiento diferente.

• microsoft.directory/applications/createAsOwner: al asignar este permiso, el creador se agrega como el primer propietario del registro de aplicaciones creado y el registro de aplicaciones creado contará en la cuota de objetos creados de 250 del creador.
• microsoft.directory/applications/create: al asignar este permiso, el creador no se agrega como el primer propietario del registro de aplicaciones creado y el registro de aplicaciones creado no contará en la cuota de objetos creados de 250 del creador. Use este permiso con precaución, ya que no hay nada que impida que la persona asignada cree registros de aplicaciones hasta que se alcance la cuota de nivel de directorio. Si se asignan ambos permisos, el permiso de creación tiene prioridad.

PowerShell

Crear un rol personalizado

Cree un nuevo rol mediante el siguiente script de PowerShell:

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

Asignación del rol

Asigne el rol mediante el siguiente script de PowerShell:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

API de Graph

Crear un rol personalizado

Use la API Create unifiedRoleDefinition para crear un rol personalizado.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Cuerpo

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Asignación del rol

Use la API Create unifiedRoleAssignment para asignar el rol personalizado. La asignación de roles combina un identificador de entidad de seguridad (que puede ser un usuario o una entidad de servicio), un identificador (rol) de definición de rol y un ámbito de recurso de Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Cuerpo

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Pasos siguientes

• No dude en compartir con nosotros en el foro de roles administrativos de Microsoft Entra.
• Para obtener más información sobre los roles de Microsoft Entra, consulte Roles integrados de Microsoft Entra.
• Para obtener más información sobre los permisos de usuario predeterminados, consulte comparación de los permisos de usuario invitado y miembro predeterminados.