Compartir a través de


Creación de un rol personalizado con permisos para crear registros ilimitados de aplicaciones

En esta guía de inicio rápido, creará un rol personalizado con permiso para crear un número ilimitado de registros de aplicaciones y luego asignará ese rol a un usuario. Después, el usuario asignado puede usar el Centro de administración de Microsoft Entra, Microsoft Graph PowerShell o Microsoft Graph API para crear registros de aplicaciones. A diferencia del rol Desarrollador de aplicaciones integrado, este rol personalizado permite crear un número ilimitado de registros de aplicaciones. El rol Desarrollador de aplicaciones concede la capacidad, pero el número total de objetos creados está limitado a 250 para evitar alcanzar la cuota de objetos de todo el directorio. El rol con menos privilegios que se necesita para crear y asignar roles personalizados de Microsoft Entra es el administrador de roles con privilegios.

Si no tiene una suscripción de Azure, cree una cuenta gratuita antes de empezar.

Requisitos previos

  • Una licencia de Microsoft Entra ID P1 o P2
  • Administrador de roles con privilegios
  • Módulo Microsoft Graph PowerShell al usar PowerShell
  • Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API

Para obtener más información, consulte Requisitos previos para usar PowerShell o el Explorador de Graph.

Crear un rol personalizado

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de roles con privilegios.

  2. Vaya a Entra ID>Roles y administradores.

  3. Seleccione Nuevo rol personalizado.

    Captura de pantalla de la página Roles y administradores en el Centro de administración de Microsoft Entra.

  4. En la pestaña Aspectos básicos , escriba "Creador de registro de aplicaciones" como nombre del rol y "Puede crear un número ilimitado de registros de aplicaciones" para la descripción del rol y, a continuación, seleccione Siguiente.

    Captura de pantalla de la pestaña Aspectos básicos para proporcionar un nombre y una descripción para un rol personalizado.

  5. En la pestaña Permisos , escriba "microsoft.directory/applications/create" en el cuadro de búsqueda y, a continuación, active las casillas situadas junto a los permisos deseados y, a continuación, seleccione Siguiente.

    Captura de pantalla de la pestaña Permisos para seleccionar los permisos de un rol personalizado.

  6. En la pestaña Revisar y crear , revise los permisos y seleccione Crear.

Asignación del rol

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de roles con privilegios.

  2. Vaya a Entra ID>Roles y administradores.

  3. Seleccione el rol Creador de registro de aplicaciones y seleccione Agregar asignación.

  4. Seleccione el usuario deseado y haga clic en Seleccionar para agregar el usuario al rol.

¡Listo! En este inicio rápido, ha creado un rol personalizado con permiso correctamente para crear un número ilimitado de registros de aplicaciones y luego asignar ese rol a un usuario.

Sugerencia

Para asignar el rol a una aplicación mediante el Centro de administración de Microsoft Entra, escriba el nombre de la aplicación en el cuadro de búsqueda de la página de asignación. Las aplicaciones no se muestran en la lista de forma predeterminada, pero se devuelven en los resultados de búsqueda.

Permisos del registro de aplicaciones

Hay dos permisos disponibles para conceder la capacidad de crear registros de aplicaciones, cada uno con un comportamiento diferente.

  • microsoft.directory/applications/createAsOwner: al asignar este permiso, el creador se agrega como el primer propietario del registro de aplicaciones creado y el registro de aplicaciones creado contará en la cuota de objetos creados de 250 del creador.
  • microsoft.directory/applications/create: al asignar este permiso, el creador no se agrega como el primer propietario del registro de aplicaciones creado y el registro de aplicaciones creado no contará en la cuota de objetos creados de 250 del creador. Use este permiso con precaución, ya que no hay nada que impida que la persona asignada cree registros de aplicaciones hasta que se alcance la cuota de nivel de directorio. Si se asignan ambos permisos, el permiso de creación tiene prioridad.

Pasos siguientes