Alkalmazás regisztrációs engedélyek delegálása a Microsoft Entra ID-ban

Ez a cikk bemutatja, hogyan használhatja az egyéni szerepkörök által a Microsoft Entra-azonosítóban megadott engedélyeket az alkalmazáskezelési igények kielégítésére. A Microsoft Entra ID-ban az alábbi módokon delegálhat alkalmazáslétrehozási és felügyeleti engedélyeket:

• Annak korlátozása, hogy kik hozhatnak létre alkalmazásokat , és kezelhetik az általuk létrehozott alkalmazásokat. Alapértelmezés szerint a Microsoft Entra ID-ban minden felhasználó regisztrálhat alkalmazásokat, és kezelheti az általuk létrehozott alkalmazások minden aspektusát. Ez csak a kijelölt személyek engedélyének engedélyezésére korlátozható.
• Egy vagy több tulajdonos hozzárendelése egy alkalmazáshoz. Ez egy egyszerű módja annak, hogy lehetővé teszi valakinek, hogy kezelje a Microsoft Entra konfigurációjának minden aspektusát egy adott alkalmazáshoz.
• Beépített rendszergazdai szerepkör hozzárendelése, amely hozzáférést biztosít a konfiguráció kezeléséhez a Microsoft Entra ID-ban minden alkalmazáshoz. Ez az ajánlott módja annak, hogy az informatikai szakértők számára hozzáférést biztosítson a széles körű alkalmazáskonfigurációs engedélyek kezeléséhez anélkül, hogy hozzáférést biztosítanának a Microsoft Entra más, alkalmazáskonfigurációhoz nem kapcsolódó részeinek kezeléséhez.
• Létrehoz egy egyéni szerepkört , amely nagyon specifikus engedélyeket határoz meg, és hozzárendeli azt egy adott alkalmazás hatóköréhez korlátozott tulajdonosként, vagy a címtár hatókörében (az összes alkalmazáshoz) korlátozott rendszergazdaként.

Fontos, hogy két okból fontolja meg a hozzáférés megadását a fenti módszerek egyikével. Először is a rendszergazdai feladatok végrehajtásának delegálása csökkenti a magas szintű rendszergazdai többletterhelést. Másodszor, a korlátozott engedélyek használata javítja a biztonsági helyzetet, és csökkenti a jogosulatlan hozzáférés lehetőségét. A szerepkörök biztonsági tervezésével kapcsolatos irányelvekért tekintse meg a hibrid és felhőbeli üzemelő példányok kiemelt hozzáférésének biztonságossá tételét a Microsoft Entra ID-ban.

Alkalmazások létrehozásának korlátozása

Alapértelmezés szerint a Microsoft Entra ID-ban minden felhasználó regisztrálhat alkalmazásokat, és kezelheti az általuk létrehozott alkalmazások minden aspektusát. Mindenkinek lehetősége van arra is, hogy hozzájáruljon ahhoz, hogy az alkalmazások hozzáférjenek a céges adatokhoz a nevükben. Dönthet úgy, hogy szelektíven adja meg ezeket az engedélyeket, ha a globális kapcsolókat "Nem" értékre állítja, és hozzáadja a kiválasztott felhasználókat az alkalmazásfejlesztői szerepkörhöz.

Az alkalmazásregisztrációk létrehozásának alapértelmezett lehetőségének letiltása vagy az alkalmazásokhoz való hozzájárulás

Ha le szeretné tiltani az alkalmazásregisztrációk létrehozásának vagy az alkalmazásokhoz való hozzájárulásnak az alapértelmezett lehetőségét, az alábbi lépésekkel állíthatja be a szervezet egyik vagy mindkét beállítását.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.

2. Keresse meg az Identitásfelhasználók>>felhasználói beállításait.

3. Állítsa be, hogy a Felhasználók nem értékre regisztrálhatják az alkalmazásokat.

   Ezzel letiltja az alkalmazásregisztrációk felhasználói létrehozására szolgáló alapértelmezett képességet.

4. Keresse meg az Identity>Enterprise-alkalmazásokkal>kapcsolatos hozzájárulásokat és engedélyeket.

5. Válassza a Felhasználói hozzájárulás tiltása lehetőséget.

   Ezzel letiltja azt az alapértelmezett képességet, amellyel a felhasználók engedélyezhetik, hogy az alkalmazások a nevükben hozzáférjenek a vállalati adatokhoz.

Egyéni engedélyek megadása alkalmazások létrehozásához és jóváhagyásához, ha az alapértelmezett képesség le van tiltva

Rendelje hozzá az alkalmazásfejlesztői szerepkört , hogy lehetővé teszi az alkalmazásregisztrációk létrehozását, ha a Felhasználók regisztrálhatják az alkalmazásbeállítást Nem értékre állítja. Ez a szerepkör akkor is engedélyt ad a hozzájárulásra a saját nevében, ha a Felhasználók engedélyezhetik, hogy a felhasználók a nevükben hozzáférjenek a vállalati adatokhoz, a beállítás értéke Nem.

Alkalmazástulajdonosok hozzárendelése

A tulajdonosok hozzárendelése egyszerűen lehetővé teszi a Microsoft Entra konfigurációjának minden aspektusának kezelését egy adott alkalmazásregisztrációhoz vagy vállalati alkalmazáshoz. Bővebb információ: Tulajdonos kijelölése vállalati alkalmazáshoz.

Beépített alkalmazásadminisztrátori szerepkörök hozzárendelése

A Microsoft Entra ID beépített rendszergazdai szerepkörökből áll, amelyek hozzáférést biztosítanak a konfiguráció kezeléséhez a Microsoft Entra ID-ban minden alkalmazáshoz. Ezek a szerepkörök az ajánlott módja annak, hogy az informatikai szakértők hozzáférést biztosítsanak a széles körű alkalmazáskonfigurációs engedélyek kezeléséhez anélkül, hogy hozzáférést biztosítanának a Microsoft Entra más, alkalmazáskonfigurációhoz nem kapcsolódó részeinek kezeléséhez.

• Alkalmazásadminisztrátor: Az ebben a szerepkörben szereplő felhasználók létrehozhatják és kezelhetik a vállalati alkalmazások, az alkalmazásregisztrációk és az alkalmazásproxy-beállítások minden aspektusát. Ez a szerepkör lehetővé teszi a delegált engedélyek és a Microsoft Graph kivételével az alkalmazásengedélyek engedélyezését is. Az ezzel a szerepkörrel rendelkező felhasználók nem adódnak hozzá tulajdonosként az új alkalmazásregisztrációk vagy vállalati alkalmazások létrehozásakor.
• Felhőalkalmazás-rendszergazda: Az ebben a szerepkörben lévő felhasználók ugyanazokkal az engedélyekkel rendelkeznek, mint az alkalmazásadminisztrátori szerepkör, kivéve az alkalmazásproxy kezelését. Az ezzel a szerepkörrel rendelkező felhasználók nem adódnak hozzá tulajdonosként az új alkalmazásregisztrációk vagy vállalati alkalmazások létrehozásakor.

További információkért és a szerepkörök leírásának megtekintéséhez lásd: Microsoft Entra beépített szerepkörök.

Az alkalmazásadminisztrátori vagy felhőalapú alkalmazásadminisztrátori szerepkörök hozzárendeléséhez kövesse a Szerepkörök hozzárendelése a felhasználókhoz a Microsoft Entra id útmutatójában található utasításokat.

Fontos

Az alkalmazásgazdák és a felhőalkalmazás-rendszergazdák hitelesítő adatokat adhatnak egy alkalmazáshoz, és ezek használatával megszemélyesíthetik az alkalmazás identitását. Az alkalmazás rendelkezhet olyan engedélyekkel, amelyek jogosultságszint-emelési jogosultságot jelentenek a rendszergazdai szerepkör engedélyei felett. Az ebben a szerepkörben lévő rendszergazdák az alkalmazás engedélyétől függően létrehozhatnak vagy frissíthetnek felhasználókat vagy más objektumokat, miközben megszemélyesíthetik az alkalmazást. Egyik szerepkör sem teszi lehetővé a feltételes hozzáférési beállítások kezelését.

Egyéni szerepkör létrehozása és hozzárendelése (előzetes verzió)

Az egyéni szerepkörök létrehozása és az egyéni szerepkörök hozzárendelése külön lépések:

• Hozzon létre egy egyéni szerepkördefiníciót , és adjon hozzá engedélyeket egy előre beállított listából. Ezek ugyanazok az engedélyek, amelyeket a beépített szerepkörökben használnak.
• Hozzon létre egy szerepkör-hozzárendelést az egyéni szerepkör hozzárendeléséhez.

Ez az elkülönítés lehetővé teszi egyetlen szerepkördefiníció létrehozását, majd többszöri hozzárendelését különböző hatókörökben. Az egyéni szerepkörök szervezeti hatókörben vagy egyetlen Microsoft Entra-objektum hatókörében rendelhetők hozzá. Az objektum hatókörére példa egy alkalmazásregisztráció. Különböző hatókörök használatával ugyanaz a szerepkördefiníció rendelhető hozzá a Sallyhez a szervezet összes alkalmazásregisztrációja során, majd a Naveenhez csak a Contoso Költségjelentések alkalmazásregisztrációján keresztül.

Tippek egyéni szerepkörök létrehozásához és használatához az alkalmazáskezelés delegálásakor:

• Az egyéni szerepkörök csak a Microsoft Entra felügyeleti központ legújabb alkalmazásregisztrációs paneljeihez biztosítanak hozzáférést. Nem biztosítanak hozzáférést az örökölt alkalmazásregisztrációs paneleken.
• Az egyéni szerepkörök nem biztosítanak hozzáférést a Microsoft Entra felügyeleti központhoz, ha a Microsoft Entra felügyeleti portálhoz való hozzáférés korlátozása felhasználói beállítás igen értékre van állítva.
• Alkalmazásregisztrációk a felhasználó csak az Alkalmazásregisztráció lap "Minden alkalmazás" lapján jelenik meg szerepkör-hozzárendelésekhez való hozzáféréssel. Ezek nem jelennek meg a "Saját alkalmazások" lapon.

Az egyéni szerepkörök alapjairól további információt az egyéni szerepkörök áttekintésében, valamint az egyéni szerepkörök létrehozásának és a szerepkörök hozzárendelésének módjában talál.

Hibaelhárítás

Tünet – Hozzáférés megtagadva, amikor megpróbál regisztrálni egy alkalmazást

Amikor megpróbál regisztrálni egy alkalmazást a Microsoft Entra-azonosítóban, a következőhöz hasonló üzenetet kap:

Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.

Ok

Nem regisztrálhatja az alkalmazást a címtárban, mert a címtáradminisztrátor korlátozta, hogy ki hozhat létre alkalmazásokat.

Megoldás

Az alábbi műveletek végrehajtásához forduljon a rendszergazdához:

• Adjon engedélyeket az alkalmazások létrehozásához és jóváhagyásához az alkalmazásfejlesztői szerepkör hozzárendelésével.
• Hozza létre az alkalmazásregisztrációt, és rendelje hozzá Önhöz az alkalmazás tulajdonosát.

Következő lépések

• Alkalmazásregisztrációs altípusok és engedélyek
• Microsoft Entra beépített szerepek