Rövid útmutató: Korlátlan alkalmazásregisztrációk létrehozására vonatkozó engedély megadása
Ebben a rövid útmutatóban létrehozhat egy egyéni szerepkört, amely korlátlan számú alkalmazásregisztráció létrehozására jogosult, majd hozzárendelheti ezt a szerepkört egy felhasználóhoz. A hozzárendelt felhasználó ezután a Microsoft Entra felügyeleti központ, a Microsoft Graph PowerShell vagy a Microsoft Graph API használatával hozhat létre alkalmazásregisztrációkat. A beépített alkalmazásfejlesztői szerepkörtől eltérően ez az egyéni szerepkör korlátlan számú alkalmazásregisztráció létrehozását teszi lehetővé. Az alkalmazásfejlesztői szerepkör biztosítja a képességet, de a létrehozott objektumok teljes száma legfeljebb 250 lehet, hogy ne érje el a címtárszintű objektumkvótát. A Microsoft Entra egyéni szerepköreinek létrehozásához és hozzárendeléséhez a legkevésbé kiemelt szerepkör a Privileged Role Rendszergazda istrator.
Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
Előfeltételek
- Microsoft Entra ID P1 vagy P2 licenc
- Kiemelt szerepkörű rendszergazda vagy globális rendszergazda
- Microsoft Graph PowerShell-modul a PowerShell használatakor
- Rendszergazdai jóváhagyás a Graph Explorer for Microsoft Graph API használatához
További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.
Microsoft Entra felügyeleti központ
Egyéni szerepkör létrehozása
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
Keresse meg az Identitásszerepkörök>> Rendszergazdai>szerepkörök > rendszergazdai szerepköröket.
Válassza az Új egyéni szerepkör lehetőséget.
Az Alapok lapon adja meg az "Alkalmazásregisztráció létrehozója" nevet a szerepkör nevéhez, és "Korlátlan számú alkalmazásregisztrációt hozhat létre" a szerepkör leírásához, majd válassza a Tovább gombot.
Az Engedélyek lapon írja be a "microsoft.directory/applications/create" kifejezést a keresőmezőbe, majd jelölje be a kívánt engedélyek melletti jelölőnégyzeteket, majd kattintson a Tovább gombra.
A Véleményezés + létrehozás lapon tekintse át az engedélyeket, és válassza a Létrehozás lehetőséget.
A szerepkör hozzárendelése
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
Keresse meg az Identitásszerepkörök>> Rendszergazdai>szerepkörök > rendszergazdai szerepköröket.
Válassza ki az Alkalmazásregisztráció létrehozója szerepkört, és válassza a Hozzárendelés hozzáadása lehetőséget.
Jelölje ki a kívánt felhasználót, és a Kijelölés gombra kattintva vegye fel a felhasználót a szerepkörbe.
Kész! Ebben a rövid útmutatóban sikeresen létrehozott egy egyéni szerepkört, amely korlátlan számú alkalmazásregisztráció létrehozására jogosult, majd hozzárendelte ezt a szerepkört egy felhasználóhoz.
Tipp.
Ha egy alkalmazáshoz szeretné hozzárendelni a szerepkört a Microsoft Entra felügyeleti központ használatával, írja be az alkalmazás nevét a feladatlap keresőmezőjébe. Az alkalmazások alapértelmezés szerint nem jelennek meg a listában, de a keresési eredményekben jelennek meg.
Alkalmazásregisztráció engedélyei
Kétféle engedély érhető el az alkalmazásregisztrációk létrehozásának engedélyezéséhez, amelyek viselkedése eltérő.
- microsoft.directory/applications/createAsOwner: Ennek az engedélynek a hozzárendelésével a létrehozó hozzáadódik a létrehozott alkalmazásregisztráció első tulajdonosaként, és a létrehozott alkalmazásregisztráció a létrehozó 250 létrehozott objektumkvótája alapján számít.
- microsoft.directory/applications/create: Az engedély hozzárendelése azt eredményezi, hogy a létrehozó nem lesz hozzáadva a létrehozott alkalmazásregisztráció első tulajdonosaként, és a létrehozott alkalmazásregisztráció nem számít bele a létrehozó 250 létrehozott objektumkvótája közé. Körültekintően használja ezt az engedélyt, mert semmi sem akadályozza meg a hozzárendeltet abban, hogy alkalmazásregisztrációkat hozzon létre, amíg a címtárszintű kvótát meg nem éri. Ha mindkét engedély hozzá van rendelve, ez az engedély elsőbbséget élvez.
PowerShell
Egyéni szerepkör létrehozása
Hozzon létre egy új szerepkört a következő PowerShell-szkripttel:
# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/create"
"microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true
A szerepkör hozzárendelése
Rendelje hozzá a szerepkört a következő PowerShell-szkripttel:
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"
# Get resource scope for assignment
$resourceScope = '/'
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id
Microsoft Graph API
Egyéni szerepkör létrehozása
Egyéni szerepkör létrehozásához használja az UnifiedRoleDefinition API-t.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Törzs
{
"description": "Can create an unlimited number of application registrations.",
"displayName": "Application Registration Creator",
"isEnabled": true,
"rolePermissions":
[
{
"allowedResourceActions":
[
"microsoft.directory/applications/create"
"microsoft.directory/applications/createAsOwner"
]
}
],
"templateId": "<PROVIDE NEW GUID HERE>",
"version": "1"
}
A szerepkör hozzárendelése
Az egyéni szerepkör hozzárendeléséhez használja a Create unifiedRoleAssignment API-t. A szerepkör-hozzárendelés egyesíti a biztonsági egyszerű azonosítót (amely lehet felhasználó vagy szolgáltatásnév), egy szerepkördefiníciós (szerepkör-) azonosítót és egy Microsoft Entra-erőforrás-hatókört.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Törzs
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
"roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
"directoryScopeId": "/"
}
Következő lépések
- Nyugodtan ossza meg velünk a Microsoft Entra felügyeleti szerepkörök fórumán.
- A Microsoft Entra-szerepkörökről további információt a Microsoft Entra beépített szerepköreivel kapcsolatban talál.
- Az alapértelmezett felhasználói engedélyekről további információt az alapértelmezett vendég- és tagfelhasználói engedélyek összehasonlítása című témakörben talál.