Rövid útmutató: Korlátlan alkalmazásregisztrációk létrehozására vonatkozó engedély megadása

Ebben a rövid útmutatóban létrehozhat egy egyéni szerepkört, amely korlátlan számú alkalmazásregisztráció létrehozására jogosult, majd hozzárendelheti ezt a szerepkört egy felhasználóhoz. A hozzárendelt felhasználó ezután a Microsoft Entra felügyeleti központ, a Microsoft Graph PowerShell vagy a Microsoft Graph API használatával hozhat létre alkalmazásregisztrációkat. A beépített alkalmazásfejlesztői szerepkörtől eltérően ez az egyéni szerepkör korlátlan számú alkalmazásregisztráció létrehozását teszi lehetővé. Az alkalmazásfejlesztői szerepkör biztosítja a képességet, de a létrehozott objektumok teljes száma legfeljebb 250 lehet, hogy ne érje el a címtárszintű objektumkvótát. A Microsoft Entra egyéni szerepköreinek létrehozásához és hozzárendeléséhez a legkevésbé kiemelt szerepkör a Privileged Role Rendszergazda istrator.

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Előfeltételek

• Microsoft Entra ID P1 vagy P2 licenc
• Kiemelt szerepkörű rendszergazda vagy globális rendszergazda
• Microsoft Graph PowerShell-modul a PowerShell használatakor
• Rendszergazdai jóváhagyás a Graph Explorer for Microsoft Graph API használatához

További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.

Microsoft Entra felügyeleti központ

Egyéni szerepkör létrehozása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.

2. Keresse meg az Identitásszerepkörök>> Rendszergazdai>szerepkörök > rendszergazdai szerepköröket.

3. Válassza az Új egyéni szerepkör lehetőséget.

   

4. Az Alapok lapon adja meg az "Alkalmazásregisztráció létrehozója" nevet a szerepkör nevéhez, és "Korlátlan számú alkalmazásregisztrációt hozhat létre" a szerepkör leírásához, majd válassza a Tovább gombot.

   

5. Az Engedélyek lapon írja be a "microsoft.directory/applications/create" kifejezést a keresőmezőbe, majd jelölje be a kívánt engedélyek melletti jelölőnégyzeteket, majd kattintson a Tovább gombra.

   

6. A Véleményezés + létrehozás lapon tekintse át az engedélyeket, és válassza a Létrehozás lehetőséget.

A szerepkör hozzárendelése

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.

2. Keresse meg az Identitásszerepkörök>> Rendszergazdai>szerepkörök > rendszergazdai szerepköröket.

3. Válassza ki az Alkalmazásregisztráció létrehozója szerepkört, és válassza a Hozzárendelés hozzáadása lehetőséget.

4. Jelölje ki a kívánt felhasználót, és a Kijelölés gombra kattintva vegye fel a felhasználót a szerepkörbe.

Kész! Ebben a rövid útmutatóban sikeresen létrehozott egy egyéni szerepkört, amely korlátlan számú alkalmazásregisztráció létrehozására jogosult, majd hozzárendelte ezt a szerepkört egy felhasználóhoz.

Tipp.

Ha egy alkalmazáshoz szeretné hozzárendelni a szerepkört a Microsoft Entra felügyeleti központ használatával, írja be az alkalmazás nevét a feladatlap keresőmezőjébe. Az alkalmazások alapértelmezés szerint nem jelennek meg a listában, de a keresési eredményekben jelennek meg.

Alkalmazásregisztráció engedélyei

Kétféle engedély érhető el az alkalmazásregisztrációk létrehozásának engedélyezéséhez, amelyek viselkedése eltérő.

• microsoft.directory/applications/createAsOwner: Ennek az engedélynek a hozzárendelésével a létrehozó hozzáadódik a létrehozott alkalmazásregisztráció első tulajdonosaként, és a létrehozott alkalmazásregisztráció a létrehozó 250 létrehozott objektumkvótája alapján számít.
• microsoft.directory/applications/create: Az engedély hozzárendelése azt eredményezi, hogy a létrehozó nem lesz hozzáadva a létrehozott alkalmazásregisztráció első tulajdonosaként, és a létrehozott alkalmazásregisztráció nem számít bele a létrehozó 250 létrehozott objektumkvótája közé. Körültekintően használja ezt az engedélyt, mert semmi sem akadályozza meg a hozzárendeltet abban, hogy alkalmazásregisztrációkat hozzon létre, amíg a címtárszintű kvótát meg nem éri. Ha mindkét engedély hozzá van rendelve, ez az engedély elsőbbséget élvez.

PowerShell

Egyéni szerepkör létrehozása

Hozzon létre egy új szerepkört a következő PowerShell-szkripttel:

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

A szerepkör hozzárendelése

Rendelje hozzá a szerepkört a következő PowerShell-szkripttel:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

Microsoft Graph API

Egyéni szerepkör létrehozása

Egyéni szerepkör létrehozásához használja az UnifiedRoleDefinition API-t.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Törzs

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

A szerepkör hozzárendelése

Az egyéni szerepkör hozzárendeléséhez használja a Create unifiedRoleAssignment API-t. A szerepkör-hozzárendelés egyesíti a biztonsági egyszerű azonosítót (amely lehet felhasználó vagy szolgáltatásnév), egy szerepkördefiníciós (szerepkör-) azonosítót és egy Microsoft Entra-erőforrás-hatókört.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Törzs

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Következő lépések

• Nyugodtan ossza meg velünk a Microsoft Entra felügyeleti szerepkörök fórumán.
• A Microsoft Entra-szerepkörökről további információt a Microsoft Entra beépített szerepköreivel kapcsolatban talál.
• Az alapértelmezett felhasználói engedélyekről további információt az alapértelmezett vendég- és tagfelhasználói engedélyek összehasonlítása című témakörben talál.