Delegate app registration permissions in Microsoft Entra ID
Ez a cikk bemutatja, hogyan használhatja az egyéni szerepkörök által a Microsoft Entra-azonosítóban megadott engedélyeket az alkalmazáskezelési igények kielégítésére. A Microsoft Entra ID-ban az alábbi módokon delegálhat alkalmazáslétrehozási és felügyeleti engedélyeket:
- Annak korlátozása, hogy kik hozhatnak létre alkalmazásokat , és kezelhetik az általuk létrehozott alkalmazásokat. Alapértelmezés szerint a Microsoft Entra ID-ban minden felhasználó regisztrálhat alkalmazásokat, és kezelheti az általuk létrehozott alkalmazások minden aspektusát. Ez csak a kijelölt személyek engedélyének engedélyezésére korlátozható.
- Egy vagy több tulajdonos hozzárendelése egy alkalmazáshoz. Ez egy egyszerű módja annak, hogy lehetővé teszi valakinek, hogy kezelje a Microsoft Entra konfigurációjának minden aspektusát egy adott alkalmazáshoz.
- Beépített rendszergazdai szerepkör hozzárendelése, amely hozzáférést biztosít a konfiguráció kezeléséhez a Microsoft Entra ID-ban minden alkalmazáshoz. Ez az ajánlott módja annak, hogy az informatikai szakértők számára hozzáférést biztosítson a széles körű alkalmazáskonfigurációs engedélyek kezeléséhez anélkül, hogy hozzáférést biztosítanának a Microsoft Entra más, alkalmazáskonfigurációhoz nem kapcsolódó részeinek kezeléséhez.
- Létrehoz egy egyéni szerepkört , amely nagyon specifikus engedélyeket határoz meg, és hozzárendeli azt egy adott alkalmazás hatóköréhez korlátozott tulajdonosként, vagy a címtár hatókörében (az összes alkalmazáshoz) korlátozott rendszergazdaként.
Fontos, hogy két okból fontolja meg a hozzáférés megadását a fenti módszerek egyikével. Először is, a felügyeleti feladatok végrehajtásának delegálása csökkenti a globális Rendszergazda istrator többletterhelését. Másodszor, a korlátozott engedélyek használata javítja a biztonsági helyzetet, és csökkenti a jogosulatlan hozzáférés lehetőségét. A szerepkörök biztonsági tervezésével kapcsolatos irányelvekért tekintse meg a hibrid és felhőbeli üzemelő példányok kiemelt hozzáférésének biztonságossá tételét a Microsoft Entra ID-ban.
Alkalmazások létrehozásának korlátozása
Alapértelmezés szerint a Microsoft Entra ID-ban minden felhasználó regisztrálhat alkalmazásokat, és kezelheti az általuk létrehozott alkalmazások minden aspektusát. Mindenkinek lehetősége van arra is, hogy hozzájáruljon ahhoz, hogy az alkalmazások hozzáférjenek a céges adatokhoz a nevükben. Dönthet úgy, hogy szelektíven adja meg ezeket az engedélyeket, ha a globális kapcsolókat "Nem" értékre állítja, és hozzáadja a kiválasztott felhasználókat az alkalmazásfejlesztői szerepkörhöz.
Az alkalmazásregisztrációk létrehozásának alapértelmezett lehetőségének letiltása vagy az alkalmazásokhoz való hozzájárulás
Ha le szeretné tiltani az alkalmazásregisztrációk létrehozásának vagy az alkalmazásokhoz való hozzájárulásnak az alapértelmezett lehetőségét, az alábbi lépésekkel állíthatja be a szervezet egyik vagy mindkét beállítását.
Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként.
Keresse meg az Identitásfelhasználók>>felhasználói beállításait.
Állítsa be, hogy a Felhasználók nem értékre regisztrálhatják az alkalmazásokat.
This will disable the default ability for users to create application registrations.
Keresse meg az Identity>Enterprise-alkalmazásokkal>kapcsolatos hozzájárulásokat és engedélyeket.
Válassza a Felhasználói hozzájárulás tiltása lehetőséget.
This will disable the default ability for users to consent to applications accessing company data on their behalf.
Egyéni engedélyek megadása alkalmazások létrehozásához és jóváhagyásához, ha az alapértelmezett képesség le van tiltva
Rendelje hozzá az alkalmazásfejlesztői szerepkört , hogy lehetővé teszi az alkalmazásregisztrációk létrehozását, ha a Felhasználók regisztrálhatják az alkalmazásbeállítást Nem értékre állítja. Ez a szerepkör akkor is engedélyt ad a hozzájárulásra a saját nevében, ha a Felhasználók engedélyezhetik, hogy a felhasználók a nevükben hozzáférjenek a vállalati adatokhoz, a beállítás értéke Nem.
Alkalmazástulajdonosok hozzárendelése
A tulajdonosok hozzárendelése egyszerűen lehetővé teszi a Microsoft Entra konfigurációjának minden aspektusának kezelését egy adott alkalmazásregisztrációhoz vagy vállalati alkalmazáshoz. For more information, see Assign enterprise application owners.
Beépített alkalmazásadminisztrátori szerepkörök hozzárendelése
A Microsoft Entra ID beépített rendszergazdai szerepkörökből áll, amelyek hozzáférést biztosítanak a konfiguráció kezeléséhez a Microsoft Entra ID-ban minden alkalmazáshoz. Ezek a szerepkörök az ajánlott módja annak, hogy az informatikai szakértők hozzáférést biztosítsanak a széles körű alkalmazáskonfigurációs engedélyek kezeléséhez anélkül, hogy hozzáférést biztosítanának a Microsoft Entra más, alkalmazáskonfigurációhoz nem kapcsolódó részeinek kezeléséhez.
- Alkalmazás Rendszergazda istrator: Az ebben a szerepkörben lévő felhasználók létrehozhatják és kezelhetik a vállalati alkalmazások, alkalmazásregisztrációk és alkalmazásproxy-beállítások minden aspektusát. Ez a szerepkör lehetővé teszi a delegált engedélyek és a Microsoft Graph kivételével az alkalmazásengedélyek engedélyezését is. Users assigned to this role are not added as owners when creating new application registrations or enterprise applications.
- Felhőalkalmazás-Rendszergazda istrator: Az ebben a szerepkörben lévő felhasználók ugyanazokkal az engedélyekkel rendelkeznek, mint az Alkalmazás Rendszergazda istrator szerepkör, kivéve az alkalmazásproxy kezelését. Users assigned to this role are not added as owners when creating new application registrations or enterprise applications.
For more information and to view the description for these roles, see Microsoft Entra built-in roles.
Kövesse a Szerepkörök hozzárendelése a felhasználókhoz a Microsoft Entra-azonosító útmutatójában található utasításokat az alkalmazás-Rendszergazda istrator- vagy felhőalkalmazás-Rendszergazda istrator szerepkörök hozzárendeléséhez.
Fontos
Az alkalmazás-Rendszergazda istratorok és a felhőalkalmazás-Rendszergazda istratorok hitelesítő adatokat adhatnak egy alkalmazáshoz, és ezen hitelesítő adatok használatával megszemélyesíthetik az alkalmazás identitását. Az alkalmazás rendelkezhet olyan engedélyekkel, amelyek jogosultságszint-emelési jogosultságot jelentenek a rendszergazdai szerepkör engedélyei felett. Az ebben a szerepkörben lévő rendszergazdák az alkalmazás engedélyétől függően létrehozhatnak vagy frissíthetnek felhasználókat vagy más objektumokat, miközben megszemélyesíthetik az alkalmazást. Egyik szerepkör sem teszi lehetővé a feltételes hozzáférési beállítások kezelését.
Egyéni szerepkör létrehozása és hozzárendelése (előzetes verzió)
Az egyéni szerepkörök létrehozása és az egyéni szerepkörök hozzárendelése külön lépések:
- Hozzon létre egy egyéni szerepkördefiníciót , és adjon hozzá engedélyeket egy előre beállított listából. Ezek ugyanazok az engedélyek, amelyeket a beépített szerepkörökben használnak.
- Hozzon létre egy szerepkör-hozzárendelést az egyéni szerepkör hozzárendeléséhez.
Ez az elkülönítés lehetővé teszi egyetlen szerepkördefiníció létrehozását, majd többszöri hozzárendelését különböző hatókörökben. Az egyéni szerepkörök szervezeti hatókörben vagy egyetlen Microsoft Entra-objektum hatókörében rendelhetők hozzá. Az objektum hatókörére példa egy alkalmazásregisztráció. Különböző hatókörök használatával ugyanaz a szerepkördefiníció rendelhető hozzá a Sallyhez a szervezet összes alkalmazásregisztrációja során, majd a Naveenhez csak a Contoso Költségjelentések alkalmazásregisztrációján keresztül.
Tippek, amikor egyéni szerepköröket hoz létre és használ az alkalmazáskezelés delegálásához:
- Az egyéni szerepkörök csak a Microsoft Entra felügyeleti központ legújabb alkalmazásregisztrációs paneljeihez biztosítanak hozzáférést. Nem biztosítanak hozzáférést az örökölt alkalmazásregisztrációs paneleken.
- Az egyéni szerepkörök nem biztosítanak hozzáférést a Microsoft Entra felügyeleti központhoz, ha a Microsoft Entra felügyeleti portálhoz való hozzáférés korlátozása felhasználói beállítás igen értékre van állítva.
- Alkalmazásregisztrációk a felhasználó csak az Alkalmazásregisztráció lap "Minden alkalmazás" lapján jelenik meg szerepkör-hozzárendelésekhez való hozzáféréssel. Ezek nem jelennek meg a "Saját alkalmazások" lapon.
Az egyéni szerepkörök alapjairól további információt az egyéni szerepkörök áttekintésében, valamint az egyéni szerepkörök létrehozásának és a szerepkörök hozzárendelésének módjában talál.
Hibaelhárítás
Tünet – Hozzáférés megtagadva, amikor megpróbál regisztrálni egy alkalmazást
Amikor megpróbál regisztrálni egy alkalmazást a Microsoft Entra-azonosítóban, a következőhöz hasonló üzenetet kap:
Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.
Ok
Nem regisztrálhatja az alkalmazást a címtárban, mert a címtáradminisztrátor korlátozta, hogy ki hozhat létre alkalmazásokat.
Megoldás
Az alábbi műveletek végrehajtásához forduljon a rendszergazdához:
- Adjon engedélyeket az alkalmazások létrehozásához és jóváhagyásához az alkalmazásfejlesztői szerepkör hozzárendelésével.
- Hozza létre az alkalmazásregisztrációt, és rendelje hozzá Önhöz az alkalmazás tulajdonosát.
További lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: