無制限のアプリ登録を作成するアクセス許可を持つカスタム ロールを作成する

このクイック スタート ガイドでは、無制限の数のアプリの登録を作成するアクセス許可があるカスタム ロールを作成した後、そのロールをユーザーに割り当てます。 その後、割り当てられたユーザーは、Microsoft Entra 管理センター、Microsoft Graph PowerShell、または Microsoft Graph API を使用して、アプリケーションの登録を作成できます。 組み込みのアプリケーション開発者ロールとは異なり、このカスタム ロールには、無制限の数のアプリの登録を作成する権限が付与されます。 アプリケーション開発者ロールは権限を付与しますが、 ディレクトリ全体のオブジェクト クォータに達しないように、作成されたオブジェクトの合計数は 250 に制限されます。 Microsoft Entra カスタム ロールの作成と割り当てに必要な最小限の特権を持つロールは、特権ロール管理者です。

Azure サブスクリプションをお持ちでない場合は、開始 する前に無料アカウントを作成 してください。

前提条件

• Microsoft Entra ID P1 または P2 ライセンス
• 特権ロール管理者
• PowerShell を使用する場合の Microsoft Graph PowerShell モジュール
• Microsoft Graph API の Graph エクスプローラーを使用する場合の管理者の同意

詳細については、「powerShell または Graph Explorerを使用するための 前提条件」を参照してください。

管理センター

カスタム ロールを作成する

1. Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。

2. Entra ID>ロールと管理者に移動します。

3. [ 新しいカスタム ロール] を選択します。

   

4. [ 基本 ] タブで、ロールの名前として「アプリケーション登録作成者」、ロールの説明に「無制限の数のアプリケーション登録を作成できる」と入力し、[ 次へ] を選択します。

   

5. [ アクセス許可 ] タブで、検索ボックスに「microsoft.directory/applications/create」と入力し、目的のアクセス許可の横にあるチェック ボックスをオンにして、[ 次へ] を選択します。

   

6. [ 確認と作成 ] タブで、アクセス許可を確認し、[ 作成] を選択します。

ロールを割り当てる

1. Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。

2. Entra ID>役割と管理者に移動します。

3. アプリケーション登録作成者ロールを選択し、[ 割り当ての追加] を選択します。

4. 目的のユーザーを選択し、[ 選択 ] をクリックしてユーザーをロールに追加します。

これで完了です。 このクイックスタートでは、無制限の数のアプリの登録を作成するアクセス許可を持つカスタム ロールを作成した後、そのロールをユーザーに割り当てることに成功しました。

ヒント

Microsoft Entra 管理センター を使用してアプリケーションにロールを割り当てるには、[割り当て] ページの [検索] ボックスにアプリケーションの名前を入力します。 アプリケーションは既定では一覧に表示されませんが、検索結果に返されます。

アプリの登録とアクセス許可

アプリケーションの登録を作成する権限を付与するために使用できるアクセス許可は 2 つあり、それぞれ動作が異なります。

• microsoft.directory/applications/createAsOwner: このアクセス許可を割り当てると、作成者は、作成されたアプリの登録の最初の所有者として追加され、作成されたアプリの登録は、その作成者の 250 という作成オブジェクト クォータのカウント対象になります。
• microsoft.directory/applications/create: このアクセス許可を割り当てると、作成者は、作成されたアプリの登録の最初の所有者としては追加されず、作成されたアプリの登録は、その作成者の 250 という作成オブジェクト クォータのカウント対象になりません。 担当者がディレクトリ レベルのクォータに達するまでアプリの登録を作成できないようにするものはないため、このアクセス許可は慎重に使用してください。 両方のアクセス許可が割り当てられている場合は、このアクセス許可が優先されます。

PowerShell

カスタム ロールを作成する

次の PowerShell スクリプトを実行して、新しいロールを作成します。

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

ロールを割り当てる

次の PowerShell スクリプトを使用してロールを割り当てます。

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

Graph API

カスタム ロールを作成する

Create unifiedRoleDefinition API を使用してカスタム ロールを作成します。

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

体

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

ロールを割り当てる

Create unifiedRoleAssignment API を使用して、カスタム ロールを割り当てます。 ロールの割り当てでは、セキュリティ プリンシパル ID (ユーザーでもサービス プリンシパルでも可)、ロール定義 (ロール) ID、および Microsoft Entra リソース スコープを組み合わせます。

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

体

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

次のステップ

• Microsoft Entra 管理者ロール フォーラムで、お気軽に私たちと共有してください。
• Microsoft Entra ロールの詳細については、 Microsoft Entra の組み込みロールを参照してください。
• 既定のユーザーアクセス許可の詳細については、 既定のゲストとメンバーユーザーのアクセス許可の比較を参照してください。