빠른 시작: 무제한 앱 등록 만들기에 대한 사용 권한 부여

  • 아티클

이 빠른 시작 가이드에서는 무제한의 앱 등록을 만든 다음 사용자에게 해당 역할을 할당할 수 있는 권한이 있는 사용자 지정 역할을 만듭니다. 그러면 할당된 사용자가 Microsoft Entra 관리 센터, Microsoft Graph PowerShell 또는 Microsoft Graph API를 사용하여 애플리케이션 등록을 만들 수 있습니다. 기본 제공 애플리케이션 개발자 역할과 달리 이 사용자 지정 역할은 애플리케이션 등록을 무제한으로 만들 수 있는 기능을 부여합니다. 애플리케이션 개발자 역할은 기능을 부여하지만, 디렉터리 차원의 개체 할당량을 초과하지 않도록 생성된 개체의 총 수는 250개로 제한됩니다. Microsoft Entra 사용자 지정 역할을 만들고 할당하는 데 필요한 최소 권한 역할은 권한 있는 역할 관리자입니다.

Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.

사전 요구 사항

  • Microsoft Entra ID P1 또는 P2 라이선스
  • 권한 있는 역할 관리자 또는 전역 관리자
  • PowerShell을 사용하는 경우 Microsoft Graph PowerShell 모듈
  • Microsoft Graph API용 Graph 탐색기 사용 시 관리자 동의

자세한 내용은 PowerShell 또는 Graph Explorer를 사용하기 위한 필수 조건을 참조하세요.

Microsoft Entra 관리 센터

사용자 지정 역할 만들기

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

  1. 최소한 권한 있는 역할 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>역할 및 관리자>역할 및 관리자로 이동합니다.

  3. 새 사용자 지정 역할을 선택합니다.

    Create or edit roles from the Roles and administrators page

  4. 기본 탭에서 역할의 이름에 “애플리케이션 등록 작성자”를 입력하고 역할 설명에 “애플리케이션 등록을 무제한으로 만들 수 있음”을 선택한 후, 다음을 선택합니다.

    provide a name and description for a custom role on the Basics tab

  5. 사용 권한 탭에서 검색 상자에 “microsoft.directory/applications/create”를 입력한 다음, 원하는 사용 권한 옆의 확인란을 선택한 후 다음을 선택합니다.

    Select the permissions for a custom role on the Permissions tab

  6. 검토 + 만들기 탭에서 권한을 검토하고 만들기를 선택합니다.

역할 할당

  1. 최소한 권한 있는 역할 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>역할 및 관리자>역할 및 관리자로 이동합니다.

  3. 애플리케이션 등록 작성자 역할을 선택하고 할당 추가를 선택합니다.

  4. 원하는 사용자를 선택하고 선택을 클릭하여 사용자를 역할에 추가합니다.

완료! 이 빠른 시작에서는 갯수 제한 없이 앱 등록을 만들 수 있는 권한이 있는 사용자 지정 역할을 만든 다음, 해당 역할을 사용자에게 할당했습니다.

Microsoft Entra 관리 센터를 사용하여 애플리케이션에 역할을 할당하려면 할당 페이지의 검색 상자에 애플리케이션의 이름을 입력합니다. 애플리케이션은 기본적으로 목록에 표시되지 않지만 검색 결과에 반환됩니다.

앱 등록 권한

애플리케이션 등록을 만들 수 있는 기능을 부여하는 데 사용할 수 있는 두 가지 권한은 각기 다른 동작입니다.

  • microsoft.directory/applications/createAsOwner: 이 권한을 할당하면 작성자가 만든 앱 등록의 첫 번째 소유자로 추가되고 만든 앱 등록 수는 작성자의 250개 만든 개체 할당량에 대해 계산됩니다.
  • microsoft.directory/applications/create: 이 권한을 할당하면 만든 앱 등록의 첫 번째 소유자로 작성자가 추가되지 않으며 만든 앱 등록은 작성자의 250개 만든 개체 할당량에 포함되지 않습니다. 디렉터리 수준 할당량에 도달할 때까지 담당자가 앱 등록을 만들 수 없으므로 이 권한을 신중하게 사용합니다. 두 권한이 모두 할당된 경우 이 권한이 우선적으로 적용됩니다.

PowerShell

사용자 지정 역할 만들기

다음 PowerShell 스크립트를 사용하여 새 역할을 만듭니다.

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

역할 할당

다음 PowerShell 스크립트를 사용하여 역할을 할당합니다.

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

Microsoft Graph API

사용자 지정 역할 만들기

Create unifiedRoleDefinition API를 사용하여 사용자 지정 역할을 만듭니다.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

본문

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

역할 할당

Create unifiedRoleAssignment API를 사용하여 사용자 지정 역할을 할당합니다. 역할 할당은 보안 주체 ID(사용자 또는 서비스 주체일 수 있음), 역할 정의(역할) ID 및 Microsoft Entra 리소스 범위를 결합합니다.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

본문

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

다음 단계