Szybki start: udzielanie uprawnień do tworzenia nieograniczonych rejestracji aplikacji

  • Artykuł

W tym przewodniku Szybki start utworzysz rolę niestandardową z uprawnieniami do tworzenia nieograniczonej liczby rejestracji aplikacji, a następnie przypiszesz tę rolę użytkownikowi. Przypisany użytkownik może następnie utworzyć rejestracje aplikacji przy użyciu centrum administracyjnego firmy Microsoft Entra, programu Microsoft Graph PowerShell lub interfejsu API programu Microsoft Graph. W przeciwieństwie do wbudowanej roli dewelopera aplikacji ta rola niestandardowa przyznaje możliwość tworzenia nieograniczonej liczby rejestracji aplikacji. Rola dewelopera aplikacji przyznaje możliwość, ale łączna liczba utworzonych obiektów jest ograniczona do 250, aby zapobiec osiągnięciu limitu przydziału obiektu w całym katalogu. Najmniej uprzywilejowaną rolą wymaganą do tworzenia i przypisywania ról niestandardowych firmy Microsoft Entra jest rola uprzywilejowana Administracja istrator.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Wymagania wstępne

  • Licencja Microsoft Entra ID P1 lub P2
  • Administrator ról uprzywilejowanych lub administrator globalny
  • Moduł programu PowerShell programu Microsoft Graph podczas korzystania z programu PowerShell
  • Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Centrum administracyjne Microsoft Entra

Tworzenie roli niestandardowej

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.

  2. Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>

  3. Wybierz pozycję Nowa rola niestandardowa.

    Create or edit roles from the Roles and administrators page

  4. Na karcie Podstawy podaj nazwę roli "Twórca rejestracji aplikacji" i "Może utworzyć nieograniczoną liczbę rejestracji aplikacji" dla opisu roli, a następnie wybierz przycisk Dalej.

    provide a name and description for a custom role on the Basics tab

  5. Na karcie Uprawnienia wprowadź ciąg "microsoft.directory/applications/create" w polu wyszukiwania, a następnie zaznacz pola wyboru obok żądanych uprawnień, a następnie wybierz przycisk Dalej.

    Select the permissions for a custom role on the Permissions tab

  6. Na karcie Przeglądanie + tworzenie przejrzyj uprawnienia i wybierz pozycję Utwórz.

Przypisywanie roli

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.

  2. Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>

  3. Wybierz rolę Twórca rejestracji aplikacji i wybierz pozycję Dodaj przypisanie.

  4. Wybierz żądanego użytkownika i kliknij pozycję Wybierz , aby dodać użytkownika do roli.

Gotowe! W tym przewodniku Szybki start pomyślnie utworzono rolę niestandardową z uprawnieniami do tworzenia nieograniczonej liczby rejestracji aplikacji, a następnie przypisano tę rolę użytkownikowi.

Napiwek

Aby przypisać rolę do aplikacji przy użyciu centrum administracyjnego firmy Microsoft Entra, wprowadź nazwę aplikacji w polu wyszukiwania strony przypisania. Aplikacje nie są domyślnie wyświetlane na liście, ale są zwracane w wynikach wyszukiwania.

Uprawnienia rejestracji aplikacji

W przypadku udostępniania możliwości tworzenia rejestracji aplikacji są dostępne dwa uprawnienia, każde o innym działaniu.

  • microsoft.directory/applications/createAsOwner: Przypisanie tego uprawnienia powoduje dodanie twórcy jako pierwszego właściciela utworzonej rejestracji aplikacji oraz liczniki utworzonej rejestracji aplikacji względem limitu przydziału utworzonych obiektów twórcy.
  • microsoft.directory/applications/create: Przypisanie tego uprawnienia powoduje, że twórca nie zostanie dodany jako pierwszy właściciel utworzonej rejestracji aplikacji, a utworzona rejestracja aplikacji nie będzie liczyć się z 250 utworzonymi obiektami twórcy. Należy dokładnie użyć tego uprawnienia, ponieważ nie ma żadnych elementów uniemożliwiających przypisaniu tworzenie rejestracji aplikacji do momentu trafienia limitu przydziału na poziomie katalogu. Jeśli przypisano oba uprawnienia, to uprawnienie ma pierwszeństwo.

PowerShell

Tworzenie roli niestandardowej

Utwórz nową rolę przy użyciu następującego skryptu programu PowerShell:

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

Przypisywanie roli

Przypisz rolę przy użyciu następującego skryptu programu PowerShell:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

Interfejsu API programu Microsoft Graph

Tworzenie roli niestandardowej

Użyj interfejsu API Create unifiedRoleDefinition , aby utworzyć rolę niestandardową.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Treść

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Przypisywanie roli

Użyj interfejsu API Create unifiedRoleAssignment , aby przypisać rolę niestandardową. Przypisanie roli łączy identyfikator podmiotu zabezpieczeń (który może być użytkownikiem lub jednostką usługi), identyfikatorem definicji roli (roli) i zakresem zasobów firmy Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Treść

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Następne kroki

  • Możesz się z nami podzielić na forum ról administracyjnych firmy Microsoft Entra.
  • Aby uzyskać więcej informacji o rolach firmy Microsoft Entra, zobacz Wbudowane role firmy Microsoft.
  • Aby uzyskać więcej informacji na temat domyślnych uprawnień użytkownika, zobacz porównanie domyślnych uprawnień gościa i użytkownika członkowskiego.