Partilhar via


Delegar permissões de registo de aplicações no Microsoft Entra ID

Este artigo descreve como usar permissões concedidas por funções personalizadas no Microsoft Entra ID para atender às suas necessidades de gerenciamento de aplicativos. No Microsoft Entra ID, você pode delegar permissões de criação e gerenciamento de aplicativos das seguintes maneiras:

  • Restringir quem pode criar aplicativos e gerenciar os aplicativos que eles criam. Por padrão, no Microsoft Entra ID, todos os usuários podem registrar aplicativos e gerenciar todos os aspetos dos aplicativos que criam. Isso pode ser restrito para permitir apenas pessoas selecionadas com essa permissão.
  • Atribuir um ou mais proprietários a um aplicativo. Esta é uma maneira simples de conceder a alguém a capacidade de gerenciar todos os aspetos da configuração do Microsoft Entra para um aplicativo específico.
  • Atribuição de uma função administrativa interna que concede acesso para gerenciar a configuração no Microsoft Entra ID para todos os aplicativos. Esta é a maneira recomendada de conceder aos especialistas em TI acesso para gerenciar amplas permissões de configuração de aplicativos sem conceder acesso para gerenciar outras partes do Microsoft Entra não relacionadas à configuração de aplicativos.
  • Criar uma função personalizada definindo permissões muito específicas e atribuindo-a a alguém no escopo de um único aplicativo como um proprietário limitado ou no escopo do diretório (todos os aplicativos) como um administrador limitado.

É importante considerar a concessão de acesso usando um dos métodos acima por dois motivos. Primeiro, delegar a capacidade de executar tarefas administrativas reduz a sobrecarga do administrador altamente privilegiada. Em segundo lugar, o uso de permissões limitadas melhora sua postura de segurança e reduz o potencial de acesso não autorizado. Para obter diretrizes sobre o planejamento de segurança de função, consulte Protegendo acesso privilegiado para implantações híbridas e em nuvem no Microsoft Entra ID.

Restringir quem pode criar aplicativos

Por padrão, no Microsoft Entra ID, todos os usuários podem registrar aplicativos e gerenciar todos os aspetos dos aplicativos que criam. Todos também têm a capacidade de consentir que os aplicativos acessem os dados da empresa em seu nome. Você pode optar por conceder seletivamente essas permissões definindo as opções globais como 'Não' e adicionando os usuários selecionados à função de Desenvolvedor de Aplicativos.

Para desativar a capacidade padrão de criar registros de aplicativos ou consentir aplicativos, siga estas etapas para definir uma ou ambas essas configurações para sua organização.

  1. Entre no centro de administração do Microsoft Entra como Administrador Global.

  2. Navegue até Configurações de usuário de identidade>de usuários.>

  3. Defina a configuração Usuários podem registrar aplicativos como Não.

    Esta ação irá desativar a capacidade predefinida de os utilizadores criarem registos de aplicações.

  4. Navegue até Consentimento e permissões de aplicativos>Identity>Enterprise.

  5. Selecione a opção Não permitir consentimento do usuário.

    Esta ação irá desativar a capacidade predefinida de os utilizadores consentirem que as aplicações acedam aos dados da empresa em seu nome.

Atribua a função de Desenvolvedor de Aplicativos para conceder a capacidade de criar registros de aplicativos quando a configuração Usuários podem registrar aplicativos estiver definida como Não. Essa função também concede permissão para consentir em nome próprio quando os Usuários podem consentir que aplicativos acessem dados da empresa em seu nome , a configuração está definida como Não.

Atribuir proprietários de aplicativos

A atribuição de proprietários é uma maneira simples de conceder a capacidade de gerenciar todos os aspetos da configuração do Microsoft Entra para um registro de aplicativo específico ou aplicativo empresarial. Para obter mais informações, veja Atribuir proprietários da aplicação empresarial.

Atribuir funções internas de Administrador de Aplicativos

O Microsoft Entra ID tem um conjunto de funções de administrador internas para conceder acesso para gerenciar a configuração no Microsoft Entra ID para todos os aplicativos. Essas funções são a maneira recomendada de conceder aos especialistas em TI acesso para gerenciar amplas permissões de configuração de aplicativos sem conceder acesso para gerenciar outras partes do Microsoft Entra não relacionadas à configuração de aplicativos.

  • Administrador de aplicativos: os usuários nessa função podem criar e gerenciar todos os aspetos de aplicativos corporativos, registros de aplicativos e configurações de proxy de aplicativo. Essa função também concede a capacidade de consentir permissões delegadas e permissões de aplicativo excluindo o Microsoft Graph. Os utilizadores atribuídos a esta função não são adicionados como proprietários ao criar novos registos de aplicação ou aplicações empresariais.
  • Administrador de aplicativos na nuvem: os usuários nessa função têm as mesmas permissões que a função de administrador de aplicativos, excluindo a capacidade de gerenciar o proxy de aplicativos. Os utilizadores atribuídos a esta função não são adicionados como proprietários ao criar novos registos de aplicação ou aplicações empresariais.

Para obter mais informações e para ver a descrição destas funções, veja Funções incorporadas do Microsoft Entra.

Siga as instruções no guia de instruções Atribuir funções a usuários com o Microsoft Entra ID para atribuir as funções de Administrador de Aplicativos ou Administrador de Aplicativos na Nuvem.

Importante

Os administradores de aplicativos e os administradores de aplicativos na nuvem podem adicionar credenciais a um aplicativo e usá-las para representar a identidade do aplicativo. O aplicativo pode ter permissões que são uma elevação de privilégio sobre as permissões da função de administrador. Um administrador nessa função pode potencialmente criar ou atualizar usuários ou outros objetos enquanto representa o aplicativo, dependendo das permissões do aplicativo. Nenhuma das funções concede a capacidade de gerenciar configurações de Acesso Condicional.

Criar e atribuir uma função personalizada (visualização)

Criar funções personalizadas e atribuir funções personalizadas são etapas separadas:

Essa separação permite criar uma única definição de função e, em seguida, atribuí-la muitas vezes em escopos diferentes. Uma função personalizada pode ser atribuída no escopo de toda a organização ou pode ser atribuída no escopo de um único objeto do Microsoft Entra. Um exemplo de escopo de objeto é um único registro de aplicativo. Usando escopos diferentes, a mesma definição de função pode ser atribuída a Sally sobre todos os registros de aplicativo na organização e, em seguida, a Naveen sobre apenas o registro do aplicativo Contoso Expense Reports.

Dicas ao criar e usar funções personalizadas para delegar o gerenciamento de aplicativos:

  • As funções personalizadas só concedem acesso nas folhas de registro de aplicativo mais atuais do centro de administração do Microsoft Entra. Eles não concedem acesso nas folhas de registros de aplicativos herdados.
  • As funções personalizadas não concedem acesso ao centro de administração do Microsoft Entra quando a configuração de usuário Restringir acesso ao portal de administração do Microsoft Entra está definida como Sim.
  • Os registos de aplicações a que o utilizador tem acesso através de atribuições de funções só aparecem no separador 'Todas as aplicações' na página de registo da aplicação. Eles não aparecem na guia 'Aplicativos próprios'.

Para obter mais informações sobre os conceitos básicos de funções personalizadas, consulte a visão geral de funções personalizadas, bem como como criar uma função personalizada e como atribuir uma função.

Resolver problemas

Sintoma - Acesso negado quando tenta registar uma aplicação

Quando você tenta registrar um aplicativo no Microsoft Entra ID, você recebe uma mensagem semelhante à seguinte:

Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.

Captura de ecrã da mensagem de acesso negado ao tentar criar um novo registo de aplicação.

Motivo

Não é possível registrar o aplicativo no diretório porque o administrador do diretório restringiu quem pode criar aplicativos.

Solução

Entre em contato com o administrador para seguir um destes procedimentos:

  • Conceda permissões para criar e consentir aplicativos atribuindo-lhe a função de Desenvolvedor de Aplicativos.
  • Crie o registro do aplicativo para você e atribua-o como o proprietário do aplicativo.

Próximos passos