Создание настраиваемой роли с разрешениями на создание неограниченных регистраций приложений

В этом кратком руководстве описано, как создать настраиваемую роль с разрешением на создание неограниченного количества регистраций приложений, а затем назначить эту роль пользователю. Затем назначенный пользователь может использовать центр администрирования Microsoft Entra, Microsoft Graph PowerShell или API Microsoft Graph для создания регистраций приложений. В отличие от встроенной роли разработчика приложения, эта настраиваемая роль предоставляет возможность создавать неограниченное количество регистраций приложений. Роль разработчика приложений предоставляет возможность, но общее количество созданных объектов ограничено 250, чтобы предотвратить попадание квоты объекта на уровне каталога. Наименее привилегированная роль, необходимая для создания и назначения пользовательских ролей Microsoft Entra, является администратором привилегированных ролей.

Если у вас нет подписки Azure, создайте бесплатную учетную запись перед началом работы.

Предварительные условия

• Лицензия Microsoft Entra ID P1 или P2
• Администратор привилегированных ролей
• Модуль Microsoft Graph PowerShell при использовании PowerShell
• Согласие администратора при использовании Graph Explorer для API Microsoft Graph.

Дополнительные сведения см. в разделе "Предварительные требования" для использования PowerShell или обозревателя Graph.

Центр администрирования

Создайте пользовательскую роль

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

2. Перейдите к Entra ID>Роли и администраторы.

3. Выберите новую настраиваемую роль.

   

4. На вкладке "Основные сведения " введите "Создатель регистрации приложений" для имени роли и "Может создать неограниченное количество регистраций приложений" для описания роли, а затем нажмите кнопку "Далее".

   

5. На вкладке "Разрешения " введите "microsoft.directory/applications/create" в поле поиска, а затем установите флажки рядом с нужными разрешениями, а затем нажмите кнопку "Далее".

   

6. На вкладке "Просмотр и создание " просмотрите разрешения и нажмите кнопку "Создать".

Назначьте роль

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

2. Перейдите к Entra ID>Роли и администраторы.

3. Выберите роль создателя регистрации приложений и нажмите кнопку "Добавить назначение".

4. Выберите нужного пользователя и нажмите кнопку "Выбрать ", чтобы добавить пользователя в роль.

Готово! Из этого краткого руководства вы узнали, как создать настраиваемую роль с разрешением на создание неограниченного числа регистраций приложения, а затем назначить эту роль пользователю.

Совет

Чтобы назначить роль приложению с помощью Центра администрирования Microsoft Entra, введите имя приложения в поле поиска страницы назначения. Приложения по умолчанию не отображаются в списке, но возвращаются в результатах поиска.

Разрешения для регистрации приложений

Доступны два разрешения для предоставления возможности создавать регистрации приложений, каждое из которых имеет разное поведение.

• microsoft.directory/applications/createAsOwner: назначение этого разрешения приводит к добавлению создателя в качестве первого владельца регистрации созданного приложения, и созданная регистрация приложения может быть засчитана в квоту 250 созданных объектов создателя.
• microsoft.directory/applications/create: назначение этого разрешения приводит к тому, что создатель не добавляется в качестве первого владельца регистрации созданного приложения, а регистрация созданного приложения не будет засчитываться в счёт квоты создателя на 250 созданных объектов. Используйте это разрешение осторожно, потому что ничто не препятствует получателю создавать регистрации приложений до тех пор, пока не будет достигнута квота на уровне каталога. Если назначены оба разрешения, это разрешение имеет приоритет.

PowerShell

Создайте пользовательскую роль

Создайте роль с помощью следующего сценария PowerShell:

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

Назначьте роль

Назначьте роль с помощью следующего скрипта PowerShell:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

API Graph

Создайте пользовательскую роль

Используйте API Create unifiedRoleDefinition для создания настраиваемой роли.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Основное содержание

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Назначьте роль

Используйте API Create unifiedRoleAssignment , чтобы назначить пользовательскую роль. Назначение роли объединяет идентификатор участника безопасности (который может быть пользователем или служебным принципалом), идентификатор роли и область ресурсов Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Основное содержание

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Следующие шаги

• Вы можете поделиться с нами на форуме административных ролей Microsoft Entra.
• Дополнительные сведения о ролях Microsoft Entra см. в статье о встроенных ролях Microsoft Entra.
• Дополнительные сведения о разрешениях пользователей по умолчанию см. в сравнении разрешений гостевых и участников по умолчанию.