Snabbstart: Bevilja behörighet att skapa obegränsade appregistreringar
I den här snabbstartsguiden skapar du en anpassad roll med behörighet att skapa ett obegränsat antal appregistreringar och sedan tilldela rollen till en användare. Den tilldelade användaren kan sedan använda administrationscentret för Microsoft Entra, Microsoft Graph PowerShell eller Microsoft Graph API för att skapa programregistreringar. Till skillnad från den inbyggda rollen Programutvecklare ger den här anpassade rollen möjlighet att skapa ett obegränsat antal programregistreringar. Rollen Programutvecklare ger möjlighet, men det totala antalet skapade objekt är begränsat till 250 för att förhindra att den katalogomfattande objektkvoten nås. Den minst privilegierade roll som krävs för att skapa och tilldela anpassade Microsoft Entra-roller är den privilegierade rolladministratören.
Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.
Förutsättningar
- Microsoft Entra ID P1- eller P2-licens
- Privilegierad rolladministratör eller global administratör
- Microsoft Graph PowerShell-modul när du använder PowerShell
- Administratörsmedgivande när Graph Explorer för Microsoft Graph API används
Mer information finns i Krav för att använda PowerShell eller Graph Explorer.
Microsoft Entra administrationscenter
Skapa en anpassad roll
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
Bläddra till Identitetsroller>och administratörsroller>och administratörer.
Välj Ny anpassad roll.
På fliken Grundläggande anger du "Programregistreringsskapare" för rollens namn och "Kan skapa ett obegränsat antal programregistreringar" för rollbeskrivningen och väljer sedan Nästa.
På fliken Behörigheter anger du "microsoft.directory/applications/create" i sökrutan och markerar sedan kryssrutorna bredvid önskade behörigheter och väljer sedan Nästa.
På fliken Granska + skapa granskar du behörigheterna och väljer Skapa.
Tilldela rollen
Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
Bläddra till Identitetsroller>och administratörsroller>och administratörer.
Välj rollen Programregistreringsskapare och välj Lägg till tilldelning.
Välj önskad användare och klicka på Välj för att lägga till användaren i rollen.
Klart! I den här snabbstarten har du skapat en anpassad roll med behörighet att skapa ett obegränsat antal appregistreringar och sedan tilldela rollen till en användare.
Dricks
Om du vill tilldela rollen till ett program med hjälp av administrationscentret för Microsoft Entra anger du namnet på programmet i sökrutan på tilldelningssidan. Program visas inte som standard i listan, men returneras i sökresultat.
Behörigheter för appregistrering
Det finns två behörigheter för att bevilja möjligheten att skapa programregistreringar och de fungerar på olika sätt.
- microsoft.directory/applications/createAsOwner: Om du tilldelar den här behörigheten läggs skaparen till som den första ägaren av den skapade appregistreringen, och den skapade appregistreringen räknas mot skaparens kvot på 250 skapade objekt.
- microsoft.directory/applications/create: Om du tilldelar den här behörigheten läggs inte skaparen till som den första ägaren av den skapade appregistreringen, och den skapade appregistreringen räknas inte mot skaparens kvot för 250 skapade objekt. Använd den här behörigheten noggrant eftersom det inte finns något som hindrar den tilldelade från att skapa appregistreringar förrän kvoten på katalognivå har nåtts. Om båda behörigheterna tilldelas har den här behörigheten företräde.
PowerShell
Skapa en anpassad roll
Skapa en ny roll med följande PowerShell-skript:
# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/create"
"microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true
Tilldela rollen
Tilldela rollen med följande PowerShell-skript:
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"
# Get resource scope for assignment
$resourceScope = '/'
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id
Microsoft Graph API
Skapa en anpassad roll
Använd API:et Create unifiedRoleDefinition för att skapa en anpassad roll.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Brödtext
{
"description": "Can create an unlimited number of application registrations.",
"displayName": "Application Registration Creator",
"isEnabled": true,
"rolePermissions":
[
{
"allowedResourceActions":
[
"microsoft.directory/applications/create"
"microsoft.directory/applications/createAsOwner"
]
}
],
"templateId": "<PROVIDE NEW GUID HERE>",
"version": "1"
}
Tilldela rollen
Använd API:et Create unifiedRoleAssignment för att tilldela den anpassade rollen. Rolltilldelningen kombinerar ett säkerhetshuvudnamns-ID (som kan vara en användare eller tjänstens huvudnamn), ett rolldefinitions-ID (roll) och ett Microsoft Entra-resursomfång.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Brödtext
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
"roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
"directoryScopeId": "/"
}
Nästa steg
- Dela gärna med oss på forumet för administrativa roller i Microsoft Entra.
- Mer information om Microsoft Entra-roller finns i Inbyggda Microsoft Entra-roller.
- Mer information om standardanvändarbehörigheter finns i jämförelse av standardbehörigheter för gäst- och medlemsanvändare.