Dela via

Snabbstart: Bevilja behörighet att skapa obegränsade appregistreringar

  • Artikel

I den här snabbstartsguiden skapar du en anpassad roll med behörighet att skapa ett obegränsat antal appregistreringar och sedan tilldela rollen till en användare. Den tilldelade användaren kan sedan använda administrationscentret för Microsoft Entra, Microsoft Graph PowerShell eller Microsoft Graph API för att skapa programregistreringar. Till skillnad från den inbyggda rollen Programutvecklare ger den här anpassade rollen möjlighet att skapa ett obegränsat antal programregistreringar. Rollen Programutvecklare ger möjlighet, men det totala antalet skapade objekt är begränsat till 250 för att förhindra att den katalogomfattande objektkvoten nås. Den minst privilegierade roll som krävs för att skapa och tilldela anpassade Microsoft Entra-roller är den privilegierade rolladministratören.

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Förutsättningar

  • Microsoft Entra ID P1- eller P2-licens
  • Administratör för privilegierad roll
  • Microsoft Graph PowerShell-modul när du använder PowerShell
  • Administratörsmedgivande när Graph Explorer för Microsoft Graph API används

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Microsoft Entra administrationscenter

Skapa en anpassad roll

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identitetsroller>och administratörsroller>och administratörer.

  3. Välj Ny anpassad roll.

    Skapa eller redigera roller från sidan Roller och administratörer

  4. På fliken Grundläggande anger du "Programregistreringsskapare" som namn på rollen och "Kan skapa ett obegränsat antal programregistreringar" för rollbeskrivningen och väljer sedan Nästa.

    ange ett namn och en beskrivning för en anpassad roll på fliken Grundläggande

  5. På fliken Behörigheter anger du "microsoft.directory/applications/create" i sökrutan och markerar sedan kryssrutorna bredvid önskade behörigheter och väljer sedan Nästa.

    Välj behörigheter för en anpassad roll på fliken Behörigheter

  6. På fliken Granska + skapa granskar du behörigheterna och väljer Skapa.

Tilldela rollen

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identitetsroller>och administratörsroller>och administratörer.

  3. Välj rollen Programregistreringsskapare och välj Lägg till tilldelning.

  4. Välj önskad användare och klicka på Välj för att lägga till användaren i rollen.

Klart! I den här snabbstarten har du skapat en anpassad roll med behörighet att skapa ett obegränsat antal appregistreringar och sedan tilldela rollen till en användare.

Dricks

Om du vill tilldela rollen till ett program med hjälp av administrationscentret för Microsoft Entra anger du namnet på programmet i sökrutan på tilldelningssidan. Program visas inte som standard i listan, men returneras i sökresultat.

Behörigheter för appregistrering

Det finns två behörigheter för att bevilja möjligheten att skapa programregistreringar och de fungerar på olika sätt.

  • microsoft.directory/applications/createAsOwner: Om du tilldelar den här behörigheten läggs skaparen till som den första ägaren av den skapade appregistreringen, och den skapade appregistreringen räknas mot skaparens kvot på 250 skapade objekt.
  • microsoft.directory/applications/create: Om du tilldelar den här behörigheten läggs inte skaparen till som den första ägaren av den skapade appregistreringen, och den skapade appregistreringen räknas inte mot skaparens kvot för 250 skapade objekt. Använd den här behörigheten noggrant eftersom det inte finns något som hindrar den tilldelade från att skapa appregistreringar förrän kvoten på katalognivå har nåtts. Om båda behörigheterna tilldelas har den här behörigheten företräde.

PowerShell

Skapa en anpassad roll

Skapa en ny roll med följande PowerShell-skript:

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

Tilldela rollen

Tilldela rollen med följande PowerShell-skript:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

Microsoft Graph API

Skapa en anpassad roll

Använd API:et Create unifiedRoleDefinition för att skapa en anpassad roll.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Brödtext

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Tilldela rollen

Använd API:et Create unifiedRoleAssignment för att tilldela den anpassade rollen. Rolltilldelningen kombinerar ett säkerhetshuvudnamns-ID (som kan vara en användare eller tjänstens huvudnamn), ett rolldefinitions-ID (roll) och ett Microsoft Entra-resursomfång.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Brödtext

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Nästa steg