以 Microsoft Entra ID 委派應用程式註冊權限

  • 發行項

本文說明如何使用 Microsoft Entra ID 中自定義角色授與的許可權,以解決應用程式管理需求。 在 Microsoft Entra ID 中,您可以透過下列方式委派應用程式的建立和管理權限:

  • 限制誰可以建立應用程式 及管理其建立的應用程式。 根據預設,在 Microsoft Entra 識別碼中,所有使用者都可以註冊應用程式,並管理其建立之應用程式的所有層面。 您可以限制只允許特定人員擁有該權限。
  • 將一或多個擁有者指派給應用程式。 這是一種簡單的方式,可授與某人管理特定應用程式之 Microsoft Entra 設定的所有層面的能力。
  • 指派內建系統管理角色 ,授與所有應用程式的 Microsoft Entra ID 中管理設定的存取權。 這是授與 IT 專家管理廣泛應用程式設定許可權,而不授與管理與應用程式設定無關之 Microsoft Entra 其他部分之存取權的建議方式。
  • 建立定義非常特定許可權的自定義角色 ,並將它指派給某個人,以有限擁有者身分將單一應用程式的範圍,或以有限的系統管理員身分指派給目錄範圍(所有應用程式)。

基於兩個原因,請務必考慮使用上述其中一種方法來授與存取權。 首先,委派執行系統管理工作的能力可減少全域 管理員 管理員的額外負荷。 第二,使用有限的權限來改善您的安全狀態,並降低未經授權存取的可能性。 如需角色安全性規劃的指導方針,請參閱 在 Microsoft Entra ID 中保護混合式和雲端部署的特殊許可權存取。

限制誰可以建立應用程式

根據預設,在 Microsoft Entra 識別碼中,所有使用者都可以註冊應用程式,並管理其建立之應用程式的所有層面。 每個人也都能夠同意應用程式代表他們存取公司的資料。 您可以選擇選擇性地授與這些許可權,方法是將全域參數設定為 [否],並將選取的使用者新增至應用程式開發人員角色。

若要停用建立應用程式註冊或同意應用程式的預設功能,請遵循下列步驟為您的組織設定其中一個或兩個設定。

  1. 以全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別用戶使用者>設定]。

  3. 將 [ 用戶可以註冊應用程式 ] 設定為 [ ]。

    這將停用使用者建立應用程式註冊的預設功能。

  4. 流覽至 [身分>識別企業應用程式>同意和許可權]。

  5. 選取 [不允許使用者同意] 選項。

    這將停用使用者同意應用程式代表其存取公司資料的預設功能。

指派應用程式開發人員角色,在 [用戶可以註冊應用程式] 設定設為 [否] 時,授與建立應用程式註冊的能力。 將 [使用者可同意應用程式代表自己存取公司資料] 設定設為 [否] 時,此角色也會被授與代表某人同意的權限。

指派應用程式擁有者

指派擁有者是一種簡單的方式,可針對特定應用程式註冊或企業應用程式,授與管理 Microsoft Entra 設定所有層面的功能。 如需詳細資訊,請參閱指派企業應用程式擁有者

指派內建的應用程式系統管理員角色

Microsoft Entra ID 有一組內建的系統管理員角色,可授與存取權來管理所有應用程式的 Microsoft Entra ID 設定。 建議使用這些角色來授與 IT 專家管理廣泛應用程式設定的存取權,而不授與其管理與應用程式設定不相關之 Microsoft Entra 其他部分的存取權。

  • 應用程式系統管理員:此角色中的使用者可以建立及管理企業應用程式、應用程式註冊與應用程式 Proxy 設定的所有層面。 此角色也會授與同意委派權限,及同意 Microsoft Graph 以外應用程式權限的功能。 建立新的應用程式註冊或企業應用程式時,獲指派此角色的使用者不會新增為擁有者。
  • 雲端應用程式系統管理員:此角色中的使用者具有與應用程式系統管理員角色相同的權限,但不包括管理應用程式 Proxy 的能力。 建立新的應用程式註冊或企業應用程式時,獲指派此角色的使用者不會新增為擁有者。

如需詳細資訊和查看這些角色的描述,請參閱 Microsoft Entra 內建角色

依照將角色指派給具有 Microsoft Entra ID 操作指南的使用者中的指示,指派應用程式 管理員 istrator 或 Cloud Application 管理員 istrator 角色。

重要

應用程式系統管理員與雲端應用程式系統管理員可以將認證新增至應用程式,並使用這些認證來模擬應用程式的身分識別。 應用程式具有的權限可能會將權限提高至高於系統管理員角色的權限。 此角色中的系統管理員可能會在模擬應用程式時建立或更新使用者或其他對象,視應用程式的許可權而定。 不會授與任何角色管理條件式存取設定的能力。

建立並指派自訂角色 (預覽)

建立自訂角色和指派自訂角色是分開的步驟:

此區隔可讓您建立單一角色定義,然後在不同的 範圍中多次指派它。 自定義角色可以在整個組織範圍內指派,也可以指派在單一 Microsoft Entra 物件的範圍。 物件範圍範例為單一應用程式註冊。 使用不同的範圍,可以將相同的角色定義指派給組織內所有應用程式註冊的 Sally,然後只針對 Contoso Expense Reports 應用程式註冊指派給 Naveen。

建立和使用自訂角色來委派應用程式管理的提示:

  • 自訂角色只會在 Microsoft Entra 系統管理中心的最新應用程式註冊刀鋒視窗中授與存取權。 他們不會在舊版應用程式註冊刀鋒視窗中授與存取權。
  • 當 [限制對 Microsoft Entra 系統管理入口網站的存取權] 使用者設定設為 [是] 時,自定義角色不會授與 Microsoft Entra 系統管理中心的存取權。
  • 應用程式註冊 使用者可以使用角色指派的存取權,只會顯示在 [應用程式註冊] 頁面上的 [所有應用程式] 索引標籤中。 它們不會顯示在 [擁有的應用程式] 索引標籤中。

如需自定義角色基本概念的詳細資訊,請參閱 自定義角色概觀,以及如何 建立自定義角色 以及如何 指派角色

疑難排解

徵兆 - 嘗試註冊應用程式時拒絕存取

當您嘗試在 Microsoft Entra ID 中註冊應用程式時,會收到類似下列的訊息:

Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.

Screenshot of access denied message when trying to create a new app registration.

原因

您無法在目錄中註冊應用程式,因為目錄管理員已 限制誰可以建立應用程式

方案

請連絡系統管理員以執行下列其中一項動作:

下一步