Delegieren von App-Registrierungsberechtigungen in Microsoft Entra ID
In diesem Artikel wird beschrieben, wie Sie mithilfe der Berechtigungen, die über benutzerdefinierte Rollen in Microsoft Entra ID erteilt werden, Ihre Anforderungen an die Anwendungsverwaltung erfüllen können. In Microsoft Entra ID können Sie Berechtigungen zum Erstellen und Verwalten von Anwendungen folgendermaßen delegieren:
- Einschränken, welche Benutzer Anwendungen erstellen können, und Verwalten der erstellten Anwendungen. Standardmäßig können in Microsoft Entra ID alle Benutzer*innen Anwendungen registrieren und sämtliche Aspekte der von ihnen erstellten Anwendungen verwalten. Dies kann so eingeschränkt werden, dass diese Berechtigung nur für ausgewählte Personen gilt.
- Zuweisen eines oder mehrerer Besitzer zu einer Anwendung. Dies ist eine einfache Möglichkeit, einer Person die Berechtigung zu gewähren, alle Aspekte der Microsoft Entra-Konfiguration für eine bestimmte Anwendung zu verwalten.
- Zuweisen einer integrierten Administratorrolle, mit der Zugriff zum Verwalten der Konfiguration in Microsoft Entra ID für alle Anwendungen gewährt wird. Dies ist die empfohlene Vorgehensweise, um IT-Expert*innen Zugriff zum Verwalten von umfassenden Berechtigungen für die Anwendungskonfiguration zu gewähren, ohne Zugriff auf die Verwaltung anderer Bereiche von Microsoft Entra zu erteilen, die nicht mit der Anwendungskonfiguration zusammenhängen.
- Erstellen einer benutzerdefinierten Rolle, die sehr spezifische Berechtigungen definiert, und Zuweisen dieser Rolle zu einem Benutzer im Bereich einer einzelnen Anwendung als eingeschränkter Besitzer oder im Verzeichnisbereich (alle Anwendungen) als eingeschränkter Administrator.
Es ist aus zwei Gründen wichtig, den Zugriff mithilfe einer der oben genannten Methoden zu gewähren. Erstens wird durch die Delegierung der Fähigkeit, Verwaltungsaufgaben auszuführen, der Overhead für hoch privilegierte Administratoren reduziert. Zweitens verbessert die Verwendung eingeschränkter Berechtigungen den Sicherheitsstatus und reduziert das Potenzial für nicht autorisierten Zugriff. Richtlinien zur Planung der Rollensicherheit finden Sie unter Schützen des privilegierten Zugriffs für hybride und Cloudbereitstellungen in Microsoft Entra ID.
Einschränken, welche Benutzer Anwendungen erstellen können
Standardmäßig können in Microsoft Entra ID alle Benutzer*innen Anwendungen registrieren und sämtliche Aspekte der von ihnen erstellten Anwendungen verwalten. Alle Benutzer haben außerdem die Möglichkeit einzuwilligen, dass Apps in ihrem Namen auf Unternehmensdaten zugreifen. Sie können diese Berechtigungen selektiv erteilen, indem Sie die globalen Optionen auf „Nein“ festlegen und die ausgewählten Benutzer der Rolle „Anwendungsentwickler“ hinzufügen.
So deaktivieren Sie die Standardoption zum Erstellen von Anwendungsregistrierungen oder Erteilen der Einwilligung für Anwendungen
Um die Standardmöglichkeit zum Erstellen von Anwendungsregistrierungen oder die Zustimmung zu Anwendungen zu deaktivieren, führen Sie die folgenden Schritte aus, und legen Sie eine oder beide dieser Einstellungen für Ihre Organisation fest.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Identität>Benutzer>Benutzereinstellungen.
Legen Sie die Einstellung Benutzer können Anwendungen registrieren auf Nein fest.
Dadurch wird die Standardoption für Benutzer zum Erstellen von Anwendungsregistrierungen deaktiviert.
Navigieren Sie zu Identität>Unternehmensanwendungen>Einwilligung und Berechtigungen.
Wählen Sie die Option Benutzereinwilligung nicht zulassen aus.
Dadurch wird die Standardfunktion für Benutzer deaktiviert, Anwendungen den Zugriff auf Unternehmensdaten in ihrem Namen zu gestatten.
Erteilen einzelner Berechtigungen zum Erstellen von Anwendungen und Erteilen der Einwilligung für Anwendungen bei deaktivierter Standardfunktion
Weisen Sie die Rolle Anwendungsentwickler zu, um die Berechtigung zum Erstellen von Anwendungsregistrierungen zu erteilen, wenn die Einstellung Benutzer können Anwendungen registrieren auf „Nein“ festgelegt ist. Diese Rolle erteilt auch die Berechtigung zur Zustimmung im eigenen Namen, wenn die Einstellung Benutzer können Apps den Zugriff auf Unternehmensdaten in ihrem Namen gestatten auf „Nein“ festgelegt ist.
Zuweisen von Anwendungsbesitzern
Die Zuweisung von Besitzer*innen ist eine einfache Möglichkeit, einer Person die Berechtigung zu erteilen, alle Aspekte der Microsoft Entra-Konfiguration für eine bestimmte Anwendungsregistrierung oder Unternehmensanwendung zu verwalten. Weitere Informationen finden Sie unter Zuweisen von Unternehmensanwendungsbesitzern.
Zuweisen integrierter Anwendungsadministratorrollen
Microsoft Entra ID umfasst eine Reihe integrierter Administratorrollen, die den Zugriff auf die Konfigurationsverwaltung in Microsoft Entra ID für alle Anwendungen ermöglichen. Diese Rollen sind die empfohlene Vorgehensweise, um IT-Expert*innen Zugriff zum Verwalten von umfassenden Berechtigungen für die Anwendungskonfiguration zu gewähren, ohne Zugriff auf die Verwaltung anderer Bereiche von Microsoft Entra zu erteilen, die nicht mit der Anwendungskonfiguration zusammenhängen.
- Anwendungsadministrator: Benutzer mit dieser Rolle können alle Aspekte von Unternehmensanwendungen, Anwendungsregistrierungen und Anwendungsproxyeinstellungen erstellen und verwalten. Diese Rolle ermöglicht auch die Zustimmung zu delegierten Berechtigungen und Anwendungsberechtigungen, mit Ausnahme von Berechtigungen für Microsoft Graph. Benutzer, denen diese Rolle zugewiesen wurde, werden bei der Erstellung neuer Anwendungsregistrierungen oder Unternehmensanwendungen nicht als Besitzer hinzugefügt.
- Cloudanwendungsadministrator: Benutzer mit dieser Rolle haben die gleichen Berechtigungen wie die Rolle des Anwendungsadministrators, mit Ausnahme der Möglichkeit, den Anwendungsproxy zu verwalten. Benutzer, denen diese Rolle zugewiesen wurde, werden bei der Erstellung neuer Anwendungsregistrierungen oder Unternehmensanwendungen nicht als Besitzer hinzugefügt.
Weitere Informationen und eine Beschreibung dieser Rollen finden Sie unter Integrierte Microsoft Entra-Rollen.
Befolgen Sie die Anweisungen in der Anleitung zum Zuweisen von Rollen zu Benutzer*innen mithilfe von Microsoft Entra ID, um die Rollen „Anwendungsadministrator“ oder „Cloudanwendungsadministrator“ zuzuweisen.
Wichtig
Anwendungsadministratoren und Cloudanwendungsadministratoren können einer Anwendung Anmeldeinformationen hinzufügen und diese Anmeldeinformationen verwenden, um die Identität der Anwendung zu wechseln. Die Anwendung umfasst möglicherweise Berechtigungen, die in Bezug auf die Berechtigungen der Administratorrolle Rechteerweiterungen darstellen. Beim Wechseln der Identität der Anwendung kann ein Administrator in dieser Rolle abhängig von den Berechtigungen der Anwendung potenziell Benutzer oder andere Objekte erstellen oder aktualisieren. Keine dieser Rollen gewährt die Fähigkeit zum Verwalten der Einstellungen des bedingten Zugriffs.
Erstellen und Zuweisen einer benutzerdefinierten Rolle (Vorschau)
Die Erstellung von benutzerdefinierten Rollen und deren Zuweisung erfolgen in zwei separaten Schritten:
- Erstellen Sie eine benutzerdefinierte Rollendefinition, und fügen Sie ihr Berechtigungen aus einer vordefinierten Liste hinzu. Dabei handelt es sich um die gleichen Berechtigungen, die in den integrierten Rollen verwendet werden.
- Erstellen Sie eine Rollenzuweisung, um die benutzerdefinierte Rolle zuzuweisen.
Durch diese separaten Schritte können Sie eine einzelne Rollendefinition erstellen und dann für verschiedene Bereiche mehrmals zuzuweisen. Eine benutzerdefinierte Rolle kann im organisationsweiten Bereich oder im Bereich eines einzelnen Microsoft Entra-Objekts zugewiesen werden. Ein Beispiel für einen Objektbereich ist eine einzelne Anwendungsregistrierung. Durch Verwendung verschiedener Bereiche kann die gleiche Rollendefinition Sally für alle Anwendungsregistrierungen in der Organisation und dann Naveen nur für die Anwendungsregistrierung der Contoso-Spesenabrechnungen zugewiesen werden.
Tipps für die Erstellung und Verwendung von benutzerdefinierten Rollen für die Delegierung der Anwendungsverwaltung:
- Benutzerdefinierte Rollen gewähren nur Zugriff auf den Blättern für die aktuellen Anwendungsregistrierungen im Microsoft Entra Admin Center. Sie gewähren keinen Zugriff auf den Blättern für Legacyanwendungsregistrierungen.
- Benutzerdefinierte Rollen gewähren keinen Zugriff auf das Microsoft Entra Admin Center, wenn die Benutzereinstellung Zugriff auf Microsoft Entra-Verwaltungsportal einschränken auf Ja festgelegt ist.
- Anwendungsregistrierungen, auf die der Benutzer unter Verwendung von Rollenzuweisungen Zugriff hat, werden nur auf der Registerkarte „Alle Anwendungen“ auf der Seite „App-Registrierungen“ angezeigt. Auf der Registerkarte „Anwendungen mit Besitzer“ werden sie dagegen nicht angezeigt.
Weitere Informationen zu den Grundlagen von benutzerdefinierten Rollen finden Sie in der Übersicht über benutzerdefinierte Rollen sowie unter Erstellen einer benutzerdefinierten Rolle und unter Zuweisen einer Rolle.
Problembehandlung
Symptom: Zugriff verweigert, wenn Sie versuchen, eine Anwendung zu registrieren
Wenn Sie versuchen, eine Anwendung in Microsoft Entra ID zu registrieren, erhalten Sie eine ähnliche Meldung wie die folgende:
Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.
Ursache
Sie können die Anwendung nicht im Verzeichnis registrieren, da Ihr Verzeichnisadministrator eingeschränkt hat, wer Anwendungen erstellen kann.
Lösung
Wenden Sie sich an Ihren Administrator, damit er eine der folgenden Aktionen ausführt:
- Ihnen Berechtigungen zum Erstellen und Genehmigen von Anwendungen gewähren, indem Ihnen die Rolle „Anwendungsentwickler“ zugewiesen wird.
- Die Anwendungsregistrierung für Sie erstellen und Sie als Anwendungsbesitzer zuweisen.