무제한 앱 등록을 만들 수 있는 권한이 있는 사용자 지정 역할 만들기

이 빠른 시작 가이드에서는 개수 제한 없이 앱 등록을 만들 수 있는 권한이 있는 사용자 지정 역할을 만든 다음, 해당 역할을 사용자에게 할당합니다. 그런 다음 할당된 사용자는 Microsoft Entra 관리 센터, Microsoft Graph PowerShell 또는 Microsoft Graph API를 사용하여 애플리케이션 등록을 만들 수 있습니다. 기본 제공 애플리케이션 개발자 역할과 달리 이 사용자 지정 역할은 애플리케이션 등록을 무제한으로 만들 수 있는 기능을 부여합니다. 애플리케이션 개발자 역할은 기능을 부여하지만, 디렉터리 차원의 개체 할당량을 초과하지 않도록 생성된 개체의 총 수는 250개로 제한됩니다. Microsoft Entra 사용자 지정 역할을 만들고 할당하는 데 필요한 최소 권한 역할은 권한 있는 역할 관리자입니다.

Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.

사전 요구 사항

• Microsoft Entra ID P1 또는 P2 라이선스
• 권한 있는 역할 관리자
• PowerShell을 사용할 때 Microsoft Graph PowerShell 모듈
• Microsoft Graph API용 Graph 탐색기 사용 시 관리자 동의

자세한 내용은 PowerShell 또는 Graph Explorer를 사용하기 위한 필수 조건을 참조하세요.

관리 센터

사용자 지정 역할 만들기

팁

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.

1. 최소한 권한 있는 역할 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>역할 및 관리자>역할 및 관리자로 이동합니다.

3. 새 사용자 지정 역할을 선택합니다.

   

4. 기본 사항 탭에서 역할의 이름에 "애플리케이션 등록 작성자"를 입력하고 역할 설명에 "애플리케이션 등록을 무제한으로 만들 수 있음"을 선택한 후, 다음을 선택합니다.

   

5. 사용 권한 탭에서 검색 상자에 “microsoft.directory/applications/create”를 입력한 다음, 원하는 사용 권한 옆의 확인란을 선택한 후 다음을 선택합니다.

   

6. 검토 + 만들기 탭에서 권한을 검토하고 만들기를 선택합니다.

역할 할당

1. 최소한 권한 있는 역할 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>역할 및 관리자>역할 및 관리자로 이동합니다.

3. 애플리케이션 등록 작성자 역할을 선택하고 할당 추가를 선택합니다.

4. 원하는 사용자를 선택하고 선택을 클릭하여 사용자를 역할에 추가합니다.

완료! 이 빠른 시작에서는 갯수 제한 없이 앱 등록을 만들 수 있는 권한이 있는 사용자 지정 역할을 만든 다음, 해당 역할을 사용자에게 할당했습니다.

팁

Microsoft Entra 관리 센터를 사용하여 애플리케이션에 역할을 할당하려면 할당 페이지의 검색 상자에 애플리케이션의 이름을 입력합니다. 애플리케이션은 기본적으로 목록에 표시되지 않지만 검색 결과에 반환됩니다.

앱 등록 권한

애플리케이션 등록을 만들 수 있는 기능을 부여하는 데 사용할 수 있는 두 가지 권한은 각기 다른 동작입니다.

• microsoft.directory/applications/createAsOwner: 이 권한을 할당하면 생성된 앱 등록의 첫 번째 소유자로 작성자가 추가되고 생성된 앱 등록은 작성자의 250개 생성된 개체 할당량에 대해 계산됩니다.
• microsoft.directory/applications/create: 이 권한을 할당하면 생성된 앱 등록의 첫 번째 소유자로 작성자가 추가되지 않으며 생성된 앱 등록이 작성자의 250개 생성된 개체 할당량에 대해 계산되지 않습니다. 디렉터리 수준 할당량에 도달할 때까지는 담당자가 앱 등록 생성을 막을 수 없으므로 이 권한을 신중하게 사용하세요. 두 권한이 모두 할당된 경우 이 권한이 우선적으로 적용됩니다.

PowerShell

사용자 지정 역할 만들기

다음 PowerShell 스크립트를 사용하여 새 역할을 만듭니다.

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

역할 할당

다음 PowerShell 스크립트를 사용하여 역할을 할당합니다.

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

Graph API

사용자 지정 역할 만들기

Create unifiedRoleDefinition API를 사용하여 사용자 지정 역할을 만듭니다.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

본문

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

역할 할당

Create unifiedRoleAssignment API를 사용하여 사용자 지정 역할을 할당합니다. 역할 할당은 보안 주체 ID(사용자 또는 서비스 주체일 수 있음), 역할 정의(역할) ID 및 Microsoft Entra 리소스 범위를 결합합니다.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

본문

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

다음 단계

• Microsoft Entra 관리 역할 포럼에서 자유롭게 공유해 주세요.
• Microsoft Entra 역할에 대한 자세한 내용은 Microsoft Entra 기본 제공 역할을 참조하세요.
• 기본 사용자 권한에 대한 자세한 내용은 기본 게스트 및 멤버 사용자 권한 비교를 참조하세요.