Delen via


Quickstart: Machtiging verlenen om onbeperkte app-registraties te maken

In deze snelstartgids maakt u een aangepaste rol met machtigingen voor het maken van een onbeperkt aantal app-registraties en wijst u die rol vervolgens toe aan een gebruiker. De toegewezen gebruiker kan vervolgens het Microsoft Entra-beheercentrum, Microsoft Graph PowerShell of Microsoft Graph API gebruiken om toepassingsregistraties te maken. In tegenstelling tot de ingebouwde rol van toepassingsontwikkelaar verleent deze aangepaste rol de mogelijkheid om een onbeperkt aantal toepassingsregistraties te maken. De rol van toepassingsontwikkelaar biedt de mogelijkheid, maar het totale aantal gemaakte objecten is beperkt tot 250 om te voorkomen dat het objectquotum voor de directory wordt overschreden. De minst bevoorrechte rol die is vereist voor het maken en toewijzen van aangepaste Microsoft Entra-rollen is de beheerder van bevoorrechte rollen.

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Vereisten

  • Licentie voor Microsoft Entra ID P1 of P2
  • Beheerder voor bevoorrechte rollen
  • Microsoft Graph PowerShell-module bij het gebruik van PowerShell
  • U geeft beheerderstoestemming bij het gebruik van Graph Explorer voor de Microsoft Graph API

Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

Microsoft Entra-beheercentrum

Een aangepaste rol maken

Tip

Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.

  2. Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.

  3. Selecteer Nieuwe aangepaste rol.

    Rollen maken of bewerken op de pagina Rollen en beheerders

  4. Voer op het tabblad Basisinformatie 'Application Registration Creator' in voor de naam van de rol en 'Kan een onbeperkt aantal toepassingsregistraties maken' voor de beschrijving van de rol en selecteer vervolgens Volgende.

    Geef een naam en beschrijving op voor een aangepaste rol op het tabblad Basis

  5. Voer op het tabblad Machtigingen de optie microsoft.directory/applications/create in het zoekvak in, selecteer de selectievakjes naast de gewenste machtigingen en selecteer vervolgens Volgende.

    De machtigingen voor een aangepaste rol selecteren op het tabblad Machtigingen

  6. Controleer op het tabblad Beoordelen en maken de machtigingen en selecteer Maken.

De rol toewijzen

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.

  2. Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.

  3. Selecteer de rol Application Registration Creator en selecteer Toewijzing toevoegen.

  4. Selecteer de gewenste gebruiker en klik op Selecteren om de gebruiker aan de rol toe te voegen.

Gereed! In deze quickstart hebt u een aangepaste rol gemaakt met machtigingen om een onbeperkt aantal app-registraties te maken en vervolgens die rol toe te wijzen aan een gebruiker.

Tip

Als u de rol wilt toewijzen aan een toepassing met behulp van het Microsoft Entra-beheercentrum, voert u de naam van de toepassing in het zoekvak van de toewijzingspagina in. Toepassingen worden niet standaard weergegeven in de lijst, maar worden geretourneerd als zoekresultaten.

Machtigingen voor app-registratie

Er zijn twee machtigingen beschikbaar voor het verlenen van de mogelijkheid om toepassingsregistraties te maken, elk met verschillende gedragingen.

  • microsoft.directory/applications/createAsOwner: Als u deze machtiging toewijst, wordt de maker toegevoegd als de eerste eigenaar van de gemaakte app-registratie en telt de gemaakte app-registratie mee op basis van het quotum voor 250 gemaakte objecten van de maker.
  • microsoft.directory/applications/create: Als u deze machtiging toewijst, wordt de maker niet toegevoegd als de eerste eigenaar van de gemaakte app-registratie. De gemaakte app-registratie telt niet mee voor het quotum voor 250 gemaakte objecten van de maker. Gebruik deze machtiging zorgvuldig, omdat de toegewezen gebruiker geen app-registraties kan maken totdat het quotum op directoryniveau wordt bereikt. Als beide machtigingen zijn toegewezen, heeft deze machtiging voorrang.

Powershell

Een aangepaste rol maken

Maak een nieuwe rol met behulp van het volgende PowerShell-script:

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

De rol toewijzen

Wijs de rol toe met behulp van het volgende PowerShell-script:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

Microsoft Graph API

Een aangepaste rol maken

Gebruik de API unifiedRoleDefinition maken om een aangepaste rol te maken.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Hoofdtekst

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

De rol toewijzen

Gebruik de API unifiedRoleDefinition maken om een aangepaste toe te wijzen. De roltoewijzing combineert een beveiligings-principal-id (die een gebruiker of service-principal kan zijn), een roldefinitie-id (rol) en een Microsoft Entra-resourcebereik.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Hoofdtekst

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Volgende stappen