Quickstart: Machtiging verlenen om onbeperkte app-registraties te maken
In deze snelstartgids maakt u een aangepaste rol met machtigingen voor het maken van een onbeperkt aantal app-registraties en wijst u die rol vervolgens toe aan een gebruiker. De toegewezen gebruiker kan vervolgens het Microsoft Entra-beheercentrum, Microsoft Graph PowerShell of Microsoft Graph API gebruiken om toepassingsregistraties te maken. In tegenstelling tot de ingebouwde rol van toepassingsontwikkelaar verleent deze aangepaste rol de mogelijkheid om een onbeperkt aantal toepassingsregistraties te maken. De rol van toepassingsontwikkelaar biedt de mogelijkheid, maar het totale aantal gemaakte objecten is beperkt tot 250 om te voorkomen dat het objectquotum voor de directory wordt overschreden. De minst bevoorrechte rol die is vereist voor het maken en toewijzen van aangepaste Microsoft Entra-rollen is de beheerder van bevoorrechte rollen.
Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
Vereisten
- Licentie voor Microsoft Entra ID P1 of P2
- Beheerder voor bevoorrechte rollen
- Microsoft Graph PowerShell-module bij het gebruik van PowerShell
- U geeft beheerderstoestemming bij het gebruik van Graph Explorer voor de Microsoft Graph API
Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.
Microsoft Entra-beheercentrum
Een aangepaste rol maken
Tip
Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.
Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.
Selecteer Nieuwe aangepaste rol.
Voer op het tabblad Basisinformatie 'Application Registration Creator' in voor de naam van de rol en 'Kan een onbeperkt aantal toepassingsregistraties maken' voor de beschrijving van de rol en selecteer vervolgens Volgende.
Voer op het tabblad Machtigingen de optie microsoft.directory/applications/create in het zoekvak in, selecteer de selectievakjes naast de gewenste machtigingen en selecteer vervolgens Volgende.
Controleer op het tabblad Beoordelen en maken de machtigingen en selecteer Maken.
De rol toewijzen
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.
Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.
Selecteer de rol Application Registration Creator en selecteer Toewijzing toevoegen.
Selecteer de gewenste gebruiker en klik op Selecteren om de gebruiker aan de rol toe te voegen.
Gereed! In deze quickstart hebt u een aangepaste rol gemaakt met machtigingen om een onbeperkt aantal app-registraties te maken en vervolgens die rol toe te wijzen aan een gebruiker.
Tip
Als u de rol wilt toewijzen aan een toepassing met behulp van het Microsoft Entra-beheercentrum, voert u de naam van de toepassing in het zoekvak van de toewijzingspagina in. Toepassingen worden niet standaard weergegeven in de lijst, maar worden geretourneerd als zoekresultaten.
Machtigingen voor app-registratie
Er zijn twee machtigingen beschikbaar voor het verlenen van de mogelijkheid om toepassingsregistraties te maken, elk met verschillende gedragingen.
- microsoft.directory/applications/createAsOwner: Als u deze machtiging toewijst, wordt de maker toegevoegd als de eerste eigenaar van de gemaakte app-registratie en telt de gemaakte app-registratie mee op basis van het quotum voor 250 gemaakte objecten van de maker.
- microsoft.directory/applications/create: Als u deze machtiging toewijst, wordt de maker niet toegevoegd als de eerste eigenaar van de gemaakte app-registratie. De gemaakte app-registratie telt niet mee voor het quotum voor 250 gemaakte objecten van de maker. Gebruik deze machtiging zorgvuldig, omdat de toegewezen gebruiker geen app-registraties kan maken totdat het quotum op directoryniveau wordt bereikt. Als beide machtigingen zijn toegewezen, heeft deze machtiging voorrang.
Powershell
Een aangepaste rol maken
Maak een nieuwe rol met behulp van het volgende PowerShell-script:
# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/create"
"microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true
De rol toewijzen
Wijs de rol toe met behulp van het volgende PowerShell-script:
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"
# Get resource scope for assignment
$resourceScope = '/'
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id
Microsoft Graph API
Een aangepaste rol maken
Gebruik de API unifiedRoleDefinition maken om een aangepaste rol te maken.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Hoofdtekst
{
"description": "Can create an unlimited number of application registrations.",
"displayName": "Application Registration Creator",
"isEnabled": true,
"rolePermissions":
[
{
"allowedResourceActions":
[
"microsoft.directory/applications/create"
"microsoft.directory/applications/createAsOwner"
]
}
],
"templateId": "<PROVIDE NEW GUID HERE>",
"version": "1"
}
De rol toewijzen
Gebruik de API unifiedRoleDefinition maken om een aangepaste toe te wijzen. De roltoewijzing combineert een beveiligings-principal-id (die een gebruiker of service-principal kan zijn), een roldefinitie-id (rol) en een Microsoft Entra-resourcebereik.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Hoofdtekst
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
"roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
"directoryScopeId": "/"
}
Volgende stappen
- U kunt dit delen met ons op het Microsoft Entra-beheerrollenforum.
- Zie ingebouwde Microsoft Entra-rollen voor meer informatie over Microsoft Entra-rollen.
- Zie vergelijking van standaardmachtigingen voor gasten en gebruikersvoor meer informatie over standaard gebruikersmachtigingen.