Machtigingen voor app-registratie delegeren in Microsoft Entra ID
In dit artikel wordt beschreven hoe u machtigingen gebruikt die zijn verleend door aangepaste rollen in Microsoft Entra ID om te voldoen aan uw behoeften voor toepassingsbeheer. In Microsoft Entra ID kunt u machtigingen voor het maken en beheren van toepassingen delegeren op de volgende manieren:
- Beperken wie toepassingen kan maken en de toepassingen kan beheren die ze maken. Standaard kunnen alle gebruikers in Microsoft Entra ID toepassingen registreren en alle aspecten van toepassingen beheren die ze maken. Dit kan worden beperkt tot alleen geselecteerde personen die toestemming geven.
- Een of meer eigenaren toewijzen aan een toepassing. Dit is een eenvoudige manier om iemand de mogelijkheid te geven om alle aspecten van de Microsoft Entra-configuratie voor een specifieke toepassing te beheren.
- Het toewijzen van een ingebouwde beheerdersrol die toegang verleent tot het beheren van de configuratie in Microsoft Entra ID voor alle toepassingen. Dit is de aanbevolen manier om IT-experts toegang te verlenen tot het beheren van brede toepassingsconfiguratiemachtigingen zonder toegang te verlenen tot het beheren van andere onderdelen van Microsoft Entra die niet zijn gerelateerd aan de toepassingsconfiguratie.
- Het maken van een aangepaste rol die zeer specifieke machtigingen definieert en deze aan iemand toewijst aan het bereik van één toepassing als een beperkte eigenaar, of in het directorybereik (alle toepassingen) als een beperkte beheerder.
Het is belangrijk om om twee redenen toegang te verlenen met behulp van een van de bovenstaande methoden. Ten eerste vermindert het delegeren van de mogelijkheid om beheertaken uit te voeren de overhead van beheerders met hoge bevoegdheden. Ten tweede verbetert het gebruik van beperkte machtigingen uw beveiligingspostuur en vermindert u het potentieel voor onbevoegde toegang. Zie Privileged Access beveiligen voor hybride en cloudimplementaties in Microsoft Entra ID voor richtlijnen over de planning van rolbeveiliging.
Beperken wie toepassingen kan maken
Standaard kunnen alle gebruikers in Microsoft Entra ID toepassingen registreren en alle aspecten van toepassingen beheren die ze maken. Iedereen heeft ook de mogelijkheid om namens hen toestemming te geven voor apps die toegang hebben tot bedrijfsgegevens. U kunt ervoor kiezen om deze machtigingen selectief te verlenen door de globale schakelopties in te stellen op Nee en de geselecteerde gebruikers toe te voegen aan de rol Toepassingsontwikkelaar.
De standaardmogelijkheid voor het maken van toepassingsregistraties of toestemming voor toepassingen uitschakelen
Als u de standaardmogelijkheid voor het maken van toepassingsregistraties of toestemming voor toepassingen wilt uitschakelen, volgt u deze stappen om een of beide van deze instellingen voor uw organisatie in te stellen.
Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
Blader naar gebruikersinstellingen voor identiteitsgebruikers>>.
Stel in dat gebruikers toepassingen kunnen registreren op Nee.
Hierdoor wordt de standaardmogelijkheid uitgeschakeld voor gebruikers om toepassingsregistraties te maken.
Blader naar Toestemming en machtigingen voor Identity>Enterprise-toepassingen.>
Selecteer de optie Gebruikerstoestemming niet toestaan.
Hiermee schakelt u de standaardmogelijkheid voor gebruikers uit om toestemming te geven voor toepassingen die namens hen toegang hebben tot bedrijfsgegevens.
Afzonderlijke machtigingen verlenen om toepassingen te maken en toestemming te geven wanneer de standaardmogelijkheid is uitgeschakeld
Wijs de rol Toepassingsontwikkelaar toe om toepassingsregistraties te maken wanneer de instelling Toepassingen kan registreren is ingesteld op Nee. Deze rol verleent ook toestemming om namens hen toestemming te geven wanneer de gebruikers toestemming kunnen geven voor apps die namens hen bedrijfsgegevens openen, is ingesteld op Nee.
Toepassingseigenaren toewijzen
Het toewijzen van eigenaren is een eenvoudige manier om alle aspecten van Microsoft Entra-configuratie te beheren voor een specifieke toepassingsregistratie of bedrijfstoepassing. Raadpleeg Eigenaren van bedrijfstoepassingen toewijzen voor meer informatie.
Ingebouwde rollen van toepassingsbeheerder toewijzen
Microsoft Entra ID heeft een set ingebouwde beheerdersrollen voor het verlenen van toegang tot het beheren van de configuratie in Microsoft Entra-id voor alle toepassingen. Deze rollen zijn de aanbevolen manier om IT-experts toegang te verlenen tot het beheren van brede toepassingsconfiguratiemachtigingen zonder toegang te verlenen tot het beheren van andere onderdelen van Microsoft Entra die niet zijn gerelateerd aan toepassingsconfiguratie.
- Toepassingsbeheerder: gebruikers in deze rol kunnen alle aspecten van bedrijfstoepassingen, toepassingsregistraties en toepassingsproxy-instellingen maken en beheren. Deze rol verleent ook de mogelijkheid om toestemming te geven voor gedelegeerde machtigingen en toepassingsmachtigingen, met uitzondering van Microsoft Graph. Gebruikers die aan deze rol zijn toegewezen, worden niet toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties of bedrijfstoepassingen.
- Cloudtoepassingsbeheerder: gebruikers in deze rol hebben dezelfde machtigingen als de rol Toepassingsbeheerder, met uitzondering van de mogelijkheid om de toepassingsproxy te beheren. Gebruikers die aan deze rol zijn toegewezen, worden niet toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties of bedrijfstoepassingen.
Zie Ingebouwde Microsoft Entra-rollen voor meer informatie en om de beschrijving voor deze rollen weer te geven.
Volg de instructies in de instructies voor het toewijzen van rollen aan gebruikers met Microsoft Entra ID om de rollen Toepassingsbeheerder of Cloudtoepassingsbeheerder toe te wijzen.
Belangrijk
Toepassingsbeheerders en cloudtoepassingsbeheerders kunnen referenties toevoegen aan een toepassing en deze referenties gebruiken om de identiteit van de toepassing te imiteren. De toepassing kan machtigingen hebben die een uitbreiding van bevoegdheden zijn ten opzichte van de machtigingen van de beheerdersrol. Een beheerder in deze rol kan mogelijk gebruikers of andere objecten maken of bijwerken tijdens het imiteren van de toepassing, afhankelijk van de machtigingen van de toepassing. Geen van beide rollen verleent de mogelijkheid om instellingen voor voorwaardelijke toegang te beheren.
Een aangepaste rol maken en toewijzen (preview)
Het maken van aangepaste rollen en het toewijzen van aangepaste rollen zijn afzonderlijke stappen:
- Maak een aangepaste roldefinitie en voeg er machtigingen aan toe vanuit een vooraf ingestelde lijst. Dit zijn dezelfde machtigingen die worden gebruikt in de ingebouwde rollen.
- Maak een roltoewijzing om de aangepaste rol toe te wijzen.
Met deze scheiding kunt u één roldefinitie maken en deze vervolgens meerdere keren toewijzen aan verschillende bereiken. Een aangepaste rol kan worden toegewezen op organisatiebreed bereik of kan worden toegewezen aan het bereik van één Microsoft Entra-object. Een voorbeeld van een objectbereik is één app-registratie. Met behulp van verschillende bereiken kan dezelfde roldefinitie worden toegewezen aan Sally voor alle app-registraties in de organisatie en vervolgens aan Naveen via alleen de registratie van de app Contoso Expense Reports.
Tips voor het maken en gebruiken van aangepaste rollen voor het delegeren van toepassingsbeheer:
- Aangepaste rollen verlenen alleen toegang op de meest recente blades voor app-registratie van het Microsoft Entra-beheercentrum. Ze verlenen geen toegang op de blades met verouderde app-registraties.
- Aangepaste rollen verlenen geen toegang tot het Microsoft Entra-beheercentrum wanneer de gebruikersinstelling Toegang tot de Microsoft Entra-beheerportal beperken is ingesteld op Ja.
- App-registraties de gebruiker toegang heeft tot het gebruik van roltoewijzingen, wordt alleen weergegeven op het tabblad Alle toepassingen op de pagina App-registratie. Ze worden niet weergegeven op het tabblad Toepassingen in eigendom.
Zie het overzicht van aangepaste rollen voor meer informatie over de basisbeginselen van aangepaste rollen, evenals het maken van een aangepaste rol en het toewijzen van een rol.
Problemen oplossen
Symptoom: toegang geweigerd wanneer u probeert een toepassing te registreren
Wanneer u probeert een toepassing te registreren in Microsoft Entra ID, krijgt u een bericht dat er ongeveer als volgt uitziet:
Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.
Oorzaak
U kunt de toepassing niet registreren in de directory omdat uw directorybeheerder heeft beperkt wie toepassingen kan maken.
Oplossing
Neem contact op met uw beheerder om een van de volgende handelingen uit te voeren:
- Geef u machtigingen om toepassingen te maken en toestemming te geven door u de rol Toepassingsontwikkelaar toe te wijzen.
- Maak de toepassingsregistratie voor u en wijs u toe als de eigenaar van de toepassing.