Tworzenie roli niestandardowej z uprawnieniami do tworzenia nieograniczonych rejestracji aplikacji

W tym przewodniku Szybki start utworzysz rolę niestandardową z uprawnieniami do tworzenia nieograniczonej liczby rejestracji aplikacji, a następnie przypiszesz tę rolę użytkownikowi. Przypisany użytkownik może następnie utworzyć rejestracje aplikacji przy użyciu centrum administracyjnego firmy Microsoft Entra, programu Microsoft Graph PowerShell lub interfejsu API programu Microsoft Graph. W przeciwieństwie do wbudowanej roli dewelopera aplikacji ta rola niestandardowa przyznaje możliwość tworzenia nieograniczonej liczby rejestracji aplikacji. Rola dewelopera aplikacji przyznaje możliwość, ale łączna liczba utworzonych obiektów jest ograniczona do 250, aby zapobiec osiągnięciu limitu przydziału obiektu w całym katalogu. Najmniej uprzywilejowaną rolą wymaganą do utworzenia i przypisania ról niestandardowych firmy Microsoft Entra jest administrator ról uprzywilejowanych.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Wymagania wstępne

• Licencja Microsoft Entra ID P1 lub P2
• Administrator ról uprzywilejowanych
• moduł programu Microsoft Graph PowerShell podczas korzystania z programu PowerShell
• Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Centrum administracyjne

Tworzenie roli niestandardowej

1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

2. Przejdź do Tożsamość>Role i administratorzy>Role i administratorzy.

3. Wybierz Nową niestandardową rolę.

   

4. Na karcie Podstawy wprowadź ciąg "Twórca rejestracji aplikacji" jako nazwę roli i "Może utworzyć nieograniczoną liczbę rejestracji aplikacji" dla opisu roli, a następnie wybierz przycisk Dalej.

   

5. Na karcie Uprawnienia wprowadź ciąg "microsoft.directory/applications/create" w polu wyszukiwania, a następnie zaznacz pola wyboru obok żądanych uprawnień, a następnie wybierz przycisk Dalej.

   

6. Na karcie Przeglądanie + tworzenie przejrzyj uprawnienia i wybierz pozycję Utwórz.

Przypisywanie roli

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako przynajmniej administrator ról uprzywilejowanych.

2. Przejdź do Tożsamość>Role i administratorzy>Role i administratorzy.

3. Wybierz rolę Twórca rejestracji aplikacji i wybierz pozycję Dodaj przypisanie.

4. Wybierz żądanego użytkownika i kliknij pozycję Wybierz , aby dodać użytkownika do roli.

Ukończono! W tym wprowadzeniu udało Ci się utworzyć rolę niestandardową z uprawnieniami do tworzenia nieograniczonej liczby rejestracji aplikacji, a następnie przypisać tę rolę użytkownikowi.

Napiwek

Aby przypisać rolę do aplikacji przy użyciu centrum administracyjnego firmy Microsoft Entra, wprowadź nazwę aplikacji w polu wyszukiwania strony przypisania. Aplikacje nie są domyślnie wyświetlane na liście, ale są zwracane w wynikach wyszukiwania.

Uprawnienia rejestracji aplikacji

W przypadku udostępniania możliwości tworzenia rejestracji aplikacji są dostępne dwa uprawnienia, każde o innym działaniu.

• microsoft.directory/applications/createAsOwner: Przypisanie tego uprawnienia powoduje, że twórca zostaje dodany jako pierwszy właściciel utworzonej rejestracji aplikacji, a utworzona rejestracja aplikacji jest liczona względem limitu 250 obiektów utworzonych przez twórcę.
• microsoft.directory/applications/create: Przypisanie tego uprawnienia powoduje, że twórca nie zostanie dodany jako pierwszy właściciel utworzonej rejestracji aplikacji, a utworzona rejestracja aplikacji nie będzie liczyć się w liczbie 250 utworzonych obiektów twórcy. Używaj tego uprawnienia ostrożnie, ponieważ nie ma nic, co uniemożliwiłoby przypisanemu tworzeniu rejestracji aplikacji, dopóki nie zostanie osiągnięta kwota na poziomie katalogu. Jeśli przypisano oba uprawnienia, to uprawnienie ma pierwszeństwo.

PowerShell

Tworzenie roli niestandardowej

Utwórz nową rolę przy użyciu następującego skryptu programu PowerShell:

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

Przypisywanie roli

Przypisz rolę przy użyciu następującego skryptu programu PowerShell:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

Graph

Tworzenie roli niestandardowej

Użyj interfejsu API Create unifiedRoleDefinition , aby utworzyć rolę niestandardową.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Ciało

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Przypisywanie roli

Użyj interfejsu API Create unifiedRoleAssignment , aby przypisać rolę niestandardową. Przypisanie roli łączy identyfikator podmiotu zabezpieczeń (którym może być użytkownik lub główny składnik usługi), identyfikator definicji roli oraz zakres zasobów Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Ciało

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Następne kroki

• Zachęcamy do dzielenia się z nami na forum ról administracyjnych Microsoft Entra.
• Więcej informacji na temat ról firmy Microsoft Entra znajdziesz w sekcji Wbudowane role firmy Microsoft Entra.
• Aby uzyskać więcej informacji na temat domyślnych uprawnień użytkownika, zobacz porównanie domyślnych uprawnień gościa i użytkownika członkowskiego.