Delegowanie uprawnień do rejestracji aplikacji w Microsoft Entra ID

W tym artykule opisano sposób używania uprawnień przyznanych przez role niestandardowe w identyfikatorze Entra firmy Microsoft w celu zaspokojenia potrzeb związanych z zarządzaniem aplikacjami. W usłudze Microsoft Entra ID możesz delegować uprawnienia do tworzenia aplikacji i zarządzania nimi w następujący sposób:

• Ograniczanie, kto może tworzyć aplikacje i zarządzać tworzonymi przez nich aplikacjami. Domyślnie w usłudze Microsoft Entra ID wszyscy użytkownicy mogą rejestrować aplikacje i zarządzać wszystkimi aspektami tworzonych aplikacji. Może to być ograniczone do zezwalania tylko wybranym osobom, które mają uprawnienia.
• Przypisywanie co najmniej jednego właściciela do aplikacji. Jest to prosty sposób udzielania komuś możliwości zarządzania wszystkimi aspektami konfiguracji firmy Microsoft Entra dla określonej aplikacji.
• Przypisanie wbudowanej roli administracyjnej, która udziela dostępu do zarządzania konfiguracją w usłudze Microsoft Entra ID dla wszystkich aplikacji. Jest to zalecany sposób udzielania ekspertom IT dostępu do zarządzania szerokimi uprawnieniami konfiguracji aplikacji bez udzielania dostępu do zarządzania innymi częściami firmy Microsoft Entra, które nie są związane z konfiguracją aplikacji.
• Tworzenie roli niestandardowej definiującej bardzo konkretne uprawnienia i przypisując je komuś do zakresu pojedynczej aplikacji jako ograniczonego właściciela lub w zakresie katalogu (wszystkie aplikacje) jako ograniczony administrator.

Ważne jest, aby rozważyć przyznanie dostępu przy użyciu jednej z powyższych metod z dwóch powodów. Po pierwsze delegowanie możliwości wykonywania zadań administracyjnych zmniejsza obciążenie administratora o wysokim poziomie uprawnień. Po drugie użycie ograniczonych uprawnień zwiększa poziom zabezpieczeń i zmniejsza potencjał nieautoryzowanego dostępu. Aby uzyskać wskazówki dotyczące planowania zabezpieczeń ról, zobacz Zabezpieczanie uprzywilejowanego dostępu do wdrożeń hybrydowych i w chmurze w usłudze Microsoft Entra ID.

Ogranicz, kto może tworzyć aplikacje

Domyślnie w usłudze Microsoft Entra ID wszyscy użytkownicy mogą rejestrować aplikacje i zarządzać wszystkimi aspektami tworzonych aplikacji. Wszyscy mają również możliwość wyrażania zgody na aplikacje, które uzyskują dostęp do danych firmowych w ich imieniu. Możesz wybrać selektywne przyznawanie tych uprawnień, ustawiając przełączniki globalne na "Nie" i dodając wybranych użytkowników do roli dewelopera aplikacji.

Aby wyłączyć domyślną możliwość tworzenia rejestracji aplikacji lub wyrażania zgody na aplikacje

Aby wyłączyć domyślną możliwość tworzenia rejestracji aplikacji lub wyrażania zgody na aplikacje, wykonaj następujące kroki, aby ustawić jedno lub oba te ustawienia dla organizacji.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do pozycji Ustawienia użytkownika użytkownicy>tożsamości.>

3. Ustaw ustawienie Użytkownicy mogą rejestrować aplikacje na Nie.

   Spowoduje to wyłączenie domyślnej możliwości tworzenia rejestracji aplikacji przez użytkowników.

4. Przejdź do sekcji Identity Enterprise applications Consent and permissions (Tożsamość>aplikacji>dla przedsiębiorstw — zgoda i uprawnienia).

5. Wybierz opcję Nie zezwalaj na zgodę użytkownika.

   Spowoduje to wyłączenie domyślnej możliwości zezwalania aplikacjom na dostęp do danych firmowych w imieniu użytkowników.

Udzielanie poszczególnych uprawnień do tworzenia aplikacji i wyrażania zgody na nie, gdy opcja domyślna jest wyłączona

Przypisz rolę dewelopera aplikacji, aby przyznać możliwość tworzenia rejestracji aplikacji, gdy ustawienie Użytkownicy mogą rejestrować aplikacje ma wartość Nie. Ta rola udziela również uprawnień do wyrażania zgody w imieniu użytkownika, gdy użytkownicy mogą wyrazić zgodę na aplikacje, które uzyskują dostęp do danych firmowych w ich imieniu , ma wartość Nie.

Przypisywanie właścicieli aplikacji

Przypisywanie właścicieli to prosty sposób na przyznanie możliwości zarządzania wszystkimi aspektami konfiguracji firmy Microsoft Entra dla określonej rejestracji aplikacji lub aplikacji dla przedsiębiorstw. Aby uzyskać więcej informacji, zobacz Przypisywanie właścicieli aplikacji dla przedsiębiorstw.

Przypisywanie wbudowanych ról administratora aplikacji

Identyfikator Entra firmy Microsoft zawiera zestaw wbudowanych ról administratora na potrzeby udzielania dostępu do zarządzania konfiguracją w usłudze Microsoft Entra ID dla wszystkich aplikacji. Te role są zalecanym sposobem udzielania ekspertom IT dostępu do zarządzania szerokimi uprawnieniami konfiguracji aplikacji bez udzielania dostępu do zarządzania innymi częściami firmy Microsoft Entra, które nie są związane z konfiguracją aplikacji.

• Administrator aplikacji: użytkownicy w tej roli mogą tworzyć wszystkie aspekty aplikacji dla przedsiębiorstw, rejestracji aplikacji i ustawień serwera proxy aplikacji oraz zarządzać nimi. Ta rola umożliwia również wyrażanie zgody na delegowane uprawnienia i uprawnienia aplikacji z wyłączeniem programu Microsoft Graph. Użytkownicy przypisani do tej roli nie są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji lub aplikacji dla przedsiębiorstw.
• Administrator aplikacji w chmurze: użytkownicy w tej roli mają takie same uprawnienia jak rola Administrator aplikacji, z wyłączeniem możliwości zarządzania serwerem proxy aplikacji. Użytkownicy przypisani do tej roli nie są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji lub aplikacji dla przedsiębiorstw.

Aby uzyskać więcej informacji i wyświetlić opis tych ról, zobacz Wbudowane role Microsoft Entra.

Postępuj zgodnie z instrukcjami w przewodniku Przypisywanie ról do użytkowników za pomocą identyfikatora Entra firmy Microsoft, aby przypisać role administratora aplikacji lub administratora aplikacji w chmurze.

Ważne

Administratorzy aplikacji i administratorzy aplikacji w chmurze mogą dodawać poświadczenia do aplikacji i używać tych poświadczeń do personifikacji tożsamości aplikacji. Aplikacja może mieć uprawnienia, które są podniesieniem uprawnień nad uprawnieniami roli administratora. Administrator w tej roli może potencjalnie utworzyć lub zaktualizować użytkowników lub inne obiekty podczas personifikacji aplikacji, w zależności od uprawnień aplikacji. Żadna rola nie przyznaje możliwości zarządzania ustawieniami dostępu warunkowego.

Tworzenie i przypisywanie roli niestandardowej (wersja zapoznawcza)

Tworzenie ról niestandardowych i przypisywanie ról niestandardowych to oddzielne kroki:

• Utwórz niestandardową definicję roli i dodaj do niej uprawnienia z listy wstępnie zdefiniowanej. Są to te same uprawnienia używane we wbudowanych rolach.
• Utwórz przypisanie roli, aby przypisać rolę niestandardową.

Ta separacja umożliwia utworzenie pojedynczej definicji roli, a następnie przypisanie jej wiele razy w różnych zakresach. Rolę niestandardową można przypisać w zakresie całej organizacji lub można przypisać ją w zakresie pojedynczego obiektu Microsoft Entra. Przykładem zakresu obiektu jest rejestracja pojedynczej aplikacji. Korzystając z różnych zakresów, tę samą definicję roli można przypisać do aplikacji Sally we wszystkich rejestracjach aplikacji w organizacji, a następnie do aplikacji Naveen za pośrednictwem tylko rejestracji aplikacji Contoso Expense Reports.

Porady dotyczące tworzenia i używania ról niestandardowych do delegowania zarządzania aplikacjami:

• Role niestandardowe udzielają dostępu tylko w najbardziej bieżących blokach rejestracji aplikacji w centrum administracyjnym firmy Microsoft Entra. Nie udzielają dostępu w blokach starszych rejestracji aplikacji.
• Role niestandardowe nie udzielają dostępu do centrum administracyjnego firmy Microsoft Entra, gdy ustawienie użytkownika Ogranicz dostęp do portalu administracyjnego firmy Microsoft Entra ma wartość Tak.
• Rejestracje aplikacji użytkownik ma dostęp do używania przypisań ról wyświetlanych tylko na karcie "Wszystkie aplikacje" na stronie rejestracja aplikacji. Nie są one wyświetlane na karcie "Aplikacje należące do".

Aby uzyskać więcej informacji na temat podstawowych ról niestandardowych, zobacz omówienie ról niestandardowych, a także sposób tworzenia roli niestandardowej i przypisywania roli.

Rozwiązywanie problemów

Objaw — odmowa dostępu podczas próby zarejestrowania aplikacji

Podczas próby zarejestrowania aplikacji w usłudze Microsoft Entra ID zostanie wyświetlony komunikat podobny do następującego:

Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.

Przyczyna

Nie można zarejestrować aplikacji w katalogu, ponieważ administrator katalogu ograniczył , kto może tworzyć aplikacje.

Rozwiązanie

Skontaktuj się z administratorem, aby wykonać jedną z następujących czynności:

• Przyznawanie uprawnień do tworzenia aplikacji i wyrażania zgody na nie przez przypisanie roli dewelopera aplikacji.
• Utwórz rejestrację aplikacji dla Ciebie i przypisz Cię jako właściciela aplikacji.

Następne kroki

• Podtypy i uprawnienia rejestracji aplikacji
• Wbudowane role usługi Microsoft Entra