Szybki start: udzielanie uprawnień do tworzenia nieograniczonych rejestracji aplikacji
W tym przewodniku Szybki start utworzysz rolę niestandardową z uprawnieniami do tworzenia nieograniczonej liczby rejestracji aplikacji, a następnie przypiszesz tę rolę użytkownikowi. Przypisany użytkownik może następnie utworzyć rejestracje aplikacji przy użyciu centrum administracyjnego firmy Microsoft Entra, programu Microsoft Graph PowerShell lub interfejsu API programu Microsoft Graph. W przeciwieństwie do wbudowanej roli dewelopera aplikacji ta rola niestandardowa przyznaje możliwość tworzenia nieograniczonej liczby rejestracji aplikacji. Rola dewelopera aplikacji przyznaje możliwość, ale łączna liczba utworzonych obiektów jest ograniczona do 250, aby zapobiec osiągnięciu limitu przydziału obiektu w całym katalogu. Najmniej uprzywilejowaną rolą wymaganą do utworzenia i przypisania ról niestandardowych firmy Microsoft Entra jest administrator ról uprzywilejowanych.
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Wymagania wstępne
- Licencja Microsoft Entra ID P1 lub P2
- Administrator ról uprzywilejowanych
- Moduł programu PowerShell programu Microsoft Graph podczas korzystania z programu PowerShell
- Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API
Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
Centrum administracyjne Microsoft Entra
Tworzenie roli niestandardowej
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>
Wybierz pozycję Nowa rola niestandardowa.
Na karcie Podstawy wprowadź ciąg "Twórca rejestracji aplikacji" jako nazwę roli i "Może utworzyć nieograniczoną liczbę rejestracji aplikacji" dla opisu roli, a następnie wybierz przycisk Dalej.
Na karcie Uprawnienia wprowadź ciąg "microsoft.directory/applications/create" w polu wyszukiwania, a następnie zaznacz pola wyboru obok żądanych uprawnień, a następnie wybierz przycisk Dalej.
Na karcie Przeglądanie + tworzenie przejrzyj uprawnienia i wybierz pozycję Utwórz.
Przypisywanie roli
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>
Wybierz rolę Twórca rejestracji aplikacji i wybierz pozycję Dodaj przypisanie.
Wybierz żądanego użytkownika i kliknij pozycję Wybierz , aby dodać użytkownika do roli.
Gotowe! W tym przewodniku Szybki start pomyślnie utworzono rolę niestandardową z uprawnieniami do tworzenia nieograniczonej liczby rejestracji aplikacji, a następnie przypisano tę rolę użytkownikowi.
Napiwek
Aby przypisać rolę do aplikacji przy użyciu centrum administracyjnego firmy Microsoft Entra, wprowadź nazwę aplikacji w polu wyszukiwania strony przypisania. Aplikacje nie są domyślnie wyświetlane na liście, ale są zwracane w wynikach wyszukiwania.
Uprawnienia rejestracji aplikacji
W przypadku udostępniania możliwości tworzenia rejestracji aplikacji są dostępne dwa uprawnienia, każde o innym działaniu.
- microsoft.directory/applications/createAsOwner: Przypisanie tego uprawnienia powoduje dodanie twórcy jako pierwszego właściciela utworzonej rejestracji aplikacji oraz liczniki utworzonej rejestracji aplikacji względem limitu przydziału utworzonych obiektów twórcy.
- microsoft.directory/applications/create: Przypisanie tego uprawnienia powoduje, że twórca nie zostanie dodany jako pierwszy właściciel utworzonej rejestracji aplikacji, a utworzona rejestracja aplikacji nie będzie liczyć się z 250 utworzonymi obiektami twórcy. Należy dokładnie użyć tego uprawnienia, ponieważ nie ma żadnych elementów uniemożliwiających przypisaniu tworzenie rejestracji aplikacji do momentu trafienia limitu przydziału na poziomie katalogu. Jeśli przypisano oba uprawnienia, to uprawnienie ma pierwszeństwo.
PowerShell
Tworzenie roli niestandardowej
Utwórz nową rolę przy użyciu następującego skryptu programu PowerShell:
# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/create"
"microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true
Przypisywanie roli
Przypisz rolę przy użyciu następującego skryptu programu PowerShell:
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"
# Get resource scope for assignment
$resourceScope = '/'
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id
Interfejsu API programu Microsoft Graph
Tworzenie roli niestandardowej
Użyj interfejsu API Create unifiedRoleDefinition , aby utworzyć rolę niestandardową.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Treść
{
"description": "Can create an unlimited number of application registrations.",
"displayName": "Application Registration Creator",
"isEnabled": true,
"rolePermissions":
[
{
"allowedResourceActions":
[
"microsoft.directory/applications/create"
"microsoft.directory/applications/createAsOwner"
]
}
],
"templateId": "<PROVIDE NEW GUID HERE>",
"version": "1"
}
Przypisywanie roli
Użyj interfejsu API Create unifiedRoleAssignment , aby przypisać rolę niestandardową. Przypisanie roli łączy identyfikator podmiotu zabezpieczeń (który może być użytkownikiem lub jednostką usługi), identyfikatorem definicji roli (roli) i zakresem zasobów firmy Microsoft Entra.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Treść
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
"roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
"directoryScopeId": "/"
}
Następne kroki
- Możesz się z nami podzielić na forum ról administracyjnych firmy Microsoft Entra.
- Aby uzyskać więcej informacji o rolach firmy Microsoft Entra, zobacz Wbudowane role firmy Microsoft.
- Aby uzyskać więcej informacji na temat domyślnych uprawnień użytkownika, zobacz porównanie domyślnych uprawnień gościa i użytkownika członkowskiego.