Criar uma função personalizada com permissões para criar registros de aplicativo ilimitados

Nesse guia de início rápido, você cria uma função personalizada com permissão para criar um número ilimitado de registros de aplicativos e, em seguida, atribui essa função a um usuário. O usuário atribuído pode então usar o centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a API do Microsoft Graph para criar registros de aplicativos. Diferentemente da função de Desenvolvedor de Aplicativos interna, essa função personalizada concede a capacidade de criar um número ilimitado de registros de aplicativo. A função de Desenvolvedor de Aplicativos concede a capacidade, mas o número total de objetos criados é limitado a 250 para evitar atingir a cota de objeto de todo o diretório. A função com privilégios mínimos exigida para criar e atribuir funções personalizadas do Microsoft Entra é o Administrador de Funções com Privilégios.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

• Licença P1 ou P2 do Microsoft Entra ID
• Administrador de Função com Privilégios
• Módulo do Microsoft Graph PowerShell ao usar o PowerShell
• Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph

Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.

Centro de Administração

Criar uma função personalizada

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

2. Navegue até Identidade>Funções e administradores>Funções e administradores.

3. Selecione Nova função personalizada.

   

4. Na guia Noções Básicas, insira "Criador do Registro de Aplicativo" para o nome da função e "Pode criar um número ilimitado de registros de aplicativo" para a descrição da função e, em seguida, selecione Próximo.

   

5. Na guia Permissões, digite "microsoft.directory/applications/create" na caixa de pesquisa e, em seguida, marque as caixas de seleção ao lado das permissões desejadas e selecione Próximo.

   

6. Na guia Examinar + criar, examine as permissões e selecione Criar.

Atribuir a função

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

2. Navegue até Identidade>Funções e administradores>Funções e administradores.

3. Selecione a função Criador de Registro de Aplicativo e selecione Adicionar atribuição.

4. Selecione o usuário desejado e clique em Selecionar para adicioná-lo à função.

Feito! Neste guia de início rápido, você criou com êxito uma função personalizada com permissão para criar um número ilimitado de registros de aplicativo e, em seguida, atribuirá essa função a um usuário.

Dica

Para atribuir a função a um aplicativo usando o Centro de administração do Microsoft Entra, insira o nome do aplicativo na caixa de pesquisa da página de atribuição. Os aplicativos não são mostrados na lista por padrão, mas são retornados nos resultados da pesquisa.

Permissões de registro de aplicativo

Há duas permissões disponíveis para conceder a capacidade de criar registros de aplicativo, cada um com um comportamento diferente.

• microsoft.directory/applications/createAsOwner: Atribuir essa permissão resulta na adição do criador como o primeiro proprietário do registro do aplicativo criado, e o registro do aplicativo criado conta na cota de 250 objetos criados do criador.
• microsoft.directory/applications/create: Atribuir essa permissão faz com que o criador não seja adicionado como o primeiro proprietário do registro do aplicativo criado, e o registro do aplicativo criado não será contabilizado na cota de 250 objetos criados do criador. Use essa permissão com cuidado, pois não há nada que impeça o responsável de criar registros de aplicativos até que a cota no nível do diretório seja atingida. Se ambas as permissões forem atribuídas, essa permissão terá precedência.

PowerShell

Criar uma função personalizada

Crie uma função usando o seguinte script do PowerShell:

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

Atribuir a função

Atribua a função usando o seguinte script do PowerShell:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

API do Graph

Criar uma função personalizada

Use a API Criar unifiedRoleDefinition para criar uma função personalizada.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Corpo

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Atribuir a função

Use a API Criar unifiedRoleAssignment para atribuir a função personalizada. A atribuição de função combina uma ID de entidade de segurança (que pode ser um usuário ou entidade de serviço), uma ID de definição de função (função) e um escopo de recurso do Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Corpo

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Próximas etapas

• Sinta-se à vontade para compartilhar conosco no fórum Funções administrativas do Microsoft Entra.
• Para obter mais informações sobre as funções do Microsoft Entra, consulte Funções internas do Microsoft Entra.
• Para saber mais sobre as permissões de usuário padrão, confira uma comparação entre as permissões de usuário membro e convidado padrão.