Guia de início rápido: conceda permissão para criar registros ilimitados de aplicativos
Neste guia de início rápido, você cria uma função personalizada com permissão para criar um número ilimitado de registros de aplicativo e, em seguida, atribui essa função a um usuário. O usuário atribuído pode usar o centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a API do Microsoft Graph para criar registros de aplicativos. Ao contrário da função interna de Desenvolvedor de Aplicativos, essa função personalizada concede a capacidade de criar um número ilimitado de registros de aplicativos. A função Desenvolvedor de Aplicativos concede a capacidade, mas o número total de objetos criados é limitado a 250 para evitar atingir a cota de objeto em todo o diretório. A função menos privilegiada necessária para criar e atribuir funções personalizadas do Microsoft Entra é o Administrador de Função Privilegiada.
Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
Pré-requisitos
- Licença do Microsoft Entra ID P1 ou P2
- Administrador de Funções com Privilégios
- Módulo do Microsoft Graph PowerShell ao usar o PowerShell
- Consentimento do administrador ao utilizar os Testes de API do Graph para a Microsoft Graph API
Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.
Centro de administração do Microsoft Entra
Criar uma função personalizada
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
Navegue até Identity>Roles & admins>Roles & admins.
Selecione Nova função personalizada.
Na guia Noções básicas, digite "Application Registration Creator" para o nome da função e "Pode criar um número ilimitado de registros de aplicativo" para a descrição da função e selecione Next.
Na guia Permissões, digite "microsoft.directory/applications/create" na caixa de pesquisa e marque as caixas de seleção ao lado das permissões desejadas e selecione Avançar.
Na guia Revisar + criar, revise as permissões e selecione Criar.
Atribuir a função
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
Navegue até Identity>Roles & admins>Roles & admins.
Selecione a função Application Registration Creator e selecione Add assignment.
Selecione o usuário desejado e clique em Selecionar para adicionar o usuário à função.
Feito! Neste início rápido, você criou com êxito uma função personalizada com permissão para criar um número ilimitado de registros de aplicativo e, em seguida, atribuir essa função a um usuário.
Gorjeta
Para atribuir a função a um aplicativo usando o centro de administração do Microsoft Entra, digite o nome do aplicativo na caixa de pesquisa da página de atribuição. Os aplicativos não são mostrados na lista por padrão, mas são retornados nos resultados da pesquisa.
Permissões do registo da aplicação
Existem duas permissões disponíveis para conceder a capacidade de criar registos de aplicações, cada uma com um comportamento diferente.
- microsoft.directory/applications/createAsOwner: A atribuição dessa permissão resulta na adição do criador como o primeiro proprietário do registro do aplicativo criado, e o registro do aplicativo criado conta em relação à cota de 250 objetos criados do criador.
- microsoft.directory/applications/create: A atribuição dessa permissão faz com que o criador não seja adicionado como o primeiro proprietário do registro do aplicativo criado e o registro do aplicativo criado não contará para a cota de 250 objetos criados pelo criador. Use essa permissão com cuidado, porque não há nada que impeça o cessionário de criar registros de aplicativos até que a cota no nível do diretório seja atingida. Se ambas as permissões forem atribuídas, essa permissão terá precedência.
PowerShell
Criar uma função personalizada
Crie uma nova função usando o seguinte script do PowerShell:
# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/create"
"microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true
Atribuir a função
Atribua a função usando o seguinte script do PowerShell:
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"
# Get resource scope for assignment
$resourceScope = '/'
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id
Microsoft Graph API
Criar uma função personalizada
Use a API Create unifiedRoleDefinition para criar uma função personalizada.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Corpo
{
"description": "Can create an unlimited number of application registrations.",
"displayName": "Application Registration Creator",
"isEnabled": true,
"rolePermissions":
[
{
"allowedResourceActions":
[
"microsoft.directory/applications/create"
"microsoft.directory/applications/createAsOwner"
]
}
],
"templateId": "<PROVIDE NEW GUID HERE>",
"version": "1"
}
Atribuir a função
Use a API Create unifiedRoleAssignment para atribuir a função personalizada. A atribuição de função combina uma ID de entidade de segurança (que pode ser uma entidade de usuário ou de serviço), uma ID de definição de função (função) e um escopo de recurso do Microsoft Entra.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Corpo
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
"roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
"directoryScopeId": "/"
}
Próximos passos
- Sinta-se à vontade para compartilhar conosco no fórum de funções administrativas do Microsoft Entra.
- Para obter mais informações sobre as funções do Microsoft Entra, consulte Funções internas do Microsoft Entra.
- Para obter mais informações sobre permissões de usuário padrão, consulte comparação de permissões de usuário convidado e membro padrão.