Создание настраиваемой роли с разрешениями на создание неограниченных регистраций приложений

В этом кратком руководстве описано, как создать настраиваемую роль с разрешением на создание неограниченного количества регистраций приложений, а затем назначить эту роль пользователю. Затем назначенный пользователь может использовать центр администрирования Microsoft Entra, Microsoft Graph PowerShell или API Microsoft Graph для создания регистраций приложений. В отличие от встроенной роли разработчика приложения, эта настраиваемая роль предоставляет возможность создавать неограниченное количество регистраций приложений. Роль разработчика приложения также предоставляет такую возможность, но для предотвращения превышения квоты на объекты на уровне каталога число создаваемых объектов ограничено 250. Наименее привилегированная роль, необходимая для создания и назначения пользовательских ролей Microsoft Entra, является администратором привилегированных ролей.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Предварительные условия

• Лицензия Microsoft Entra ID P1 или P2
• Администратор привилегированных ролей
• модуль Microsoft Graph PowerShell при использовании PowerShell
• Согласие администратора при использовании Graph Explorer для API Microsoft Graph.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или Graph Explorer.

Центр администрирования

Создайте пользовательскую роль

1. Войдите в админцентр Microsoft Entra как минимум в роли Администратор Привилегированных Ролей.

2. Перейдите к удостоверение>Роли и администраторы>Роли и администраторы.

3. Выберите новую настраиваемую роль.

   

4. На вкладке "Основные сведения" введите "Создатель регистрации приложений" для имени роли и "Может создать неограниченное количество регистраций приложений" для описания роли, а затем нажмите кнопку "Далее".

   

5. На вкладке Разрешения в поле поиска введите "microsoft.directory/applications/create", а затем установите флажки рядом с нужными разрешениями и нажмите Далее.

   

6. На вкладке Просмотр и создание проверьте разрешения и нажмите кнопку Создать.

Назначьте роль

1. Войдите в административный центр Microsoft Entra как минимум Администратор привилегированных ролей.

2. Перейдите к Идентификация>Роли и Администраторы>Роли и Администраторы.

3. Выберите роль "Создатель регистрации приложения" и щелкните Добавить назначение.

4. Чтобы назначить необходимого пользователя на роль, выберите его, а затем щелкните Выбрать.

Готово! Из этого краткого руководства вы узнали, как создать настраиваемую роль с разрешением на создание неограниченного числа регистраций приложения, а затем назначить эту роль пользователю.

Совет

Чтобы назначить роль приложению с помощью Центра администрирования Microsoft Entra, введите имя приложения в поле поиска страницы назначения. Приложения по умолчанию не отображаются в списке, но возвращаются в результатах поиска.

Разрешения для регистрации приложений

Доступны два разрешения для предоставления возможности создавать регистрации приложений, каждое из которых имеет разное поведение.

• microsoft.directory/applications/createAsOwner: назначение этого разрешения приводит к добавлению создателя в качестве первого владельца регистрации созданного приложения, и созданная регистрация приложения может быть засчитана в квоту 250 созданных объектов создателя.
• microsoft.directory/applications/create: назначение этого разрешения приводит к тому, что создатель не добавляется в качестве первого владельца регистрации созданного приложения, а регистрация созданного приложения не будет засчитываться в счёт квоты создателя на 250 созданных объектов. Используйте это разрешение осторожно, потому что ничто не препятствует получателю создавать регистрации приложений до тех пор, пока не будет достигнута квота на уровне каталога. Если назначены оба разрешения, это разрешение имеет приоритет.

PowerShell

Создайте пользовательскую роль

Создайте роль с помощью следующего сценария PowerShell:

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

Назначьте роль

Назначьте роль с помощью следующего скрипта PowerShell:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

Graph API

Создайте пользовательскую роль

Используйте API Create unifiedRoleDefinition для создания настраиваемой роли.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Основное содержание

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Назначьте роль

Чтобы назначить настраиваемую роль, используйте API Create unifiedRoleAssignment. Назначение роли объединяет идентификатор участника безопасности (который может быть пользователем или служебным принципалом), идентификатор роли и область ресурсов Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Тело

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Следующие шаги

• Не стесняйтесь делиться с нами на форуме административных ролей Microsoft Entra.
• Дополнительные сведения о ролях Microsoft Entra см. в статье о встроенных ролях Microsoft Entra.
• Дополнительные сведения о разрешениях пользователей по умолчанию см. в статье со сравнением разрешений гостевых пользователей и пользователей-участников.