Создание настраиваемой роли с разрешениями на создание неограниченных регистраций приложений

В этом кратком руководстве описано, как создать настраиваемую роль с разрешением на создание неограниченного количества регистраций приложений, а затем назначить эту роль пользователю. Затем назначенный пользователь может использовать центр администрирования Microsoft Entra, Microsoft Graph PowerShell или API Microsoft Graph для создания регистраций приложений. В отличие от встроенной роли разработчика приложения, эта настраиваемая роль предоставляет возможность создавать неограниченное количество регистраций приложений. Роль разработчика приложения также предоставляет такую возможность, но для предотвращения превышения квоты на объекты на уровне каталога число создаваемых объектов ограничено 250. Наименее привилегированная роль, необходимая для создания и назначения пользовательских ролей Microsoft Entra, является администратором привилегированных ролей.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Необходимые компоненты

• Лицензия Microsoft Entra ID P1 или P2
• Администратор привилегированных ролей
• модуль Microsoft Graph PowerShell при использовании PowerShell
• Согласие администратора при использовании песочницы Graph для API Microsoft Graph.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

Центр администрирования

Создание пользовательской роли

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

2. Перейдите к ролям удостоверений>и администраторам.>

3. Выберите новую настраиваемую роль.

   

4. На вкладке "Основные сведения" введите "Создатель регистрации приложений" для имени роли и "Может создать неограниченное количество регистраций приложений" для описания роли, а затем нажмите кнопку "Далее".

   

5. На вкладке Разрешения в поле поиска введите "microsoft.directory/applications/create", а затем установите флажки рядом с нужными разрешениями и нажмите Далее.

   

6. На вкладке Просмотр и создание проверьте разрешения и нажмите кнопку Создать.

Назначение роли

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

2. Перейдите к ролям удостоверений>и администраторам.>

3. Выберите роль "Создатель регистрации приложения" и щелкните добавить назначения.

4. Чтобы назначить необходимого пользователя на роль, выберите его, а затем щелкните Выбрать.

Готово! Из этого краткого руководства вы узнали, как создать настраиваемую роль с разрешением на создание неограниченного числа регистраций приложения, а затем назначить эту роль пользователю.

Совет

Чтобы назначить роль приложению с помощью Центра администрирования Microsoft Entra, введите имя приложения в поле поиска страницы назначения. Приложения по умолчанию не отображаются в списке, но возвращаются в результатах поиска.

Разрешения для регистрации приложений

Создавать регистрации приложений можно при наличии по крайней мере одного из двух разрешений, отличающихся принципом действия.

• microsoft.directory/applications/createAsOwner: назначение этого разрешения приводит к добавлению создателя в качестве первого владельца регистрации созданного приложения и счетчиков регистрации созданных приложений в квоте 250 созданных объектов создателя.
• microsoft.directory/applications/create: назначение этого разрешения приводит к тому, что создатель не добавляется в качестве первого владельца регистрации созданного приложения, а регистрация созданного приложения не будет рассчитывать на квоту созданных объектов создателя 250. Используйте это разрешение тщательно, так как нет ничего, чтобы запретить получателю создавать регистрации приложений до тех пор, пока квота на уровне каталога не будет достигнута. Если назначены оба разрешения, это разрешение имеет приоритет.

PowerShell

Создание пользовательской роли

Создайте роль с помощью следующего сценария PowerShell:

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

Назначение роли

Назначьте роль с помощью следующего скрипта PowerShell:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

Graph API

Создание пользовательской роли

Используйте API Create unifiedRoleDefinition для создания настраиваемой роли.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Текст

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Назначение роли

Чтобы назначить настраиваемую роль, используйте API Create unifiedRoleAssignment. Назначение роли объединяет идентификатор субъекта безопасности (который может быть пользователем или субъектом-службой), идентификатор определения роли (роли) и области ресурсов Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Текст

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Следующие шаги

• Вы можете поделиться с нами на форуме административных ролей Microsoft Entra.
• Дополнительные сведения о ролях Microsoft Entra см. в статье о встроенных ролях Microsoft Entra.
• Дополнительные сведения о разрешениях пользователей по умолчанию см. в статье со сравнением разрешений гостевых пользователей и пользователей-участников.