Назначение владельцев корпоративных приложений

Владелец корпоративного приложения в идентификаторе Microsoft Entra может управлять конфигурацией конкретного приложения, например единый вход, подготовка и назначения пользователей. Владелец также может добавлять или удалять других владельцев. В отличие от других администраторов приложений, владельцы могут управлять только корпоративными приложениями, которыми они владеет. Из этой статьи вы узнаете, как назначить владельца приложения.

Предварительные условия

Чтобы добавить корпоративное приложение в клиент Microsoft Entra, вам потребуется:

• Учетная запись пользователя Microsoft Entra. Если ее нет, можно создать учетную запись бесплатно.
• Одна из следующих ролей: администратор облачных приложений или администратор приложений.

Назначение владельца

Чтобы назначить владельца корпоративного приложения:

1. Войдите в центр администрирования Microsoft Entra как минимум с ролью Администратора облачных приложений.
2. Перейдите к Идентификация > Приложения > Корпоративные приложения > Все приложения .
3. Выберите приложение, в которое нужно добавить владельца.
4. Выберите Владельцы и нажмите Добавить, чтобы получить список учетных записей, из которого можно выбрать владельца.
5. Найдите и выберите учетную запись пользователя, которую вы хотите сделать владельцем приложения.
6. Выберите "Выбрать ", чтобы добавить учетную запись пользователя, выбранную в качестве владельца приложения.

Чтобы добавить владельца в корпоративное приложение с помощью Microsoft Graph PowerShell, необходимо войти по крайней мере как администратор облачных приложений и предоставить Application.ReadWrite.All разрешения.

В следующем примере идентификатор объекта пользователя — aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb, а идентификатор приложения — 00001111-aaaa-2222-bbbb-3333cccc4444.

1. Connect-MgGraph -Scopes 'Application.ReadWrite.All'

1. Import-Module Microsoft.Graph.Applications

$params = @{
    "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}

New-MgServicePrincipalOwnerByRef -ServicePrincipalId '00001111-aaaa-2222-bbbb-3333cccc4444' -BodyParameter $params

Чтобы назначить владельца приложению с помощью API Microsoft Graph, войдите в Graph Explorer как минимум администратор облачных приложений.

Необходимо дать согласие на Application.ReadWrite.All разрешение.

Выполните следующий запрос Microsoft Graph, чтобы назначить владельца приложению. Вам нужен идентификатор объекта пользователя, которому нужно назначить приложение. В следующем примере идентификатор объекта пользователя — aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb, а appId — 00001111-aaaa-2222-bbbb-3333cccc4444.

POST https://graph.microsoft.com/v1.0/servicePrincipals(appId='00001111-aaaa-2222-bbbb-3333cccc4444')/owners/$ref
Content-Type: application/json

{
    "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}

Примечание.

Если для параметра Ограничить доступ к порталу администрирования Microsoft Entra выбрано значение Yes, пользователи, не являющиеся администраторами, не могут использовать Центр администрирования Microsoft Entra для управления принадлежащими им приложениями. Дополнительные сведения о действиях, которые можно выполнять с корпоративными приложениями, находящимися в собственности, см. в разделе Корпоративные приложения, находящиеся в собственности.

Следующие шаги

• Делегирование разрешений на регистрацию приложений в идентификаторе Microsoft Entra