Обзор владения корпоративными приложениями в идентификаторе Microsoft Entra
Пользователь в Идентификаторе Microsoft Entra автоматически добавляется в качестве владельца приложения при регистрации приложения. Владение корпоративным приложением по умолчанию назначается только в том случае, если пользователь без ролей администратора создает новую регистрацию приложения. Во всех остальных случаях владелец по умолчанию корпоративному приложению не назначается. Владельцами корпоративных приложений могут быть только пользователи, но не группы.
В качестве владельца корпоративного приложения в идентификаторе Microsoft Entra пользователь может управлять конфигурацией конкретной организации приложения, например единым входом, подготовкой и назначением пользователей. Владелец также может добавлять или удалять других владельцев. В отличие от администраторов привилегированных ролей, владельцы могут управлять только корпоративными приложениями, которыми они владеет. Владельцы имеют те же разрешения, что и администраторы приложений, но на уровне отдельных приложений. Дополнительные сведения о разрешениях, имеющихся у владельца приложения, см. в разделе Разрешения владельца.
Примечание.
Приложение может иметь больше разрешений, чем владелец, что ведет к получению более высокого уровня привилегий, чем доступный владельцу как пользователю. Владелец приложения может создавать или обновлять пользователей либо другие объекты при олицетворении приложения. Повышение прав до уровня владельца может в некоторых случаях вызвать проблемы с безопасностью в зависимости от разрешений приложения.
Вопросы и ответы
Что делать с приложениями, владелец которых больше не работает в организации?
Если у вас есть приложение без владельца в клиенте, вы можете получить доступ к журналу аудита для приложения, чтобы изучить других пользователей, которые могут быть вовлечены в настройку приложения. Однако срок хранения журналов аудита ограничен. См . отчеты журнала аудита Microsoft Entra.
Вы также можете увидеть других пользователей, которым разрешены разрешения в приложении, перейдя на вкладку "Роли и администраторы ". После того как вы найдете правого человека на владение приложением, пользователь с высоко привилегированной административной ролью в организации может назначить нового владельца приложения. См. статью Назначение владельцев корпоративных приложений.
Во избежание отсутствия владельцев у приложений мы рекомендуем постоянно отслеживать приложения в среде, чтобы по возможности обеспечить наличие у них по крайней мере двух владельцев. Кроме того, следует использовать свойство serviceManagementReference объекта приложения для указания контактных данных команды из корпоративной службы или базы данных управления ресурсами. Благодаря свойству serviceManagementReference контактные данные команды будут известны, даже если пользователь покидает организацию.
Как найти корпоративные приложения, которые являются бесвладельцем или рискуют быть бесхозяйными в моей организации?
Сведения о том, как определить бесхозяйные корпоративные приложения или приложения только с одним владельцем с помощью API Microsoft Graph, см. в разделе "Список бесхозяйных приложений".
Как добавить себя в качестве владельца корпоративного приложения?
Существующие владельцы приложения могут добавлять других пользователей в качестве владельцев. Кроме того, назначать владельцев приложений в организации могут пользователи с привилегированной ролью, такой как администратор приложений или администратор облачных приложений. Если вы не являетесь администратором, обратитесь к администратору с просьбой назначить вас владельцем приложения.
Как найти все приложения, владельцем которых я являюсь?
- Вы можете перейти в колонку Корпоративные приложения и выбрать пункт Все приложения.
- Выберите Добавить фильтр, а затем используйте условие владелец, чтобы найти приложения, принадлежащие вам или другим пользователям.