Делегирование разрешений для регистрации приложения в Microsoft Entra ID

В этой статье описывается, как использовать разрешения, предоставляемые пользовательскими ролями в идентификаторе Microsoft Entra для решения потребностей управления приложениями. В идентификаторе Microsoft Entra можно делегировать разрешения на создание и управление приложениями следующими способами:

• Ограничение круга пользователей, которые могут создавать приложения и управлять ими. По умолчанию в идентификаторе Microsoft Entra все пользователи могут регистрировать приложения и управлять всеми аспектами создаваемых приложений. Это можно ограничить, разрешив доступ только выбранным людям.
• Назначение одного или нескольких владельцев приложению. Это простой способ предоставить пользователю возможность управлять всеми аспектами конфигурации Microsoft Entra для конкретного приложения.
• Назначение встроенной административной роли , которая предоставляет доступ к управлению конфигурацией в идентификаторе Microsoft Entra для всех приложений. Это рекомендуемый способ предоставить ИТ-специалистам доступ к управлению широкими разрешениями конфигурации приложений без предоставления доступа к другим частям Microsoft Entra, не связанным с конфигурацией приложения.
• Создание настраиваемой роли, определяющей конкретные разрешения, и назначение ее на уровне области одного приложения в качестве ограниченного владельца или на уровне области каталога (все приложения) в качестве ограниченного администратора.

Возможность предоставления доступа с помощью одного из указанных выше методов важно рассмотреть по двум причинам. Во-первых, делегирование возможности выполнения административных задач снижает затраты администратора с высоким уровнем привилегий. Во вторых, использование ограниченных разрешений улучшает состояние безопасности и уменьшает вероятность несанкционированного доступа. Рекомендации по планированию безопасности ролей см. в разделе "Защита привилегированного доступа для гибридных и облачных развертываний" в идентификаторе Microsoft Entra.

Ограничение тех, кто может создавать приложения

По умолчанию в идентификаторе Microsoft Entra все пользователи могут регистрировать приложения и управлять всеми аспектами создаваемых приложений. Все пользователи также имеют возможность предоставлять разрешения приложениям, обращающимся к корпоративным данным от их имени. Можно выборочно предоставлять эти разрешения, установив для глобальных переключателей значение "Нет" и добавив для выбранных пользователей роль разработчика приложений.

Отключение возможности создания регистраций приложений или предоставления согласия для приложений по умолчанию

Чтобы отключить возможность создания регистраций приложений или согласия приложений по умолчанию, выполните следующие действия, чтобы задать один или оба из этих параметров для вашей организации.

1. Войдите в Центр администрирования Microsoft Entra как минимум с ролью Администратор облачных приложений.

2. Перейдите к Идентификация>Пользователи>Параметры пользователей.

3. Установите для параметра "Пользователи могут регистрировать приложения" значение Нет.

   Это отключит включенную по умолчанию возможность пользователей создавать регистрации приложений.

4. Перейдите к Identity>корпоративным приложениям>согласие и разрешения.

5. Выберите параметр "Не разрешать согласие пользователя".

   Это отключит включенную по умолчанию возможность пользователей получать согласие на доступ приложений к данным компании от их имени.

Предоставление отдельным пользователям разрешений на создание и согласие приложений, когда эта возможность по умолчанию отключена

Назначьте роль "Разработчик приложений", чтобы предоставить возможность создавать регистрации приложений, когда значение для параметра "Пользователи могут зарегистрировать приложения" установлено на "Нет". Кроме того, эта роль позволяет давать согласие от своего имени, когда для параметра Пользователи могут разрешать приложениям доступ к корпоративным данным от своего имени задано значение «Нет».

Назначение владельцев приложений

Назначение владельцев — это простой способ предоставить возможность управлять всеми аспектами конфигурации Microsoft Entra для конкретной регистрации приложения или корпоративного приложения. Дополнительные сведения см. в статье Назначение владельцев корпоративных приложений.

Назначение встроенных ролей администратора приложений

Microsoft Entra ID содержит набор встроенных ролей администратора для предоставления доступа к управлению конфигурацией Microsoft Entra ID для всех приложений. Эти роли являются рекомендуемыми способами предоставления ИТ-специалистам доступа к управлению широкими разрешениями конфигурации приложений без предоставления доступа к другим частям Microsoft Entra, не связанным с конфигурацией приложения.

• Администратор приложения: пользователи с этой ролью могут создавать и контролировать все аспекты корпоративных приложений, регистрации приложений, а также параметры прокси приложения. Кроме того, эта роль позволяет предоставлять согласие на делегированные разрешения и разрешения приложений, за исключением Microsoft Graph. Пользователи, которым назначена эта роль, не добавляются в качестве владельцев при создании регистраций приложений или корпоративных приложений.
• Администратор облачных приложений: пользователи с этой ролью имеют те же разрешения, что и для роли администратора приложений, за исключением возможности управления прокси приложения. Пользователи, которым назначена эта роль, не добавляются в качестве владельцев при создании регистраций приложений или корпоративных приложений.

Дополнительные сведения и описание этих ролей см. в статье Встроенные роли Microsoft Entra.

Следуйте инструкциям в руководстве по назначению ролей пользователям с идентификатором Microsoft Entra ID , чтобы назначить роли администратора приложений или администратора облачных приложений.

Внимание

Администраторы приложений и администраторы облачных приложений могут добавлять учетные данные в приложение и использовать их для олицетворения имени приложения. У приложения могут быть разрешения, которые дают повышение привилегий по сравнению с разрешениями роли администратора. У администратора с этой ролью есть потенциальная возможность создавать или обновлять пользователей или другие объекты при олицетворении приложения в зависимости от разрешений приложения. Ни одна из ролей не предоставляет возможность управления параметрами условного доступа.

Создание и назначение настраиваемой роли (предварительная версия)

Создание пользовательских ролей и назначение пользовательских ролей — это отдельные шаги.

• Создайте настраиваемое определение роли и добавьте к нему разрешения из предустановленного списка. Это те же разрешения, которые используются во встроенных ролях.
• Создайте назначение роли, чтобы присвоить настраиваемую роль.

Это разделение позволяет создать единственное определение роли и назначить его несколько раз для разных областей. Пользовательская роль может быть назначена в пределах всей организации или может быть назначена в пределах одного объекта Microsoft Entra. Примером области одного объекта является регистрация одного приложения. Используя разные области, одно и то же определение роли можно назначить Салли для всех регистраций приложений в организации, а затем Навину только для регистрации приложения "Contoso Expense Reports".

Советы при создании и использовании пользовательских ролей для делегирования управления приложениями

• Пользовательские роли предоставляют доступ только в последних панелях регистрации приложений в Центре администрирования Microsoft Entra. Они не предоставляют доступ в разделах устаревших регистраций приложений.
• Пользовательские роли не предоставляют доступа к Центру администрирования Microsoft Entra, если для настройки пользователя Ограничить доступ к порталу администрирования Microsoft Entra установлено значение Да.
• Регистрация приложений, к которым пользователь имеет доступ, с помощью назначения ролей, отображается только на вкладке "Все приложения" страницы регистрации приложений. Они не отображаются на вкладке "Принадлежащие приложения".

Дополнительные сведения об основах настраиваемых ролей, а также о том, как создать настраиваемую роль и назначить роль, см. в разделе Обзор настраиваемых ролей.

Устранение неполадок

Симптом. Доступ запрещен при попытке зарегистрировать приложение

При попытке зарегистрировать приложение в идентификаторе Microsoft Entra вы получите сообщение, аналогичное следующему:

Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.

Причина

Невозможно зарегистрировать приложение в каталоге, так как администратор каталога ограничен , кто может создавать приложения.

Решение

Чтобы выполнить одно из следующих действий, обратитесь к администратору:

• Предоставьте вам разрешения на создание и согласие приложений, назначив вам роль разработчика приложений.
• Создайте регистрацию приложения и назначьте вас владельцем приложения.

Следующие шаги

• Подтипы и разрешения для регистрации приложений
• Встроенные роли Microsoft Entra