Делегирование разрешений для регистрации приложения в Microsoft Entra ID

В этой статье описывается, как использовать разрешения, предоставляемые пользовательскими ролями в идентификаторе Microsoft Entra для решения потребностей управления приложениями. В идентификаторе Microsoft Entra можно делегировать разрешения на создание и управление приложениями следующими способами:

• Ограничение круга пользователей, которые могут создавать приложения и управлять ими. По умолчанию в идентификаторе Microsoft Entra все пользователи могут регистрировать приложения и управлять всеми аспектами создаваемых приложений. Это можно ограничить только избранными пользователями с допуском.
• Назначение приложению одного или нескольких владельцев. Это простой способ предоставить пользователю возможность управлять всеми аспектами конфигурации Microsoft Entra для конкретного приложения.
• Назначение встроенной административной роли , которая предоставляет доступ к управлению конфигурацией в идентификаторе Microsoft Entra для всех приложений. Это рекомендуемый способ предоставить ИТ-специалистам доступ к управлению широкими разрешениями конфигурации приложений без предоставления доступа к другим частям Microsoft Entra, не связанным с конфигурацией приложения.
• Создание настраиваемой роли, определяющей конкретные разрешения, и назначение ее на уровне области одного приложения в качестве ограниченного владельца или на уровне области каталога (все приложения) в качестве ограниченного администратора.

Возможность предоставления доступа с помощью одного из указанных выше методов важно рассмотреть по двум причинам. Во-первых, делегирование возможности выполнения административных задач снижает затраты администратора с высоким уровнем привилегий. Во вторых, использование ограниченных разрешений улучшает состояние безопасности и уменьшает вероятность несанкционированного доступа. Рекомендации по планированию безопасности ролей см. в разделе "Защита привилегированного доступа для гибридных и облачных развертываний" в идентификаторе Microsoft Entra.

Ограничение тех, кто может создавать приложения

По умолчанию в идентификаторе Microsoft Entra все пользователи могут регистрировать приложения и управлять всеми аспектами создаваемых приложений. Все пользователи также имеют возможность предоставлять разрешения приложениям, обращающимся к корпоративным данным от их имени. Можно выборочно предоставлять эти разрешения, установив для глобальных переключателей значение "Нет" и добавив для выбранных пользователей роль разработчика приложений.

Отключение возможности создания регистраций приложений или предоставления согласия для приложений по умолчанию

Чтобы отключить возможность создания регистраций приложений или согласия приложений по умолчанию, выполните следующие действия, чтобы задать один или оба из этих параметров для вашей организации.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к параметрам пользователей>

3. Задайте для параметра "Пользователи" значение "Нет".

   Это отключит включенную по умолчанию возможность пользователей создавать регистрации приложений.

4. Перейдите к приложениям Identity>>

5. Выберите параметр "Не разрешать согласие пользователя".

   Это отключит включенную по умолчанию возможность пользователей получать согласие на доступ приложений к данным компании от их имени.

Предоставление отдельным пользователям разрешений на создание и согласие приложений, когда эта возможность по умолчанию отключена

Назначьте роль разработчика приложений, чтобы предоставить возможность создавать регистрации приложений, если для параметра "Пользователи" могут зарегистрировать приложения значение "Нет". Кроме того, эта роль позволяет давать согласие от своего имени, когда для параметра Пользователи могут разрешать приложениям доступ к корпоративным данным от своего имени задано значение «Нет».

Назначение владельцев приложений

Назначение владельцев — это простой способ предоставить возможность управлять всеми аспектами конфигурации Microsoft Entra для конкретной регистрации приложения или корпоративного приложения. Дополнительные сведения см. в статье Назначение владельцев корпоративных приложений.

Назначение встроенных ролей администратора приложений

Идентификатор Microsoft Entra id содержит набор встроенных ролей администратора для предоставления доступа к конфигурации в идентификаторе Microsoft Entra для всех приложений. Эти роли являются рекомендуемыми способами предоставления ИТ-специалистам доступа к управлению широкими разрешениями конфигурации приложений без предоставления доступа к другим частям Microsoft Entra, не связанным с конфигурацией приложения.

• Администратор приложения: пользователи с этой ролью могут создавать и контролировать все аспекты корпоративных приложений, регистрации приложений, а также параметры прокси приложения. Кроме того, эта роль позволяет предоставлять согласие на делегированные разрешения и разрешения приложений, за исключением Microsoft Graph. Пользователи, которым назначена эта роль, не добавляются в качестве владельцев при создании регистраций приложений или корпоративных приложений.
• Администратор облачных приложений: пользователи с этой ролью имеют те же разрешения, что и для роли администратора приложений, за исключением возможности управления прокси приложения. Пользователи, которым назначена эта роль, не добавляются в качестве владельцев при создании регистраций приложений или корпоративных приложений.

Дополнительные сведения и описание этих ролей см. в статье Встроенные роли Microsoft Entra.

Следуйте инструкциям в руководстве по назначению ролей пользователям с идентификатором Microsoft Entra ID , чтобы назначить роли администратора приложений или администратора облачных приложений.

Внимание

Администраторы приложений и администраторы облачных приложений могут добавлять учетные данные в приложение и использовать их для олицетворения удостоверения приложения. У приложения могут быть разрешения, которые дают повышение привилегий по сравнению с разрешениями роли администратора. У администратора с этой ролью есть потенциальная возможность создавать или обновлять пользователей или другие объекты при олицетворении приложения в зависимости от разрешений приложения. Ни одна из ролей не предоставляет возможность управления параметрами условного доступа.

Создание и назначение настраиваемой роли (предварительная версия)

Создание пользовательских ролей и назначение пользовательских ролей — это отдельные шаги.

• Создайте настраиваемое определение роли и добавьте к нему разрешения из предустановленного списка. Это те же разрешения, которые используются во встроенных ролях.
• Создайте назначение роли, чтобы назначить настраиваемую роль.

Это разделение позволяет создать одно определение роли и назначить его несколько раз для разных областей. Пользовательская роль может быть назначена в пределах всей организации или может быть назначена в пределах одного объекта Microsoft Entra. Примером области одного объекта является регистрация одного приложения. С помощью разных областей одно и то же определение роли можно назначить Светлане для всех регистраций приложений в организации, а затем Владимиру только для регистрации приложения "Отчеты о расходах Contoso".

Советы при создании и использовании пользовательских ролей для делегирования управления приложениями

• Пользовательские роли предоставляют доступ только в наиболее актуальных колонках регистрации приложений в Центре администрирования Microsoft Entra. Они не предоставляют доступ в областях устаревших регистраций приложений.
• Пользовательские роли не предоставляют доступ к Центру администрирования Microsoft Entra, если для параметра пользователя портала администрирования Microsoft Entra задано значение "Да".
• Регистрация приложений, к которым пользователь имеет доступ, с помощью назначения ролей, отображается только на вкладке "Все приложения" страницы регистрации приложений. Регистрации не отображаются на вкладке "Собственные приложения".

Дополнительные сведения об основах настраиваемых ролей, а также о том, как создать настраиваемую роль и назначить роль, см. в разделе Обзор настраиваемых ролей.

Устранение неполадок

Симптом. Доступ запрещен при попытке зарегистрировать приложение

При попытке зарегистрировать приложение в идентификаторе Microsoft Entra вы получите сообщение, аналогичное следующему:

Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.

Причина

Невозможно зарегистрировать приложение в каталоге, так как администратор каталога ограничен , кто может создавать приложения.

Решение

Чтобы выполнить одно из следующих действий, обратитесь к администратору:

• Предоставьте вам разрешения на создание и согласие приложений, назначив вам роль разработчика приложений.
• Создайте регистрацию приложения и назначьте вас владельцем приложения.

Следующие шаги

• Подтипы и разрешения для регистрации приложений
• Встроенные роли Microsoft Entra