分配企业应用程序所有者
Microsoft Entra ID 中的企业应用程序的所有者可管理应用程序的特定于组织的配置,例如单一登录、预配和用户分配。 所有者还可以添加或删除其他所有者。 与其他应用程序管理员不同,所有者只能管理其拥有的企业应用程序。 本文介绍如何分配应用程序的所有者。
先决条件
若要将企业应用程序添加到 Microsoft Entra 租户,你需要:
- 一个 Microsoft Entra 用户帐户。 如果还没有帐户,可以免费创建一个帐户。
- 以下角色之一:云应用程序管理员或应用程序管理员。
提示
本文中的步骤可能因开始使用的门户而略有不同。
分配所有者
向企业应用程序分配所有者:
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“应用程序”>“企业应用程序”>“所有应用程序”。
- 选择要添加所有者的应用程序。
- 选择“所有者”,然后选择“添加”,以获取可在其中选择所有者的用户帐户列表。
- 搜索并选择要成为应用程序所有者的用户帐户。
- 选择“选择”以添加已选为应用程序所有者的用户帐户。
要使用 Microsoft Graph PowerShell 将所有者添加到企业应用程序,需要至少以云应用程序管理员管理员身份登录并同意 Application.ReadWrite.All
权限。
在以下示例中,用户的对象 ID 为 aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb,applicationId 为 00001111-aaaa-2222-bbbb-3333cccc4444。
1. Connect-MgGraph -Scopes 'Application.ReadWrite.All'
1. Import-Module Microsoft.Graph.Applications
$params = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}
New-MgServicePrincipalOwnerByRef -ServicePrincipalId '00001111-aaaa-2222-bbbb-3333cccc4444' -BodyParameter $params
要使用 Microsoft Graph API 将所有者分配给应用程序,请至少以云应用程序管理员身份登录到 Graph 浏览器。
你需要同意 Application.ReadWrite.All
权限。
运行以下 Microsoft Graph 查询,将所有者分配到应用程序。 你需要具有要将应用程序分配到的用户的对象 ID。 在以下示例中,用户的对象 ID 为 aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb,appId 为 00001111-aaaa-2222-bbbb-3333cccc4444。
POST https://graph.microsoft.com/v1.0/servicePrincipals(appId='00001111-aaaa-2222-bbbb-3333cccc4444')/owners/$ref
Content-Type: application/json
{
"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}
注意
如果将用户设置“限制访问 Microsoft Entra 管理门户”设置为 Yes
,则非管理员用户将无法使用 Microsoft Entra 管理中心来管理其拥有的应用程序。 有关可在拥有的企业应用程序上执行的操作详细信息,请参阅拥有的企业应用程序。