分配企业应用程序所有者

Microsoft Entra ID 中的企业应用程序的所有者可管理应用程序的特定于组织的配置,例如单一登录、预配和用户分配。 所有者还可以添加或删除其他所有者。 与其他应用程序管理员不同,所有者只能管理其拥有的企业应用程序。 本文介绍如何分配应用程序的所有者。

先决条件

若要将企业应用程序添加到 Microsoft Entra 租户,你需要:

  • 一个 Microsoft Entra 用户帐户。 如果还没有帐户,可以免费创建一个帐户
  • 以下角色之一:云应用程序管理员或应用程序管理员。

提示

本文中的步骤可能因开始使用的门户而略有不同。

分配所有者

向企业应用程序分配所有者:

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“所有应用程序”。
  3. 选择要添加所有者的应用程序。
  4. 选择“所有者”,然后选择“添加”,以获取可在其中选择所有者的用户帐户列表。
  5. 搜索并选择要成为应用程序所有者的用户帐户。
  6. 选择“选择”以添加已选为应用程序所有者的用户帐户。

要使用 Microsoft Graph PowerShell 将所有者添加到企业应用程序,需要至少以云应用程序管理员管理员身份登录并同意 Application.ReadWrite.All 权限。

在以下示例中,用户的对象 ID 为 aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb,applicationId 为 00001111-aaaa-2222-bbbb-3333cccc4444。

1. Connect-MgGraph -Scopes 'Application.ReadWrite.All'

1. Import-Module Microsoft.Graph.Applications

$params = @{
    "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}

New-MgServicePrincipalOwnerByRef -ServicePrincipalId '00001111-aaaa-2222-bbbb-3333cccc4444' -BodyParameter $params

要使用 Microsoft Graph API 将所有者分配给应用程序,请至少以云应用程序管理员身份登录到 Graph 浏览器

你需要同意 Application.ReadWrite.All 权限。

运行以下 Microsoft Graph 查询,将所有者分配到应用程序。 你需要具有要将应用程序分配到的用户的对象 ID。 在以下示例中,用户的对象 ID 为 aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb,appId 为 00001111-aaaa-2222-bbbb-3333cccc4444。

POST https://graph.microsoft.com/v1.0/servicePrincipals(appId='00001111-aaaa-2222-bbbb-3333cccc4444')/owners/$ref
Content-Type: application/json

{
    "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}

注意

如果将用户设置“限制访问 Microsoft Entra 管理门户”设置为 Yes,则非管理员用户将无法使用 Microsoft Entra 管理中心来管理其拥有的应用程序。 有关可在拥有的企业应用程序上执行的操作详细信息,请参阅拥有的企业应用程序

后续步骤