以 Microsoft Entra ID 委派應用程式註冊權限

本文會說明如何使用 Microsoft Entra ID 中自訂角色授與的權限，以滿足您的應用程式管理需求。 在 Microsoft Entra ID 中，您可以透過下列方式委派應用程式的建立和管理權限：

• 限制誰可以建立應用程式及管理自己建立的應用程式。 根據預設，在 Microsoft Entra ID 中，所有使用者都可以註冊應用程式，並全面性地管理所建立的應用程式。 您可以限制只允許特定人員擁有該權限。
• 將一或多個擁有者指派給應用程式。 若要授與使用者能力，全方位管理特定應用程式的 Microsoft Entra 設定，這是個簡單的方法。
• 指派內建的系統管理角色，以授與存取權來管理所有應用程式的 Microsoft Entra ID 設定。 若要授與 IT 專家管理廣泛應用程式設定的存取權，但不授與管理與應用程式設定無關之 Microsoft Entra 其他部分的存取權，建議使用此方式。
• 建立自訂角色，定義極為具體的權限並將該角色指派給某個人，這個人可以是單一應用程式範圍的受限擁有者，或目錄範圍 (所有應用程式) 的受限管理員。

基於兩個原因，請務必考慮使用上述其中一種方法來授與存取權。 首先，委派執行系統管理工作的能力可降低高許可權系統管理員的額外負荷。 第二，使用有限的權限來改善您的安全狀態，並降低未經授權存取的可能性。 如需有關角色安全性規劃的指導方針，請參閱保護 Microsoft Entra ID 中混合和雲端部署的特殊權限存取。

限制誰可以建立應用程式

根據預設，在 Microsoft Entra ID 中，所有使用者都可以註冊應用程式，並全面性地管理所建立的應用程式。 每個人也都能夠同意應用程式代表他們存取公司的資料。 您可以選擇要選擇性地授與這些許可權，方法是將全域參數設定為 [否]，並將選取的使用者新增至「應用程式開發人員」角色。

若要停用建立應用程式註冊或同意應用程式的預設功能

若要停用建立應用程式註冊或同意應用程式的預設功能，請遵循下列步驟，為您的組織設定其中一或兩個設定。

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別] > [使用者] > [使用者設定]。

3. 將 [使用者可以註冊應用程式] 設定設為 [否]。

   這將停用使用者建立應用程式註冊的預設功能。

4. 瀏覽至 [身分識別] > [Enterprise 應用程式] > [同意和許可權]。

5. 選取不允許使用者同意選項。

   這將停用使用者同意應用程式代表其存取公司資料的預設功能。

在停用預設功能時，授與個別權限以建立和同意應用程式

在使用者可以註冊應用程式設定設為「否」時，指派應用程式開發人員角色，授與能力以建立應用程式註冊。 將 [使用者可同意應用程式代表自己存取公司資料] 設定設為 [否] 時，此角色也會被授與代表某人同意的權限。

指派應用程式擁有者

指派擁有者是一種簡單的方式，可針對特定應用程式註冊或企業應用程式，授與管理 Microsoft Entra 設定所有層面的功能。 如需詳細資訊，請參閱指派企業應用程式擁有者。

指派內建的應用程式管理員角色

Microsoft Entra ID 有一組內建的系統管理員角色，可授與存取權來管理所有應用程式的 Microsoft Entra ID 設定。 建議使用這些角色來授與 IT 專家管理廣泛應用程式設定的存取權，而不授與其管理與應用程式設定不相關之 Microsoft Entra 其他部分的存取權。

• 應用程式系統管理員：此角色中的使用者可以建立及管理企業應用程式、應用程式註冊與應用程式 Proxy 設定的所有層面。 此角色也會授與同意委派權限，及同意 Microsoft Graph 以外應用程式權限的功能。 建立新的應用程式註冊或企業應用程式時，獲指派此角色的使用者不會新增為擁有者。
• 雲端應用程式系統管理員：此角色中的使用者具有與應用程式系統管理員角色相同的權限，但不包括管理應用程式 Proxy 的能力。 建立新的應用程式註冊或企業應用程式時，獲指派此角色的使用者不會新增為擁有者。

如需詳細資訊和查看這些角色的描述，請參閱 Microsoft Entra 內建角色。

請遵循使用 Microsoft Entra ID 將角色指派給使用者操作指南中的指示，來指派應用程式管理員或雲端應用程式管理員角色。

重要

應用程式系統管理員與雲端應用程式系統管理員可以將認證新增至應用程式，並使用這些認證來模擬應用程式的身分識別。 應用程式具有的權限可能會將權限提高至高於系統管理員角色的權限。 視應用程式的權限而定，擔任此角色的管理員有機會能在模擬應用程式時，建立或更新使用者或其他物件。 不會授與任何角色管理條件式存取設定的能力。

建立和指派自訂角色 (預覽)

建立自訂角色和指派自訂角色是分開的步驟：

• 建立自訂角色定義，並從預設清單將權限新增至定義。 這些權限是內建角色中所使用的相同權限。
• 建立角色指派以指派自訂角色。

將步驟分開可讓您建立單一角色定義，並分為多次指派於不同範圍。 您可以在全組織範圍指派自訂角色，也可以在單一 Microsoft Entra 物件的範圍內指派自訂角色。 物件範圍範例為單一應用程式註冊。 使用不同的範圍，便可將相同的角色定義指派給組織中所有應用程式註冊的 Sally，然後只指派給 Contoso Expense Reports 應用程式註冊的 Naveen。

建立和使用自訂角色來委派應用程式管理的提示：

• 自訂角色只會在 Microsoft Entra 系統管理中心的最新應用程式註冊刀鋒視窗中授與存取權。 他們不會在舊版應用程式註冊刀鋒視窗中授與存取權。
• [限制 Microsoft Entra 管理入口網站的存取] 使用者設定設為 [是] 時，自訂角色並不會授與 Microsoft Entra 管理入口網站的存取權。
• 使用者使用角色指派而能存取的應用程式註冊只會顯示在 [應用程式註冊] 頁面上的 [所有應用程式] 索引標籤中。 這些應用程式註冊不會顯示在 [擁有的應用程式] 索引標籤中。

如需自訂角色基本概念的詳細資訊，請參閱自訂角色概觀，以及如何建立自訂角色和如何指派角色。

疑難排解

徵兆 - 嘗試註冊應用程式時，存取遭到拒絕

您嘗試在 Microsoft Entra ID 中註冊應用程式時，會收到類似下列內容的訊息：

Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.

原因

您無法在目錄中註冊應用程式，因為目錄管理員已限制誰可以建立應用程式。

方案

請連絡管理員，執行下列其中一項動作：

• 指派應用程式開發人員角色，以授與您建立及同意應用程式的權限。
• 為您建立應用程式註冊，並將您指派為應用程式擁有者。

下一步

• 應用程式註冊子類型和權限
• Microsoft Entra 內建角色