Guida introduttiva: Concedere l'autorizzazione per creare registrazioni di app illimitate
In questa guida introduttiva si crea un ruolo personalizzato con l'autorizzazione per creare un numero illimitato di registrazioni dell'app e quindi si assegna tale ruolo a un utente. L'utente assegnato può quindi usare l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph PowerShell o l'API Microsoft Graph per creare registrazioni dell'applicazione. Diversamente dal ruolo predefinito Sviluppatore di applicazioni, questo ruolo personalizzato concede la possibilità di creare un numero illimitato di registrazioni dell'applicazione. Il ruolo Sviluppatore di applicazioni concede la possibilità, ma il numero totale di oggetti creati è limitato a 250 per impedire il raggiungimento della quota di oggetti a livello di directory. Il ruolo con privilegi minimi necessario per creare e assegnare ruoli personalizzati di Microsoft Entra è l'amministratore del ruolo con privilegi.
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Prerequisiti
- Licenza Microsoft Entra ID P1 o P2
- Amministratore ruolo con privilegi
- Modulo di Microsoft Graph PowerShell quando si usa PowerShell
- Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph
Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.
Interfaccia di amministrazione di Microsoft Entra
Creare un ruolo personalizzato
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale di partenza.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Identità>Ruoli e amministratori>Ruoli e amministratori.
Selezionare + Nuovo ruolo personalizzato.
Nella scheda Informazioni di base immettere "Autore registrazione applicazione" per il nome del ruolo e "Può creare un numero illimitato di registrazioni dell'applicazione" per la descrizione del ruolo e quindi selezionare Avanti.
Nella scheda Autorizzazioni immettere "microsoft.directory/applications/create" nella casella di ricerca e quindi selezionare le caselle di controllo accanto alle autorizzazioni desiderate e infine selezionare Avanti.
Nella scheda Rivedi e crea rivedere le autorizzazioni e selezionare Crea.
Assegnare il ruolo
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Identità>Ruoli e amministratori>Ruoli e amministratori.
Selezionare il ruolo Autore registrazione applicazione e selezionare Aggiungi assegnazione.
Selezionare l'utente desiderato e fare clic su Seleziona per aggiungerlo al ruolo.
Fatto! In questo argomento di avvio rapido è stato creato un ruolo personalizzato con l'autorizzazione per creare un numero illimitato di registrazioni di app e ora si assegnerà tale ruolo a un utente.
Suggerimento
Per assegnare il ruolo a un'applicazione usando l'interfaccia di amministrazione di Microsoft Entra, immettere il nome dell'applicazione nella casella di ricerca della pagina di assegnazione. Per impostazione predefinita, le applicazioni non vengono visualizzate nell'elenco, ma vengono restituite nei risultati della ricerca.
Autorizzazioni per la registrazione di app
Sono disponibili due autorizzazioni per concedere la possibilità di creare registrazioni dell'applicazione, ognuna con un comportamento diverso.
- microsoft.directory/applications/createAsOwner: l'assegnazione di questa autorizzazione comporta l'aggiunta dell'autore come primo proprietario della registrazione dell'app creata e il conteggio della registrazione dell'app creata rispetto alla quota di 250 oggetti creati dall'autore.
- microsoft.directory/applications/create: l'assegnazione di questa autorizzazione comporta che l'autore non venga aggiunto come primo proprietario della registrazione dell'app creata e la registrazione dell'app creata non verrà conteggiato rispetto alla quota di 250 oggetti creati dall'autore. Usare questa autorizzazione con attenzione, perché non esiste nulla che impedisca all'assegnatario di creare registrazioni dell'app fino a quando non viene raggiunta la quota a livello di directory. Se vengono assegnate entrambe le autorizzazioni, questa autorizzazione avrà la precedenza.
PowerShell
Creare un ruolo personalizzato
Creare un nuovo ruolo con lo script PowerShell seguente:
# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/create"
"microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true
Assegnare il ruolo
Assegnare il ruolo usando lo script di PowerShell seguente:
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"
# Get resource scope for assignment
$resourceScope = '/'
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id
API di Microsoft Graph
Creare un ruolo personalizzato
Usare l'API Create unifiedRoleDefinition per creare un ruolo personalizzato.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Testo
{
"description": "Can create an unlimited number of application registrations.",
"displayName": "Application Registration Creator",
"isEnabled": true,
"rolePermissions":
[
{
"allowedResourceActions":
[
"microsoft.directory/applications/create"
"microsoft.directory/applications/createAsOwner"
]
}
],
"templateId": "<PROVIDE NEW GUID HERE>",
"version": "1"
}
Assegnare il ruolo
Usare l'API Create unifiedRoleAssignment per assegnare il ruolo personalizzato. L'assegnazione di ruolo combina un ID entità di sicurezza (che può essere un utente o un'entità servizio), un ID definizione di ruolo (ruolo) e un ambito della risorsa Microsoft Entra.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Testo
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
"roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
"directoryScopeId": "/"
}
Passaggi successivi
- È possibile condividere con Microsoft nel forum dei ruoli amministrativi di Microsoft Entra.
- Per altre informazioni sui ruoli di Microsoft Entra, vedere Ruoli predefiniti di Microsoft Entra.
- Per altre informazioni sulle autorizzazioni utente predefinite, vedere il confronto tra le autorizzazioni predefinite per gli utenti guest e quelle per gli utenti membro.