Creare un ruolo personalizzato con autorizzazioni per creare registrazioni di app illimitate

Articolo
01/03/2025

In questa guida introduttiva si crea un ruolo personalizzato con l'autorizzazione per creare un numero illimitato di registrazioni dell'app e quindi si assegna tale ruolo a un utente. L'utente assegnato può quindi usare l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph PowerShell o l'API Microsoft Graph per creare registrazioni dell'applicazione. Diversamente dal ruolo predefinito Sviluppatore di applicazioni, questo ruolo personalizzato concede la possibilità di creare un numero illimitato di registrazioni dell'applicazione. Il ruolo Sviluppatore di applicazioni concede la possibilità, ma il numero totale di oggetti creati è limitato a 250 per impedire il raggiungimento della quota di oggetti a livello di directory. Il ruolo con privilegi minimi necessario per creare e assegnare ruoli personalizzati di Microsoft Entra è l'amministratore del ruolo con privilegi.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Prerequisiti

Licenza Microsoft Entra ID P1 o P2
Amministratore ruolo con privilegi
modulo Microsoft Graph PowerShell quando si usa PowerShell
Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Creare un ruolo personalizzato

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale di partenza.

Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Identità>Ruoli e amministratori>Ruoli e amministratori.
Selezionare + Nuovo ruolo personalizzato.
Nella scheda Informazioni di base immettere "Autore registrazione applicazione" per il nome del ruolo e "Può creare un numero illimitato di registrazioni dell'applicazione" per la descrizione del ruolo e quindi selezionare Avanti.
Nella scheda Autorizzazioni immettere "microsoft.directory/applications/create" nella casella di ricerca e quindi selezionare le caselle di controllo accanto alle autorizzazioni desiderate e infine selezionare Avanti.
Nella scheda Rivedi e crea rivedere le autorizzazioni e selezionare Crea.

Assegnare il ruolo

Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Identità>Ruoli e amministratori>Ruoli e amministratori.
Selezionare il ruolo Autore registrazione applicazione e selezionare Aggiungi assegnazione.
Selezionare l'utente desiderato e fare clic su Seleziona per aggiungerlo al ruolo.

Fatto! In questo argomento di avvio rapido è stato creato un ruolo personalizzato con l'autorizzazione per creare un numero illimitato di registrazioni di app e ora si assegnerà tale ruolo a un utente.

Suggerimento

Per assegnare il ruolo a un'applicazione usando l'interfaccia di amministrazione di Microsoft Entra, immettere il nome dell'applicazione nella casella di ricerca della pagina di assegnazione. Le applicazioni non vengono visualizzate nell'elenco per impostazione predefinita, ma vengono restituite nei risultati della ricerca.

Autorizzazioni per la registrazione di app

Sono disponibili due autorizzazioni per concedere la possibilità di creare registrazioni dell'applicazione, ognuna con un comportamento diverso.

microsoft.directory/applications/createAsOwner: l'assegnazione di questa autorizzazione comporta l'aggiunta dell'autore come primo proprietario della registrazione dell'app creata e il conteggio della registrazione dell'app creata rispetto alla quota di 250 oggetti creati dall'autore.
microsoft.directory/applications/create: l'assegnazione di questa autorizzazione comporta che l'autore non venga aggiunto come primo proprietario della registrazione dell'app creata e la registrazione dell'app creata non verrà conteggiato rispetto alla quota di 250 oggetti creati dall'autore. Usare questa autorizzazione con attenzione, perché non esiste nulla che impedisca all'assegnatario di creare registrazioni dell'app fino a quando non viene raggiunta la quota a livello di directory. Se vengono assegnate entrambe le autorizzazioni, questa autorizzazione avrà la precedenza.

Creare un ruolo personalizzato

Creare un nuovo ruolo con lo script PowerShell seguente:

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

Assegnare il ruolo

Assegnare il ruolo usando lo script di PowerShell seguente:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

Creare un ruolo personalizzato

Usare l'API Create unifiedRoleDefinition per creare un ruolo personalizzato.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Testo

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Assegnare il ruolo

Usare l'API Create unifiedRoleAssignment per assegnare il ruolo personalizzato. L'assegnazione di ruolo combina un ID entità di sicurezza (che può essere un utente o un'entità servizio), un ID definizione di ruolo (ruolo) e un ambito della risorsa Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Testo

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Passaggi successivi

È possibile condividere con Microsoft nel forum dei ruoli amministrativi di Microsoft Entra.
Per altre informazioni sui ruoli di Microsoft Entra, vedere Ruoli predefiniti di Microsoft Entra.
Per altre informazioni sulle autorizzazioni utente predefinite, vedere il confronto tra le autorizzazioni predefinite per gli utenti guest e quelle per gli utenti membro.

Condividi tramite

Creare un ruolo personalizzato con autorizzazioni per creare registrazioni di app illimitate

Prerequisiti

Creare un ruolo personalizzato

Assegnare il ruolo

Autorizzazioni per la registrazione di app

Creare un ruolo personalizzato

Assegnare il ruolo

Creare un ruolo personalizzato

Assegnare il ruolo

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive