Guida introduttiva: Concedere l'autorizzazione per creare registrazioni di app illimitate

  • Articolo

In questa guida introduttiva si crea un ruolo personalizzato con l'autorizzazione per creare un numero illimitato di registrazioni dell'app e quindi si assegna tale ruolo a un utente. L'utente assegnato può quindi usare l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph PowerShell o l'API Microsoft Graph per creare registrazioni dell'applicazione. Diversamente dal ruolo predefinito Sviluppatore di applicazioni, questo ruolo personalizzato concede la possibilità di creare un numero illimitato di registrazioni dell'applicazione. Il ruolo Sviluppatore di applicazioni concede la possibilità, ma il numero totale di oggetti creati è limitato a 250 per impedire il raggiungimento della quota di oggetti a livello di directory. Il ruolo con privilegi minimi necessario per creare e assegnare ruoli personalizzati di Microsoft Entra è l'amministratore del ruolo con privilegi.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Prerequisiti

  • Licenza Microsoft Entra ID P1 o P2
  • Amministratore ruolo con privilegi
  • Modulo di Microsoft Graph PowerShell quando si usa PowerShell
  • Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Interfaccia di amministrazione di Microsoft Entra

Creare un ruolo personalizzato

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Passare a Ruoli di identità>e ruoli amministratori e amministratori.>

  3. Selezionare + Nuovo ruolo personalizzato.

    Creare e modificare i ruoli nella pagina Ruoli e amministratori

  4. Nella scheda Informazioni di base immettere "Autore registrazione applicazione" per il nome del ruolo e "Può creare un numero illimitato di registrazioni dell'applicazione" per la descrizione del ruolo e quindi selezionare Avanti.

    Specificare un nome e una descrizione per un ruolo personalizzato nella scheda Generale

  5. Nella scheda Autorizzazioni immettere "microsoft.directory/applications/create" nella casella di ricerca e quindi selezionare le caselle di controllo accanto alle autorizzazioni desiderate e infine selezionare Avanti.

    Selezionare le autorizzazioni per un ruolo personalizzato nella scheda Autorizzazioni

  6. Nella scheda Rivedi e crea rivedere le autorizzazioni e selezionare Crea.

Assegnare il ruolo

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Passare a Ruoli di identità>e ruoli amministratori e amministratori.>

  3. Selezionare il ruolo Autore registrazione applicazione e selezionare Aggiungi assegnazione.

  4. Selezionare l'utente desiderato e fare clic su Seleziona per aggiungerlo al ruolo.

La procedura è stata completata. In questo argomento di avvio rapido è stato creato un ruolo personalizzato con l'autorizzazione per creare un numero illimitato di registrazioni di app e ora si assegnerà tale ruolo a un utente.

Suggerimento

Per assegnare il ruolo a un'applicazione usando l'interfaccia di amministrazione di Microsoft Entra, immettere il nome dell'applicazione nella casella di ricerca della pagina di assegnazione. Per impostazione predefinita, le applicazioni non vengono visualizzate nell'elenco, ma vengono restituite nei risultati della ricerca.

Autorizzazioni per la registrazione di app

Sono disponibili due autorizzazioni per concedere la possibilità di creare registrazioni dell'applicazione, ognuna con un comportamento diverso.

  • microsoft.directory/applications/createAsOwner: l'assegnazione di questa autorizzazione comporta l'aggiunta dell'autore come primo proprietario della registrazione dell'app creata e il conteggio della registrazione dell'app creata rispetto alla quota di 250 oggetti creati dall'autore.
  • microsoft.directory/applications/create: l'assegnazione di questa autorizzazione comporta che l'autore non venga aggiunto come primo proprietario della registrazione dell'app creata e la registrazione dell'app creata non verrà conteggiato rispetto alla quota di 250 oggetti creati dall'autore. Usare questa autorizzazione con attenzione, perché non esiste nulla che impedisca all'assegnatario di creare registrazioni dell'app fino a quando non viene raggiunta la quota a livello di directory. Se vengono assegnate entrambe le autorizzazioni, questa autorizzazione avrà la precedenza.

PowerShell

Creare un ruolo personalizzato

Creare un nuovo ruolo con lo script PowerShell seguente:

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

Assegnare il ruolo

Assegnare il ruolo usando lo script di PowerShell seguente:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

API di Microsoft Graph

Creare un ruolo personalizzato

Usare l'API Create unifiedRoleDefinition per creare un ruolo personalizzato.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Corpo

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Assegnare il ruolo

Usare l'API Create unifiedRoleAssignment per assegnare il ruolo personalizzato. L'assegnazione di ruolo combina un ID entità di sicurezza (che può essere un utente o un'entità servizio), un ID definizione di ruolo (ruolo) e un ambito della risorsa Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Corpo

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Passaggi successivi