Delegare le autorizzazioni di registrazione dell'app in Microsoft Entra ID

Questo articolo descrive come usare le autorizzazioni concesse dai ruoli personalizzati in Microsoft Entra ID per soddisfare le esigenze di gestione delle applicazioni. In Microsoft Entra ID è possibile delegare le autorizzazioni per la creazione e la gestione delle applicazioni tramite:

  • Limitazione degli utenti che possono creare applicazioni e gestire le applicazioni create. Per impostazione predefinita, in Microsoft Entra ID, tutti gli utenti possono registrare le applicazioni e gestire tutti gli aspetti delle applicazioni create. Questo comportamento può essere limitato in modo da consentire tale autorizzazione solo a persone selezionate.
  • Assegnazione di uno o più proprietari a un'applicazione. Si tratta di un modo semplice per concedere a un utente la possibilità di gestire tutti gli aspetti della configurazione di Microsoft Entra per un'applicazione specifica.
  • Assegnazione di un ruolo amministrativo predefinito che concede l'accesso per gestire la configurazione in Microsoft Entra ID per tutte le applicazioni. Questo è il modo consigliato per concedere agli esperti IT l'accesso per gestire autorizzazioni generali di configurazione delle applicazioni senza concedere l'accesso per gestire altre parti di Microsoft Entra non correlate alla configurazione dell'applicazione.
  • Creazione di un ruolo personalizzato che definisce autorizzazioni molto specifiche e assegnarlo a un utente all'ambito di una singola applicazione come proprietario limitato o nell'ambito della directory (tutte le applicazioni) come amministratore limitato.

È importante valutare la possibilità di concedere l'accesso usando uno dei metodi descritti sopra per due motivi. Prima di tutto, delegando la possibilità di eseguire attività amministrative, si riduce il sovraccarico dell'amministratore con privilegi elevati. In secondo luogo, l'uso di autorizzazioni limitate migliora la postura di sicurezza e riduce il rischio di accesso non autorizzato. Per linee guida sulla pianificazione della sicurezza dei ruoli, vedere Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Microsoft Entra ID.

Limitare gli utenti che possono creare applicazioni

Per impostazione predefinita, in Microsoft Entra ID, tutti gli utenti possono registrare le applicazioni e gestire tutti gli aspetti delle applicazioni create. Tutti hanno anche la possibilità di dare il consenso a che le app accedano ai dati aziendali per conto loro. È possibile scegliere di concedere in modo selettivo tali autorizzazioni impostando le opzioni globali su "No" e aggiungendo gli utenti selezionati al ruolo Sviluppatore di applicazioni.

Per disabilitare la possibilità predefinita di creare registrazioni dell'applicazione o fornire il consenso alle applicazioni, seguire questa procedura per impostare una o entrambe queste impostazioni per l'organizzazione.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.

  2. Passare a Identità>Utenti>Impostazioni utente.

  3. Impostare l'impostazione Utenti per registrare le applicazioni su No.

    Questa impostazione disabilita la funzionalità predefinita che consente agli utenti di creare registrazioni di applicazioni.

  4. Passare a Identity Enterprise applications Consent and permissions (Autorizzazioni e consenso delle applicazioni>Identity>Enterprise).

  5. Selezionare l'opzione Non consentire il consenso dell'utente.

    Questa impostazione disabilita la funzionalità predefinita che consente agli utenti di dare il consenso a che le app accedano ai dati per conto loro.

Assegnare il ruolo Sviluppatore di applicazioni per concedere la possibilità di creare registrazioni dell'applicazione quando l'impostazione Utenti possono registrare le applicazioni è impostata su No. Questo ruolo concede anche l'autorizzazione per dare il consenso all'accesso per proprio conto quando l'opzione Gli utenti possono fornire il consenso alle app che accedono ai dati aziendali per loro conto è impostata su No.

Assegnare proprietari dell'applicazione

L'assegnazione di proprietari è un semplice metodo per consentire la gestione di tutti gli aspetti della configurazione di Microsoft Entra per la registrazione di un'applicazione o un'applicazione aziendale specifica. Per altre informazioni, vedere Assegnare proprietari ad applicazioni aziendali.

Assegnare ruoli di amministratore applicazioni predefiniti

Microsoft Entra ID include un set di ruoli di amministratore predefiniti per concedere l'accesso per la gestione della configurazione in Microsoft Entra ID per tutte le applicazioni. Questi ruoli sono il metodo consigliato per concedere a esperti IT l'accesso in modo da gestire le autorizzazioni di configurazione delle applicazioni generali senza consentire l'accesso per la gestione di altre parti di Microsoft Entra non correlate alla configurazione delle applicazioni.

  • Amministratore di applicazioni: gli utenti in questo ruolo possono creare e gestire tutti gli aspetti di applicazioni aziendali, le registrazioni delle applicazioni e le impostazioni proxy dell'applicazione. Questo ruolo concede anche la possibilità di dare il consenso alle autorizzazioni delegate e alle autorizzazioni delle applicazioni, con l'esclusione di Microsoft Graph. Gli utenti assegnati a questo ruolo non vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o di applicazioni aziendali.
  • Amministratore applicazione cloud: gli utenti in questo ruolo hanno le stesse autorizzazioni del ruolo di amministratore di applicazioni, esclusa la possibilità di gestire il proxy dell'applicazione. Gli utenti assegnati a questo ruolo non vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o di applicazioni aziendali.

Per maggiori informazioni e visualizzare la descrizione di questi ruoli, consultare la sezione Ruoli predefiniti di Microsoft Entra.

Seguire le istruzioni riportate nella guida pratica Assegnare ruoli agli utenti con Microsoft Entra ID per assegnare i ruoli Amministratore applicazione o Amministratore applicazioni cloud.

Importante

Gli amministratori applicazione e gli amministratori applicazione cloud possono aggiungere credenziali a un'applicazione e usare tali credenziali per rappresentare l'identità dell'applicazione. È possibile che l'applicazione abbia autorizzazioni che costituiscono un'elevazione dei privilegi rispetto alle autorizzazioni del ruolo di amministratore. Un amministratore in questo ruolo potrebbe potenzialmente creare o aggiornare utenti o altri oggetti durante la rappresentazione dell'applicazione, a seconda delle autorizzazioni dell'applicazione. Nessuno dei ruoli consente di gestire le impostazioni di accesso condizionale.

Creare e assegnare un ruolo personalizzato (anteprima)

La creazione e l'assegnazione di ruoli personalizzati sono due passaggi separati:

Questa separazione consente di creare una singola definizione di ruolo e quindi assegnarla più volte in ambiti diversi. Un ruolo personalizzato può essere assegnato a livello di organizzazione oppure può essere assegnato nell'ambito di un singolo oggetto Microsoft Entra. Un esempio di ambito degli oggetti è la registrazione di una singola app. Usando ambiti diversi, la stessa definizione di ruolo può essere assegnata a Sally in tutte le registrazioni dell'app nell'organizzazione e quindi a Naveen solo sulla registrazione dell'app Contoso Expense Reports.

Suggerimenti per la creazione e l'uso di ruoli personalizzati per delegare la gestione delle applicazioni:

  • I ruoli personalizzati concedono l'accesso solo ai pannelli di registrazione delle app più recenti dell'interfaccia di amministrazione di Microsoft Entra. Non concedono l'accesso ai pannelli delle registrazioni di app legacy.
  • I ruoli personalizzati non concedono l'accesso all'interfaccia di amministrazione di Microsoft Entra quando l'impostazione utente Limita l'accesso al portale di amministrazione di Microsoft Entra è impostata su .
  • Registrazioni app l'utente ha accesso all'uso delle assegnazioni di ruolo viene visualizzato solo nella scheda "Tutte le applicazioni" nella pagina Registrazione app. Non vengono visualizzati nella scheda "Applicazioni di proprietà".

Per altre informazioni sulle nozioni di base dei ruoli personalizzati, vedere la panoramica dei ruoli personalizzati, nonché come creare un ruolo personalizzato e come assegnare un ruolo.

Risoluzione dei problemi

Sintomo - Accesso negato quando si tenta di registrare un'applicazione

Quando si tenta di registrare un'applicazione in Microsoft Entra ID, viene visualizzato un messaggio simile al seguente:

Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.

Screenshot del messaggio di accesso negato quando si tenta di creare una nuova registrazione dell'app.

Causa

Non è possibile registrare l'applicazione nella directory perché l'amministratore della directory ha limitato chi può creare applicazioni.

Soluzione

Contattare l'amministratore per eseguire una delle operazioni seguenti:

Passaggi successivi