Delegar permissões de registro de aplicativo no Microsoft Entra ID

Este artigo descreve como usar permissões concedidas por funções personalizadas no Microsoft Entra ID para atender às necessidades de gerenciamento de aplicativos. No Microsoft Entra ID, você pode delegar as permissões de criação e gerenciamento de aplicativos das seguintes maneiras:

  • Restringir quem pode criar aplicativos e gerenciar os aplicativos que eles criam. Por padrão, no Microsoft Entra ID, todos os usuários podem registrar aplicativos e gerenciar todos os aspectos de aplicativos que criam. Isso pode ser restringido para permitir que apenas pessoas selecionadas tenham essa permissão.
  • Atribuir um ou mais proprietários a um aplicativo. Essa é uma maneira simples de conceder a alguém a capacidade de gerenciar todos os aspectos da configuração do Microsoft Entra para um aplicativo específico.
  • Atribuir uma função administrativa interna que concede acesso para gerenciar a configuração de todos os aplicativos no Microsoft Entra ID. Essa é a maneira recomendada de conceder aos especialistas de TI acesso para gerenciar as amplas permissões de configuração de aplicativo sem conceder acesso para gerenciar outras partes do Microsoft Entra não relacionadas à configuração de aplicativo.
  • Criar uma função personalizada com permissões muito específicas e atribuí-la a alguém no escopo de um único aplicativo como proprietário limitado ou no escopo do diretório (todos os aplicativos) como um administrador limitado.

É importante considerar a concessão de acesso usando um dos métodos acima por dois motivos. Primeiro, delegar a capacidade de executar tarefas administrativas reduz a sobrecarga do administrador altamente privilegiado. Em segundo lugar, o uso de permissões limitadas melhora sua postura de segurança e reduz a possibilidade de acesso não autorizado. Para obter diretrizes sobre o planejamento de segurança de funções, consulte Protegendo o acesso privilegiado para implantações híbridas e na nuvem no Microsoft Entra ID.

Restringir quem pode criar aplicativos

Por padrão, no Microsoft Entra ID, todos os usuários podem registrar aplicativos e gerenciar todos os aspectos de aplicativos que criam. Todos têm também a capacidade de dar consentimento a aplicativos que acessem dados da empresa em seu nome. Você pode optar por conceder essas permissões seletivamente definindo as opções globais como "Não" e adicionando os usuários selecionados à função de Desenvolvedor do Aplicativo.

Para desabilitar a capacidade padrão de criar registros de aplicativo ou consentir com aplicativos, siga estas etapas para definir uma ou ambas as configurações para sua organização.

  1. Entre no centro de administração do Microsoft Entra como Administrador global.

  2. Navegue até Identidade>Usuários>Configurações do usuário.

  3. Defina a configuração Usuários podem registrar aplicativos como Não.

    Isso desabilitará a capacidade padrão de os usuários criarem registros de aplicativo.

  4. Navegue atéIdentidade>de aplicativos empresarial>Consentimento e permissões.

  5. Selecione a opção Não permitir consentimento do usuário.

    Isso desabilitará a capacidade padrão de os usuários autorizarem aplicativos que acessam os dados da empresa em seus nomes.

Atribua a função Desenvolvedor de Aplicativos para conceder a capacidade de criar registros de aplicativos quando a configuração Usuários podem registrar aplicativos estiver definida como Não. Essa função também concede a permissão de consentir em nome de alguém quando a configuração Usuários podem consentir que os aplicativos acessem dados da empresa em nome deles estiver definida como Não.

Atribuir proprietários de aplicativos

A atribuição de proprietários é uma maneira simples de conceder a capacidade de gerenciar todos os aspectos da configuração do Microsoft Entra a um registro de aplicativo ou aplicativo empresarial específico. Para obter mais informações, confira Atribuir proprietários de aplicativos empresariais.

Atribuir funções internas de administrador de aplicativos

O Microsoft Entra ID tem um conjunto de funções de administrador internas para conceder acesso para gerenciar a configuração no Microsoft Entra ID para todos os aplicativos. Essas funções são a maneira recomendada de conceder aos especialistas de TI acesso para gerenciar as amplas permissões de configuração de aplicativo sem conceder acesso para gerenciar outras partes do Microsoft Entra não relacionadas à configuração do aplicativo.

  • Administrador de Aplicativos: usuários nesta função podem criar e gerenciar todos os aspectos de aplicativos corporativos, registros de aplicativo e as configurações de proxy de aplicativo. Essa função também confere a capacidade de consentir permissões delegadas e permissões do aplicativo, excluído o Microsoft Graph. Os usuários atribuídos a essa função não são adicionados como proprietários ao criar novos registros de aplicativo ou aplicativos empresariais.
  • Administrador de Aplicativos de Nuvem: os usuários nesta função têm as mesmas permissões que a função de administrador do aplicativo, exceto a capacidade de gerenciar o proxy de aplicativo. Os usuários atribuídos a essa função não são adicionados como proprietários ao criar novos registros de aplicativo ou aplicativos empresariais.

Para obter mais informações e exibir a descrição dessas funções, consulte funções internas do Microsoft Entra.

Siga as instruções contidas no guia de instruções Atribuir funções a usuários com o Microsoft Entra ID para atribuir as funções Administrador de Aplicativos ou Administrador dos Aplicativos de Nuvem.

Importante

Os Administradores de Aplicativos e de Aplicativos de Nuvem podem adicionar credenciais a um aplicativo e usá-las para representar a identidade do aplicativo. O aplicativo pode ter permissões que são uma elevação de privilégio em relação às permissões da função de administrador. Um administrador nessa função poderia criar ou atualizar usuários ou outros objetos ao representar o aplicativo, dependendo das permissões do aplicativo. Nenhuma dessas funções fornece a capacidade de gerenciar configurações de Acesso Condicional.

Criar e atribuir uma função personalizada (versão prévia)

A criação de funções personalizadas e a atribuição de funções personalizadas envolvem etapas diferentes:

Essa separação permite que você crie uma única definição de função e a atribua várias vezes em escopos diferentes. Uma função personalizada pode ser atribuída em escopo de toda a organização ou pode ser atribuída no escopo de um único objeto do Microsoft Entra. Um exemplo de escopo de objeto é um registro de aplicativo único. Usando escopos diferentes, a mesma definição de função pode ser atribuída a Sally sobre todos os registros de aplicativo na organização e, em seguida, para Naveen somente pelo registro do aplicativo de Relatórios de Despesas da Contoso.

Dicas durante a criação e o uso de funções personalizadas para delegar o gerenciamento de aplicativos:

  • As funções personalizadas concedem acesso apenas nas folhas de registro de aplicativo mais recentes do centro de administração do Microsoft Entra. Elas não concedem acesso nas folhas de registros de aplicativo herdados.
  • As funções personalizadas não concedem acesso ao centro de administração do Microsoft Entra quando a configuração de usuário “Restringir o acesso ao portal de administração do Microsoft Entra” está definida como Sim.
  • Para registros de aplicativo aos quais o usuário tem acesso, as atribuições de função só aparecem na guia “Todos os aplicativos” na página Registros de aplicativo. Eles não aparecem na guia “Aplicativos com propriedade”.

Para obter mais informações sobre as noções básicas de funções personalizadas, consulte a visão geral das funções personalizadas, bem como criar uma função personalizada e como atribuir uma função.

Solucionar problemas

Sintoma - Acesso negado ao tentar registrar um aplicativo

Ao tentar registrar um aplicativo no Microsoft Entra ID, você recebe uma mensagem semelhante à seguinte:

Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.

Captura de tela da mensagem de acesso negado ao tentar criar um registro de aplicativo.

Causa

Não é possível registrar o aplicativo no diretório porque o administrador do diretório restringiu quem pode criar aplicativos.

Solução

Entre em contato com o administrador para realizar um dos seguintes procedimentos:

Próximas etapas