Guia de início rápido: conceda permissão para criar registros ilimitados de aplicativos

Neste guia de início rápido, você cria uma função personalizada com permissão para criar um número ilimitado de registros de aplicativo e, em seguida, atribui essa função a um usuário. O usuário atribuído pode usar o centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a API do Microsoft Graph para criar registros de aplicativos. Ao contrário da função interna de Desenvolvedor de Aplicativos, essa função personalizada concede a capacidade de criar um número ilimitado de registros de aplicativos. A função Desenvolvedor de Aplicativos concede a capacidade, mas o número total de objetos criados é limitado a 250 para evitar atingir a cota de objeto em todo o diretório. A função menos privilegiada necessária para criar e atribuir funções personalizadas do Microsoft Entra é o Administrador de Função Privilegiada.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

  • Licença do Microsoft Entra ID P1 ou P2
  • Administrador de Funções com Privilégios
  • Módulo do Microsoft Graph PowerShell ao usar o PowerShell
  • Consentimento do administrador ao utilizar os Testes de API do Graph para a Microsoft Graph API

Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.

Centro de administração do Microsoft Entra

Criar uma função personalizada

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

  2. Navegue até Identity>Roles & admins>Roles & admins.

  3. Selecione Nova função personalizada.

    Criar ou editar funções a partir da página Funções e administradores

  4. Na guia Noções básicas, digite "Application Registration Creator" para o nome da função e "Pode criar um número ilimitado de registros de aplicativo" para a descrição da função e selecione Next.

    forneça um nome e uma descrição para uma função personalizada na guia Noções básicas

  5. Na guia Permissões, digite "microsoft.directory/applications/create" na caixa de pesquisa e marque as caixas de seleção ao lado das permissões desejadas e selecione Avançar.

    Selecione as permissões para uma função personalizada na guia Permissões

  6. Na guia Revisar + criar, revise as permissões e selecione Criar.

Atribuir a função

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

  2. Navegue até Identity>Roles & admins>Roles & admins.

  3. Selecione a função Application Registration Creator e selecione Add assignment.

  4. Selecione o usuário desejado e clique em Selecionar para adicionar o usuário à função.

E já está! Neste início rápido, você criou com êxito uma função personalizada com permissão para criar um número ilimitado de registros de aplicativo e, em seguida, atribuir essa função a um usuário.

Gorjeta

Para atribuir a função a um aplicativo usando o centro de administração do Microsoft Entra, digite o nome do aplicativo na caixa de pesquisa da página de atribuição. Os aplicativos não são mostrados na lista por padrão, mas são retornados nos resultados da pesquisa.

Permissões do registo da aplicação

Existem duas permissões disponíveis para conceder a capacidade de criar registos de aplicações, cada uma com um comportamento diferente.

  • microsoft.directory/applications/createAsOwner: A atribuição dessa permissão resulta na adição do criador como o primeiro proprietário do registro do aplicativo criado, e o registro do aplicativo criado conta em relação à cota de 250 objetos criados do criador.
  • microsoft.directory/applications/create: A atribuição dessa permissão faz com que o criador não seja adicionado como o primeiro proprietário do registro do aplicativo criado e o registro do aplicativo criado não contará para a cota de 250 objetos criados pelo criador. Use essa permissão com cuidado, porque não há nada que impeça o cessionário de criar registros de aplicativos até que a cota no nível do diretório seja atingida. Se ambas as permissões forem atribuídas, essa permissão terá precedência.

PowerShell

Criar uma função personalizada

Crie uma nova função usando o seguinte script do PowerShell:

# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -DisplayName $displayName -Description $description -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled:$true

Atribuir a função

Atribua a função usando o seguinte script do PowerShell:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "UserPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.Id

Microsoft Graph API

Criar uma função personalizada

Use a API Create unifiedRoleDefinition para criar uma função personalizada.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Corpo

{
    "description": "Can create an unlimited number of application registrations.",
    "displayName": "Application Registration Creator",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/applications/create"
                "microsoft.directory/applications/createAsOwner"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Atribuir a função

Use a API Create unifiedRoleAssignment para atribuir a função personalizada. A atribuição de função combina uma ID de entidade de segurança (que pode ser uma entidade de usuário ou de serviço), uma ID de definição de função (função) e um escopo de recurso do Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Corpo

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Próximos passos

  • Sinta-se à vontade para compartilhar conosco no fórum de funções administrativas do Microsoft Entra.
  • Para obter mais informações sobre as funções do Microsoft Entra, consulte Funções internas do Microsoft Entra.
  • Para obter mais informações sobre permissões de usuário padrão, consulte comparação de permissões de usuário convidado e membro padrão.