Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
当用户在 Microsoft Entra ID 中注册应用程序时,它们会自动添加为应用程序所有者。 仅当没有任何管理员角色的用户创建新的应用程序注册时,才会分配企业应用程序的默认所有权。 此外,当云应用程序管理员通过企业应用管理界面将用户指定为服务主体的所有者时,该用户也会被添加为单租户应用中的 OpenID Connect(OIDC)和安全断言标记语言(SAML)应用程序的所有者。 在所有其他情况下,默认情况下不会将所有权分配给企业应用程序。 虽然可以将用户分配为企业应用程序的所有者,但无法将组分配为所有者。
作为 Microsoft Entra ID 中的企业应用程序的所有者,用户可管理应用程序的特定于组织的配置,例如单一登录、预配和用户分配。 所有者还可以添加或删除其他所有者。 与特权角色管理员不同,所有者只能管理他们拥有的企业应用程序。 所有者权限与限定于单个应用程序的应用程序管理员权限相同。 若要详细了解应用程序所有者拥有的权限,请参阅所有权权限
注意
应用程序拥有的权限可能多于所有者,因此,与身为用户的所有者的访问权限相比,应用程序的特权会有所提升。 在模拟应用程序时,应用程序所有者可以创建或更新用户或其他对象。 在某些情况下,为所有者提升特权可能会引发安全问题,具体取决于应用程序的权限。
注意
当前,由于后台应用程序和服务主体对象设置的依赖性,通过 Entra 管理中心以外的方式(如使用图形 API、PowerShell)添加的应用程序所有者,将无法管理某些企业应用程序的设置,比如属性和声明、修改已配置的 SAML 证书属性或令牌加密设置等。
FAQ
对于所有者不再与组织在一起的应用程序,该怎么办?
如果租户中存在无所有者应用程序,则可以访问此应用程序的审核日志,以调查可能涉及配置此应用程序的其他用户。 但是,审核日志的存储时间存在限制。 请参阅 Microsoft Entra 审核日志报告。
还可通过导航到“角色和管理员”选项卡,查看对应用程序限定权限范围的其他用户。找到拥有该应用程序的正确人员后,组织中具有高特权管理角色的用户就可以为应用程序分配新的所有者。 请参阅分配企业应用程序所有者。
建议在环境中主动监视应用程序,确保在可能的情况下至少有两个所有者,以避免出现无所有者应用的情况,这是最佳做法。 此外,还应利用应用程序对象上的 serviceManagementReference 属性从企业的服务或资产管理数据库中引用团队联系人信息。 serviceManagementReference 属性可确保即使某个人离开组织,你也有团队联系人。
如何查找组织中无所有者或面临无所有者风险的企业应用程序?
要了解如何使用 Microsoft Graph API 识别无所有者企业应用或只有一个所有者的应用,请参阅列出无所有者应用程序。
如何将自己添加为企业应用程序的所有者?
应用程序的现有所有者可以将其他用户添加为所有者。 此外,具有特权角色(如应用程序管理员或云应用程序管理员)的用户可以将所有者分配到组织中的应用程序。 如果你不是管理员,请要求组织中的管理员将你分配为应用程序的所有者。
如何查找你拥有的所有应用程序?
- 可以导航到“企业应用程序”,然后选择“所有应用程序”
- 选择添加筛选器,然后使用由您或他人所拥有的来搜索应用。