在Microsoft Entra ID中注册应用程序的用户会自动添加为应用程序所有者。 仅当没有任何管理员角色的用户创建新的应用程序注册时,才会分配企业应用程序的默认所有权。
当云应用程序管理员通过企业应用将用户指定为服务主体的所有者时,该用户也被添加为单租户 OpenID Connect(OIDC)和安全断言标记语言(SAML)应用的所有者。
在所有其他情况下,默认情况下不会将所有权分配给企业应用程序。 尽管可以将用户分配为企业应用程序的所有者,但无法将组分配为所有者。
作为Microsoft Entra ID中企业应用程序的所有者,用户可以管理应用程序的组织特定配置。 此配置包括单一登录、预配和用户分配。 所有者还可以添加或删除其他所有者。
与特权角色管理员不同,所有者只能管理他们拥有的企业应用程序。 所有者拥有与应用程序管理员相同的权限,其范围限定为单个应用程序。 若要详细了解应用程序所有者拥有的权限,请参阅 “所有权”权限。
注意
应用程序的权限可能比所有者多。 这种情况是所有者作为用户可以访问的权限提升。 在这种情况下,应用程序所有者可以在模拟应用程序时创建或更新用户或其他对象。 在某些情况下,所有者的特权提升可能会引发安全问题,具体取决于应用程序的权限。
目前,由于后台应用程序和服务主体对象的设置依赖项,通过Microsoft Entra 管理中心以外的方法添加的应用程序所有者(如Microsoft 图形 API或 PowerShell)无法管理某些企业应用程序设置。 这些设置包括属性和声明、配置的 SAML 证书属性或令牌加密设置。
FAQ
对于所有者不再与组织一起的应用程序,我该怎么办?
如果租户中存在无所有者应用程序,则可以访问此应用程序的审核日志,以调查可能涉及配置此应用程序的其他用户。 但是,审核日志的存储时间存在限制。 请参阅 Microsoft Entra 审核日志报告。
您还可以通过访问“角色和管理员”选项卡查看将权限设置到应用程序内的其他用户。在找到合适人员来管理应用程序后,组织中拥有高级特权管理角色的用户可以为应用程序指定新的所有者。 请参阅分配企业应用程序所有者。
作为最佳做法,我们建议在环境中主动监视应用程序,以确保尽可能至少有两个所有者。 此监视有助于避免无所有者应用的情况。
此外,应使用 serviceManagementReference 应用程序对象上的属性来引用企业服务或资产管理数据库中的团队联系信息。 该 serviceManagementReference 属性可确保你拥有团队联系人,即使个人离开组织也是如此。
如何查找组织中无所有者或面临无所有者风险的企业应用程序?
若要了解如何使用Microsoft 图形 API标识无所有者企业应用(或只有一个所有者的应用),请参阅 List 无所有者应用程序。
如何将自己添加为企业应用程序的所有者?
应用程序的现有所有者可以将其他用户添加为所有者。 此外,具有特权角色(例如应用程序管理员或云应用程序管理员)的用户可以将所有者分配给组织中的应用程序。 如果你不是管理员,请要求组织中的管理员将你分配为应用程序的所有者。
如何查找我拥有的所有应用程序?
转到 企业应用程序,然后选择 “所有应用程序”。
选择 “添加筛选器”,然后使用“ 拥有者 ”搜索你或其他人拥有的应用。