在 Microsoft Entra ID 中委托应用注册权限
本文介绍如何使用 Microsoft Entra ID 中的自定义角色授予的权限来满足应用程序管理需求。 在 Microsoft Entra ID 中,可以通过以下方式委托应用程序创建和管理权限:
- 限制谁可以创建应用程序和管理他们创建的应用程序。 默认情况下,Microsoft Entra ID 中的所有用户都可以注册应用程序,并全方面地管理他们创建的应用程序。 可将此权限限制为选定的人员。
- 将一个或多个所有者分配到应用程序。 这是向用户授予全方面管理特定应用程序的 Microsoft Entra 配置的权限的一种简单方法。
- 分配内置管理角色,以授予管理 Microsoft Entra ID 中所有应用程序的配置的访问权限。 建议通过此方法向 IT 专家授予管理广泛应用程序配置权限的访问权限,此方法无需授予管理与应用程序配置无关的其他 Microsoft Entra 部分的访问权限。
- 创建自定义角色,定义非常具体的权限并在单个应用程序的范围将其分配给受限所有者,或者在目录(所有应用程序)范围将其分配给受限管理员。
出于以下两种原因,必须考虑使用上述方法之一授予访问权限。 首先,委托执行管理任务的权限可以减少全局管理员开销。 其次,使用受限权限可以改善安全态势,并减少未经授权访问的可能性。 有关角色安全规划的准则,请参阅确保 Microsoft Entra ID 中混合和云部署的特权访问安全性。
限制谁可以创建应用程序
默认情况下,Microsoft Entra ID 中的所有用户都可以注册应用程序,并全方面地管理他们创建的应用程序。 每个用户还可以许可代表其访问公司数据的应用。 可以通过将全局开关设置为“否”并将选定用户添加到“应用程序开发人员”角色,有选择地授予这些权限。
禁用创建应用程序注册或许可应用程序的默认权限
若要禁用创建应用程序注册或同意应用程序的默认功能,请按照以下步骤为组织设置其中一个或两个设置。
以全局管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“用户设置”。
将“用户可以注册应用程序”设置设置为“否”。
这会禁用用户用来创建应用程序注册的默认权限。
浏览到“标识>企业应用程序>同意和权限”。
选择“不允许用户同意”选项。
这会禁用用户用来许可代表其访问公司数据的应用程序的默认权限。
禁用默认权限时授予创建和许可应用程序的单个权限
分配“应用程序开发人员”角色,以便在“用户可以注册应用程序”设置为“否”时,授予创建应用程序注册的权限。 当“用户可以许可代表其访问公司数据的应用”设置设为“否”时,此角色还能够代表自己授权许可权限。
分配应用程序所有者
分配所有者是授予全方面管理特定应用程序注册或企业应用程序的 Microsoft Entra 配置权限的一种简单方法。 有关详细信息,请参阅分配企业应用程序所有者。
分配内置的应用程序管理员角色
Microsoft Entra ID 提供一组内置的管理员角色,用于授予 Microsoft Entra ID 中所有应用程序的配置管理访问权限。 建议通过这些角色向 IT 专家授予管理广泛应用程序配置权限的访问权限,此方法无需授予管理与应用程序配置无关的其他 Microsoft Entra 部分的访问权限。
- 应用程序管理员:此角色中的用户可以创建和管理企业应用程序、应用程序注册和应用程序代理设置的所有方面。 此角色还授予同意委派权限和应用程序权限(不包括 Microsoft Graph)的能力。 在创建新应用程序注册或企业应用程序时,不会将分配到此角色的用户添加为所有者。
- 云应用程序管理员:此角色中的用户具有与应用程序管理员角色相同的权限,但不包括管理应用程序代理的权限。 在创建新应用程序注册或企业应用程序时,不会将分配到此角色的用户添加为所有者。
有关详细信息以及如何查看这些角色的说明,请参阅 Microsoft Entra 内置角色。
遵照使用 Microsoft Entra ID 向用户分配角色操作指南中的说明分配“应用程序管理员”或“云应用程序管理员”角色。
重要
应用程序管理员和云应用程序管理员可向应用程序添加凭据,并使用这些凭据来模拟应用程序的标识。 与管理员角色的权限相比,应用程序的权限可能已提升。 在模拟应用程序时,根据应用程序的权限,充当此角色的管理员可能会创建或更新用户或其他对象。 任何一个角色都不授权管理“条件访问”设置。
创建和分配自定义角色(预览版)
创建自定义角色和分配自定义角色是不同的步骤:
- 创建自定义角色定义,并通过预设列表为该角色添加权限。 这些权限与内置角色中使用的权限相同。
- 创建角色分配以分配自定义角色。
借助这种隔离可以创建单个角色定义,然后在不同的范围多次分配该角色。 可以在组织范围分配自定义角色,或者在单个 Microsoft Entra 对象范围分配自定义角色。 例如,单个应用注册就属于对象范围。 使用不同的范围可为 Sally 分配对组织中所有应用注册的相同角色定义,并只为 Naveen 分配对 Contoso Expense Reports 应用注册的角色定义。
创建和使用用于委托应用程序管理权的自定义角色时的提示:
- 自定义角色只会在 Microsoft Entra 管理中心的“最近的应用注册”边栏选项卡授予访问权限。 他们不会在“旧应用注册”边栏选项卡中授予访问权限。
- 当“限制访问 Microsoft Entra 管理门户”用户设置指定为“是”时,自定义角色不会授予对 Microsoft Entra 管理中心的访问权限。
- 用户有权使用角色分配访问的应用注册只会显示在“应用注册”页上的“所有应用程序”选项卡中。 它们不会显示在“拥有的应用程序”选项卡中。
若要详细了解自定义角色的基础知识,请参阅自定义角色概述,以及创建自定义角色和分配角色。
疑难解答
症状 - 尝试注册应用程序时访问被拒绝
尝试在 Microsoft Entra ID 中注册应用程序时,会收到如下所示的消息:
Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.
原因
无法在目录中注册应用程序,因为目录管理员已限制谁可以创建应用程序。
解决方案
请联系管理员以执行下列操作之一:
- 通过分配应用程序开发人员角色,授予创建和同意应用程序的权限。
- 为你创建应用程序注册,并将你分配为应用程序所有者。