Delegování oprávnění registrace aplikace v Microsoft Entra ID

Tento článek popisuje, jak používat oprávnění udělená vlastními rolemi v MICROSOFT Entra ID k řešení potřeb správy aplikací. V Microsoft Entra ID můžete delegovat oprávnění k vytváření a správě aplikace následujícími způsoby:

• Omezení, kdo může vytvářet aplikace a spravovat aplikace, které vytvářejí. Ve výchozím nastavení v Microsoft Entra ID mohou všichni uživatelé registrovat aplikace a spravovat všechny aspekty aplikací, které vytvářejí. Tato možnost může být omezena tak, aby povolovaly jenom vybrané osoby, které mají toto oprávnění.
• Přiřazení jednoho nebo více vlastníků k aplikaci Je to jednoduchý způsob, jak někomu udělit možnost spravovat všechny aspekty konfigurace Microsoft Entra pro konkrétní aplikaci.
• Přiřazení předdefinované role pro správu, která uděluje přístup ke správě konfigurace v Microsoft Entra ID pro všechny aplikace. Toto je doporučený způsob, jak odborníkům na IT udělit přístup ke správě rozsáhlých oprávnění konfigurace aplikací bez udělení přístupu ke správě dalších částí Microsoft Entra nesouvisejí s konfigurací aplikace.
• Vytvoření vlastní role definující velmi specifická oprávnění a jeho přiřazení někomu buď k rozsahu jedné aplikace jako omezeného vlastníka, nebo v oboru adresáře (všechny aplikace) jako omezený správce.

Je důležité zvážit udělení přístupu pomocí jedné z výše uvedených metod ze dvou důvodů. Za prvé delegování schopnosti provádět úlohy správy snižuje globální Správa režijní režijní náklady. Za druhé, použití omezených oprávnění zlepšuje stav zabezpečení a snižuje potenciál neoprávněného přístupu. Pokyny k plánování zabezpečení rolí najdete v tématu Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Microsoft Entra ID.

Omezení, kdo může vytvářet aplikace

Ve výchozím nastavení v Microsoft Entra ID mohou všichni uživatelé registrovat aplikace a spravovat všechny aspekty aplikací, které vytvářejí. Každý má také možnost udělit souhlas s aplikacemi, které přistupují k firemním datům svým jménem. Tato oprávnění můžete selektivně udělit nastavením globálních přepínačů na Ne a přidáním vybraných uživatelů do role Vývojář aplikací.

Zakázání výchozí možnosti vytváření registrací aplikací nebo vyjádření souhlasu s aplikacemi

Pokud chcete zakázat výchozí možnost vytvářet registrace aplikací nebo udělit souhlas s aplikacemi, nastavte jedno nebo obě tato nastavení pro vaši organizaci.

1. Přihlaste se k Centru pro správu Microsoft Entra jako globální Správa istrator.

2. Přejděte do nastavení Uživatele identity>>.

3. Nastavte nastavení Uživatelé můžou registrovat aplikace na Ne.

   Tím pro uživatele zakážete výchozí možnost vytvářet registrace aplikací.

4. Přejděte k vyjádření souhlasu a oprávnění podnikových aplikací>identity.>

5. Vyberte možnost Nepovolit souhlas uživatele.

   Tím pro uživatele zakážete výchozí možnost udělit souhlas pro aplikace, které přistupují k firemním datům jejich jménem.

Udělení individuálních oprávnění k vytváření a vyjádření souhlasu s aplikacemi, pokud je výchozí možnost zakázaná

Přiřaďte roli Vývojář aplikace, která umožňuje vytvářet registrace aplikací, když je nastavení Uživatelé mohou registrovat aplikace nastavenou na Ne. Tato role také uděluje oprávnění k vyjádření souhlasu vlastním jménem uživatele, když uživatelé můžou udělit souhlas s aplikacemi, které přistupují k firemním datům jménem , je nastavené na Ne.

Přiřazení vlastníků aplikací

Přiřazení vlastníků je jednoduchý způsob, jak udělit možnost spravovat všechny aspekty konfigurace Microsoft Entra pro konkrétní registraci aplikace nebo podnikovou aplikaci. Další informace najdete v tématu Přiřazení vlastníků podnikových aplikací.

Přiřazení předdefinovaných rolí správce aplikací

Microsoft Entra ID má sadu předdefinovaných rolí správce pro udělení přístupu ke správě konfigurace v Microsoft Entra ID pro všechny aplikace. Tyto role představují doporučený způsob, jak odborníkům na IT udělit přístup ke správě rozsáhlých oprávnění konfigurace aplikací bez udělení přístupu ke správě dalších částí Microsoft Entra nesouvisejí s konfigurací aplikace.

• Aplikační Správa istrator: Uživatelé v této roli mohou vytvářet a spravovat všechny aspekty podnikových aplikací, registrací aplikací a nastavení proxy aplikací. Tato role také uděluje možnost souhlasu s delegovanými oprávněními a oprávněními aplikací s výjimkou Microsoft Graphu. Uživatelé přiřazení k této roli se nepřidávají jako vlastníci při vytváření nových registrací aplikací nebo podnikových aplikací.
• Cloudová aplikace Správa istrator: Uživatelé v této roli mají stejná oprávnění jako role Správa istrator aplikace, a to s výjimkou možnosti spravovat proxy aplikací. Uživatelé přiřazení k této roli se nepřidávají jako vlastníci při vytváření nových registrací aplikací nebo podnikových aplikací.

Další informace a popis těchto rolí najdete v tématu Předdefinované role Microsoft Entra.

Postupujte podle pokynů v tématu Přiřazení rolí uživatelům s návody k přiřazení aplikačních Správa istrator nebo cloudových aplikací Správa istrator role Microsoft Entra ID.

Důležité

Aplikační Správa istrátory a Správa istrátory cloudových aplikací můžou do aplikace přidávat přihlašovací údaje a pomocí těchto přihlašovacích údajů zosobnit identitu aplikace. Aplikace může mít oprávnění ke zvýšení oprávnění nad oprávněními role správce. Správce v této roli může potenciálně vytvářet nebo aktualizovat uživatele nebo jiné objekty při zosobnění aplikace v závislosti na oprávněních aplikace. Žádná role nesděluje možnost spravovat nastavení podmíněného přístupu.

Vytvoření a přiřazení vlastní role (Preview)

Vytváření vlastních rolí a přiřazování vlastních rolí jsou samostatné kroky:

• Vytvořte vlastní definici role a přidejte do ní oprávnění z přednastaveného seznamu. Jedná se o stejná oprávnění použitá v předdefinovaných rolích.
• Vytvořte přiřazení role pro přiřazení vlastní role.

Toto oddělení umožňuje vytvořit jednu definici role a pak ji přiřadit mnohokrát v různých oborech. Vlastní roli je možné přiřadit v rámci celé organizace nebo ji můžete přiřadit v oboru jednoho objektu Microsoft Entra. Příkladem oboru objektu je jedna registrace aplikace. Pomocí různých oborů je možné stejnou definici role přiřadit Sally ke všem registracím aplikací v organizaci a pak k Naveenu jenom k registraci aplikace Contoso Expense Reports.

Tipy při vytváření a používání vlastních rolí pro delegování správy aplikací:

• Vlastní role udělují přístup pouze v nejaktuálnějších otech registrace aplikací v Centru pro správu Microsoft Entra. Neudělují přístup v otech starších verzích registrací aplikací.
• Vlastní role neudělují přístup do Centra pro správu Microsoft Entra, pokud je uživatelské nastavení Omezit přístup k portálu pro správu Microsoft Entra nastaveno na Ano.
• Registrace aplikací má uživatel přístup k používání přiřazení rolí jenom na kartě Všechny aplikace na stránce Registrace aplikace. Nezobrazují se na kartě Vlastněné aplikace.

Další informace o základech vlastních rolí najdete v přehledu vlastních rolí a také o tom, jak vytvořit vlastní roli a jak přiřadit roli.

Odstraňování potíží

Příznak – Přístup byl odepřen při pokusu o registraci aplikace

Při pokusu o registraci aplikace v Microsoft Entra ID se zobrazí zpráva podobná následující:

Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.

Příčina

Aplikaci nemůžete zaregistrovat v adresáři, protože správce adresáře omezil, kdo může vytvářet aplikace.

Řešení

Obraťte se na správce a udělejte jednu z těchto věcí:

• Udělení oprávnění k vytváření a vyjádření souhlasu s aplikacemi tím , že vám přiřadíte roli Vývojář aplikací.
• Vytvořte registraci aplikace pro vás a přiřaďte ji jako vlastníka aplikace.

Další kroky

• Podtypy a oprávnění registrace aplikace
• Předdefinované role Microsoft Entra