Avvio rapido: Concedere l'autorizzazione per creare registrazioni di app illimitateQuickstart: Grant permission to create unlimited app registrations

In questa Guida introduttiva verrà creato un ruolo personalizzato con l'autorizzazione per creare un numero illimitato di registrazioni per l'app e quindi assegnare tale ruolo a un utente.In this quickstart, you will create a custom role with permission to create an unlimited number of app registrations, and then assign that role to a user. L'utente assegnato può quindi usare il portale di Azure AD, Azure AD PowerShell, Azure AD API Graph o l'API Microsoft Graph per creare registrazioni di applicazioni.The assigned user can then use the Azure AD portal, Azure AD PowerShell, Azure AD Graph API, or Microsoft Graph API to create application registrations. Diversamente dal ruolo predefinito per sviluppatori di applicazioni, questo ruolo personalizzato concede la possibilità di creare un numero illimitato di registrazioni di applicazioni.Unlike the built-in Application Developer role, this custom role grants the ability to create an unlimited number of application registrations. Il ruolo sviluppatore di applicazioni concede la possibilità, ma il numero totale di oggetti creati è limitato a 250 per impedire che raggiunga la quota di oggetti a livello di directory.The Application Developer role grants the ability, but the total number of created objects is limited to 250 to prevent hitting the directory-wide object quota.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.If you don't have an Azure subscription, create a free account before you begin.

PrerequisitoPrerequisite

Il ruolo con privilegi minimi necessario per creare e assegnare Azure AD ruoli personalizzati è l'amministratore del ruolo con privilegi.The least privileged role required to create and assign Azure AD custom roles is the Privileged Role administrator.

Creare un nuovo ruolo personalizzato usando il portale di Azure ADCreate a new custom role using the Azure AD portal

  1. Accedere all'interfaccia di amministrazione di Azure AD@no__t le autorizzazioni di amministratore del ruolo con privilegi di 1With o amministratore globale nell'organizzazione Azure ad.Sign in to the Azure AD admin center with Privileged Role administrator or Global administrator permissions in the Azure AD organization.

  2. Selezionare Azure Active Directory, selezionare ruoli e amministratori, quindi selezionare nuovo ruolo personalizzato.Select Azure Active Directory, select Roles and administrators, and then select New custom role.

    Creazione o modifica dei ruoli dalla pagina ruoli e amministratori

  3. Nella scheda nozioni di base fornire "Application Registration Creator" per il nome del ruolo e "può creare un numero illimitato di registrazioni di applicazioni" per la descrizione del ruolo, quindi selezionare Avanti.On the Basics tab, provide "Application Registration Creator" for the name of the role and "Can create an unlimited number of application registrations" for the role description, and then select Next.

    specificare un nome e una descrizione per un ruolo personalizzato nella scheda nozioni di base

  4. Nella scheda autorizzazioni immettere "Microsoft. directory/Applications/create" nella casella di ricerca, quindi selezionare le caselle di controllo accanto alle autorizzazioni desiderate e quindi fare clic su Avanti.On the Permissions tab, enter "microsoft.directory/applications/create" in the search box, and then select the checkboxes next to the desired permissions, and then select Next.

    Selezionare le autorizzazioni per un ruolo personalizzato nella scheda autorizzazioni

  5. Nella scheda Verifica e crea verificare le autorizzazioni e selezionare Crea.On the Review + create tab, review the permissions and select Create.

Assegnare il ruolo a un utente usando il portale di Azure ADAssign the role to a user using the Azure AD portal

  1. Accedere all'interfaccia di amministrazione di Azure AD@no__t 1With amministratore del ruolo con privilegi o autorizzazioni di amministratore globale nell'organizzazione Azure ad.Sign in to the Azure AD admin center with Privileged role administrator or Global administrator permissions in your Azure AD organization.
  2. Selezionare Azure Active Directory , quindi selezionare ruoli e amministratori.Select Azure Active Directory and then select Roles and administrators.
  3. Selezionare il ruolo Autore registrazione applicazione e selezionare Aggiungi assegnazione.Select the Application Registration Creator role and select Add assignment.
  4. Selezionare l'utente desiderato e fare clic su Seleziona per aggiungere l'utente al ruolo.Select the desired user and click Select to add the user to the role.

La procedura è stata completata.Done! In questa Guida introduttiva è stato creato un ruolo personalizzato con l'autorizzazione per creare un numero illimitato di registrazioni per l'app e quindi assegnare tale ruolo a un utente.In this quickstart, you successfully created a custom role with permission to create an unlimited number of app registrations, and then assign that role to a user.

Suggerimento

Per assegnare il ruolo a un'applicazione usando il portale di Azure AD, immettere il nome dell'applicazione nella casella di ricerca della pagina di assegnazione.To assign the role to an application using the Azure AD portal, enter the name of the application into the search box of the assignment page. Per impostazione predefinita, le applicazioni non vengono visualizzate nell'elenco, ma vengono restituite nei risultati della ricerca.Applications are not shown in the list by default, but are returned in search results.

Autorizzazioni di registrazione dell'appApp registration permissions

Sono disponibili due autorizzazioni per concedere la possibilità di creare registrazioni di applicazioni, ognuna con un comportamento diverso.There are two permissions available for granting the ability to create application registrations, each with different behavior.

  • Microsoft. directory/Applications/createAsOwner: L'assegnazione di questa autorizzazione comporta l'aggiunta del creatore come primo proprietario della registrazione dell'app creata e la registrazione dell'app creata verrà conteggiata in base alla quota degli oggetti creati 250 dell'autore.microsoft.directory/applications/createAsOwner: Assigning this permission results in the creator being added as the first owner of the created app registration, and the created app registration will count against the creator's 250 created objects quota.
  • Microsoft. directory/applicationPolicies/crea: L'assegnazione di questa autorizzazione comporta la mancata aggiunta del creatore come primo proprietario della registrazione dell'app creata e la registrazione dell'app creata non verrà conteggiata con la quota degli oggetti creati 250 dell'autore.microsoft.directory/applicationPolicies/create: Assigning this permission results in the creator not being added as the first owner of the created app registration, and the created app registration will not count against the creator's 250 created objects quota. Usare questa autorizzazione con cautela, perché non ci sono elementi che impediscono all'assegnatario di creare registrazioni di app fino a quando non viene raggiunta la quota a livello di directory.Use this permission carefully, because there is nothing preventing the assignee from creating app registrations until the directory-level quota is hit. Se entrambe le autorizzazioni sono assegnate, questa autorizzazione avrà la precedenza.If both permissions are assigned, this permission takes precedence.

Creare un ruolo personalizzato usando Azure AD PowerShellCreate a custom role using Azure AD PowerShell

Creare un nuovo ruolo usando il seguente script di PowerShell:Create a new role using the following PowerShell script:

# Basic role information
$description = "Application Registration Creator"
$displayName = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/createAsOwner"
)
$resourceActions = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermission = @{'resourceActions' = $resourceActions}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-AzureAdRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true

Assegnare il ruolo personalizzato usando Azure AD PowerShellAssign the custom role using Azure AD PowerShell

Preparare PowerShellPrepare PowerShell

Per prima cosa, installare il modulo Azure AD PowerShell dal PowerShell Gallery.First, install the Azure AD PowerShell module from the PowerShell Gallery. Importare quindi il modulo di anteprima di Azure AD PowerShell usando il comando seguente:Then import the Azure AD PowerShell preview module, using the following command:

import-module azureadpreview

Per verificare che il modulo sia pronto per l'uso, associare la versione restituita dal comando seguente a quella elencata qui:To verify that the module is ready to use, match the version returned by the following command to the one listed here:

get-module azureadpreview
  ModuleType Version      Name                         ExportedCommands
  ---------- ---------    ----                         ----------------
  Binary     2.0.0.115    azureadpreview               {Add-AzureADAdministrati...}

Assegnare il ruolo personalizzatoAssign the custom role

Assegnare il ruolo utilizzando lo script PowerShell seguente:Assign the role using the below PowerShell script:

# Basic role information
$description = "Application Registration Creator"
$displayName = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
)
$resourceActions = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermission = @{'resourceActions' = $resourceActions}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-AzureAdRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true

Creare un ruolo personalizzato usando Microsoft Graph APICreate a custom role using Microsoft Graph API

Richiesta HTTP per creare il ruolo personalizzato.HTTP request to create the custom role.

INSERISCIPOST

https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions

BodyBody

{
    "description":"Can create an unlimited number of application registrations.",
    "displayName":"Application Registration Creator",
    "isEnabled":true,
    "rolePermissions":
    [
        {
            "resourceActions":
            {
                "allowedResourceActions":
                [
                    "microsoft.directory/applications/create"
                ]
            },
            "condition":null
        }
    ],
    "templateId":"<PROVIDE NEW GUID HERE>",
    "version":"1"
}

Assegnare il ruolo personalizzato usando Microsoft Graph APIAssign the custom role using Microsoft Graph API

L'assegnazione di ruolo combina un ID dell'entità di sicurezza, che può essere un utente o un'entità servizio, un ID di definizione del ruolo (ruolo) e un ambito di risorse Azure AD.The role assignment combines a security principal ID (which can be a user or service principal), a role definition (role) ID, and an Azure AD resource scope.

Richiesta HTTP per assegnare un ruolo personalizzato.HTTP request to assign a custom role.

INSERISCIPOST

https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments

BodyBody

{
    "principalId":"<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId":"<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "resourceScopes":["/"]
}

Passaggi successiviNext steps