빠른 시작: 무제한 앱 등록 만들기에 대한 사용 권한 부여Quickstart: Grant permission to create unlimited app registrations

이 빠른 시작 가이드에서는 갯수 제한 없이 앱 등록을 만들 수 있는 권한이 있는 사용자 지정 역할을 만든 다음, 해당 역할을 사용자에게 할당합니다.In this quick start guide, you will create a custom role with permission to create an unlimited number of app registrations, and then assign that role to a user. 그러면 할당된 사용자는 Azure AD 포털, Azure AD PowerShell 또는 Microsoft Graph API를 사용하여 애플리케이션 등록을 만들 수 있습니다.The assigned user can then use the Azure AD portal, Azure AD PowerShell, or Microsoft Graph API to create application registrations. 기본 제공 애플리케이션 개발자 역할과 달리 이 사용자 지정 역할은 애플리케이션 등록을 무제한으로 만들 수 있는 기능을 부여합니다.Unlike the built-in Application Developer role, this custom role grants the ability to create an unlimited number of application registrations. 애플리케이션 개발자 역할은 기능을 부여하지만, 디렉터리 차원의 개체 할당량을 초과하지 않도록 생성된 개체의 총 수는 250개로 제한됩니다.The Application Developer role grants the ability, but the total number of created objects is limited to 250 to prevent hitting the directory-wide object quota. Azure AD 사용자 지정 역할을 만들고 할당하는 데 필요한 최소 권한 있는 역할은 권한 있는 역할 관리자입니다.The least privileged role required to create and assign Azure AD custom roles is the Privileged Role administrator.

Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.If you don't have an Azure subscription, create a free account before you begin.

Azure AD 포털을 사용하여 사용자 지정 역할 만들기Create a custom role using the Azure AD portal

  1. Azure AD 조직에서 권한 있는 역할 관리자 또는 전역 관리자 권한으로 Azure AD 관리 센터에 로그인합니다.Sign in to the Azure AD admin center with Privileged Role administrator or Global administrator permissions in the Azure AD organization.

  2. Azure Active Directory 를 선택하고 역할 및 관리자 를 선택한 다음, 새 사용자 지정 역할 을 선택합니다.Select Azure Active Directory , select Roles and administrators , and then select New custom role.

    역할 및 관리자 페이지에서 역할 만들기 또는 편집

  3. 기본 탭에서 역할의 이름에 “애플리케이션 등록 작성자”를 입력하고 역할 설명에 “애플리케이션 등록을 무제한으로 만들 수 있음”을 선택한 후, 다음 을 선택합니다.On the Basics tab, provide "Application Registration Creator" for the name of the role and "Can create an unlimited number of application registrations" for the role description, and then select Next.

    기본 사항 탭에서 사용자 지정 역할의 이름 및 설명 제공

  4. 사용 권한 탭에서 검색 상자에 “microsoft.directory/applications/create”를 입력한 다음, 원하는 사용 권한 옆의 확인란을 선택한 후 다음 을 선택합니다.On the Permissions tab, enter "microsoft.directory/applications/create" in the search box, and then select the checkboxes next to the desired permissions, and then select Next.

    권한 탭에서 사용자 지정 역할에 대한 권한 선택

  5. 검토 + 만들기 탭에서 권한을 검토하고 만들기 를 선택합니다.On the Review + create tab, review the permissions and select Create.

Azure AD 포털에서 역할 할당Assign the role in the Azure AD portal

  1. Azure AD 조직에서 권한 있는 역할 관리자 또는 전역 관리자 권한으로 Azure AD 관리 센터에 로그인합니다.Sign in to the Azure AD admin center with Privileged role administrator or Global administrator permissions in your Azure AD organization.
  2. Azure Active Directory 를 선택한 다음, 역할 및 관리자 를 선택합니다.Select Azure Active Directory and then select Roles and administrators.
  3. 애플리케이션 등록 작성자 역할을 선택하고 할당 추가 를 선택합니다.Select the Application Registration Creator role and select Add assignment.
  4. 원하는 사용자를 선택하고 선택 을 클릭하여 사용자를 역할에 추가합니다.Select the desired user and click Select to add the user to the role.

완료되었습니다.Done! 이 빠른 시작에서는 갯수 제한 없이 앱 등록을 만들 수 있는 권한이 있는 사용자 지정 역할을 만든 다음, 해당 역할을 사용자에게 할당했습니다.In this quickstart, you successfully created a custom role with permission to create an unlimited number of app registrations, and then assign that role to a user.

Azure AD 포털을 사용하여 애플리케이션에 역할을 할당하려면 할당 페이지의 검색 상자에 애플리케이션의 이름을 입력합니다.To assign the role to an application using the Azure AD portal, enter the name of the application into the search box of the assignment page. 애플리케이션은 기본적으로 목록에 표시되지 않지만 검색 결과에 반환됩니다.Applications are not shown in the list by default, but are returned in search results.

앱 등록 권한App registration permissions

애플리케이션 등록을 만들 수 있는 기능을 부여하는 데 사용할 수 있는 두 가지 권한은 각기 다른 동작입니다.There are two permissions available for granting the ability to create application registrations, each with different behavior.

  • microsoft.directory/applications/createAsOwner: 이 권한을 할당하면 생성된 앱 등록의 첫 번째 소유자로 작성자가 추가되고 생성된 앱 등록은 작성자의 250개 생성된 개체 할당량에 대해 계산됩니다.microsoft.directory/applications/createAsOwner: Assigning this permission results in the creator being added as the first owner of the created app registration, and the created app registration will count against the creator's 250 created objects quota.
  • microsoft.directory/applications/create: 이 권한을 할당하면 생성된 앱 등록의 첫 번째 소유자로 작성자가 추가되지 않으며 생성된 앱 등록이 작성자의 250개 생성된 개체 할당량에 대해 계산되지 않습니다.microsoft.directory/applications/create: Assigning this permission results in the creator not being added as the first owner of the created app registration, and the created app registration will not count against the creator's 250 created objects quota. 디렉터리 수준 할당량에 도달할 때까지는 담당자가 앱 등록 생성을 막을 수 없으므로 이 권한을 신중하게 사용하세요.Use this permission carefully, because there is nothing preventing the assignee from creating app registrations until the directory-level quota is hit. 두 권한이 모두 할당된 경우 이 권한이 우선적으로 적용됩니다.If both permissions are assigned, this permission takes precedence.

Azure AD PowerShell에서 사용자 지정 역할 만들기Create a custom role in Azure AD PowerShell

PowerShell 준비Prepare PowerShell

먼저 PowerShell 갤러리에서 Azure AD PowerShell 모듈을 설치합니다.First, install the Azure AD PowerShell module from the PowerShell Gallery. 그런 다음, 다음 명령을 사용하여 Azure AD PowerShell 미리 보기 모듈을 가져옵니다.Then import the Azure AD PowerShell preview module, using the following command:

import-module azureadpreview

모듈을 사용할 준비가 되었는지 확인하려면 다음 명령에서 반환된 버전을 여기에 나열된 버전과 일치시킵니다.To verify that the module is ready to use, match the version returned by the following command to the one listed here:

get-module azureadpreview
  ModuleType Version      Name                         ExportedCommands
  ---------- ---------    ----                         ----------------
  Binary     2.0.0.115    azureadpreview               {Add-AzureADAdministrati...}

Azure AD PowerShell에서 사용자 지정 역할 만들기Create the custom role in Azure AD PowerShell

다음 PowerShell 스크립트를 사용하여 새 역할을 만듭니다.Create a new role using the following PowerShell script:


# Basic role information
$displayName = "Application Registration Creator"
$description = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
    "microsoft.directory/applications/createAsOwner"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

# Create new custom admin role
$customRole = New-AzureAdMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true

Azure AD PowerShell에서 역할 할당Assign the role in Azure AD PowerShell

다음 PowerShell 스크립트를 사용하여 역할을 할당합니다.Assign the role using the following PowerShell script:

# Get the user and role definition you want to link
$user = Get-AzureADUser -Filter "userPrincipalName eq 'Adam@contoso.com'"
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Application Registration Creator'"

# Get resource scope for assignment
$resourceScope = '/'

# Create a scoped role assignment
$roleAssignment = New-AzureADMSRoleAssignment -ResourceScope $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId

Microsoft Graph API에서 사용자 지정 역할 만들기Create a custom role in the Microsoft Graph API

사용자 지정 역할을 만들기 위한 HTTP 요청.HTTP request to create the custom role.

POSTPOST

https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions

본문Body

{
    "description":"Can create an unlimited number of application registrations.",
    "displayName":"Application Registration Creator",
    "isEnabled":true,
    "rolePermissions":
    [
        {
            "resourceActions":
            {
                "allowedResourceActions":
                [
                    "microsoft.directory/applications/create"
                    "microsoft.directory/applications/createAsOwner"
                ]
            },
            "condition":null
        }
    ],
    "templateId":"<PROVIDE NEW GUID HERE>",
    "version":"1"
}

Microsoft Graph API에서 역할 할당Assign the role in the Microsoft Graph API

역할 할당은 보안 주체 ID(사용자 또는 서비스 주체일 수 있음), 역할 정의(역할) ID 및 Azure AD 리소스 범위를 결합합니다.The role assignment combines a security principal ID (which can be a user or service principal), a role definition (role) ID, and an Azure AD resource scope.

사용자 지정 역할을 할당하기 위한 HTTP 요청.HTTP request to assign a custom role.

POSTPOST

https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments

본문Body

{
    "principalId":"<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId":"<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "resourceScopes":["/"]
}

다음 단계Next steps