Delegera appregistreringsbehörigheter i Microsoft Entra ID.
Den här artikeln beskriver hur du använder behörigheter som beviljats av anpassade roller i Microsoft Entra-ID för att hantera dina programhanteringsbehov. I Microsoft Entra-ID kan du delegera behörigheter för att skapa och hantera program på följande sätt:
- Begränsa vem som kan skapa program och hantera de program som de skapar. Som standard i Microsoft Entra-ID kan alla användare registrera program och hantera alla aspekter av program som de skapar. Detta kan begränsas till att endast tillåta valda personer som behörighet.
- Tilldela en eller flera ägare till ett program. Det här är ett enkelt sätt att ge någon möjlighet att hantera alla aspekter av Microsoft Entra-konfigurationen för ett visst program.
- Tilldela en inbyggd administrativ roll som ger åtkomst till att hantera konfiguration i Microsoft Entra-ID för alla program. Det här är det rekommenderade sättet att ge IT-experter åtkomst till att hantera breda programkonfigurationsbehörigheter utan att ge åtkomst till att hantera andra delar av Microsoft Entra som inte är relaterade till programkonfiguration.
- Skapa en anpassad roll som definierar mycket specifika behörigheter och tilldelar den till någon antingen till omfånget för ett enda program som begränsad ägare eller i katalogomfånget (alla program) som en begränsad administratör.
Det är viktigt att överväga att bevilja åtkomst med någon av ovanstående metoder av två skäl. För det första minskar delegering av möjligheten att utföra administrativa uppgifter globala administratörskostnader. För det andra förbättrar användningen av begränsade behörigheter din säkerhetsstatus och minskar risken för obehörig åtkomst. Riktlinjer för planering av rollsäkerhet finns i Skydda privilegierad åtkomst för hybrid- och molndistributioner i Microsoft Entra-ID.
Begränsa vem som kan skapa program
Som standard i Microsoft Entra-ID kan alla användare registrera program och hantera alla aspekter av program som de skapar. Alla har också möjlighet att samtycka till appar som har åtkomst till företagsdata för deras räkning. Du kan välja att selektivt bevilja dessa behörigheter genom att ange globala växlar till "Nej" och lägga till de valda användarna i rollen Programutvecklare.
Så här inaktiverar du standardförmågan att skapa programregistreringar eller medgivande till program
Om du vill inaktivera standardförmågan att skapa programregistreringar eller medgivande till program följer du dessa steg för att ange en eller båda dessa inställningar för din organisation.
Logga in på administrationscentret för Microsoft Entra som global administratör.
Bläddra till Användarinställningar för identitetsanvändare>>.
Ange inställningen Användare kan registrera program till Nej.
Då inaktiveras standardmöjligheten för användare att skapa programregistreringar.
Bläddra till Identity>Enterprise-program>Medgivande och behörigheter.
Välj alternativet Tillåt inte användarmedgivande.
Då inaktiveras standardmöjligheten för användare att godkänna att program får åtkomst till företagsdata för deras räkning.
Bevilja enskilda behörigheter för att skapa och samtycka till program när standardförmågan är inaktiverad
Tilldela rollen Programutvecklare för att ge möjlighet att skapa programregistreringar när inställningen Användare kan registrera program är inställd på Nej. Den här rollen ger också behörighet att godkänna för ens egen räkning när inställningen Användare kan samtycka till att appar får åtkomst till företagsdata för deras räkning är inställd på Nej.
Tilldela programägare
Att tilldela ägare är ett enkelt sätt att ge möjlighet att hantera alla aspekter av Microsoft Entra-konfigurationen för en specifik programregistrering eller ett företagsprogram. Mer information finns i Tilldela ägare av företagsprogram.
Tilldela inbyggda programadministratörsroller
Microsoft Entra-ID har en uppsättning inbyggda administratörsroller för att ge åtkomst till att hantera konfiguration i Microsoft Entra-ID för alla program. Dessa roller är det rekommenderade sättet att ge IT-experter åtkomst till att hantera breda programkonfigurationsbehörigheter utan att ge åtkomst till att hantera andra delar av Microsoft Entra som inte är relaterade till programkonfiguration.
- Programadministratör: Användare i den här rollen kan skapa och hantera alla aspekter av företagsprogram, programregistreringar och programproxyinställningar. Den här rollen ger också möjlighet att samtycka till delegerade behörigheter och programbehörigheter exklusive Microsoft Graph. Användare som har tilldelats den här rollen läggs inte till som ägare när nya programregistreringar eller företagsprogram skapas.
- Molnprogramadministratör: Användare i den här rollen har samma behörigheter som programadministratörsrollen, exklusive möjligheten att hantera programproxy. Användare som har tilldelats den här rollen läggs inte till som ägare när nya programregistreringar eller företagsprogram skapas.
Mer information och en beskrivning av dessa roller finns i Inbyggda roller i Microsoft Entra.
Följ anvisningarna i instruktionsguiden Tilldela roller till användare med Microsoft Entra-ID för att tilldela rollerna Programadministratör eller Molnprogramadministratör.
Viktigt!
Programadministratörer och molnprogramadministratörer kan lägga till autentiseringsuppgifter i ett program och använda dessa autentiseringsuppgifter för att personifiera programmets identitet. Programmet kan ha behörigheter som är en behörighetshöjning jämfört med administratörsrollens behörigheter. En administratör i den här rollen kan potentiellt skapa eller uppdatera användare eller andra objekt när han eller hon personifierar programmet, beroende på programmets behörigheter. Ingen av rollerna ger möjlighet att hantera inställningar för villkorsstyrd åtkomst.
Skapa och tilldela en anpassad roll (förhandsversion)
Att skapa anpassade roller och tilldela anpassade roller är separata steg:
- Skapa en anpassad rolldefinition och lägg till behörigheter i den från en förinställd lista. Det här är samma behörigheter som används i de inbyggda rollerna.
- Skapa en rolltilldelning för att tilldela den anpassade rollen.
Med den här separationen kan du skapa en enskild rolldefinition och sedan tilldela den många gånger i olika omfång. En anpassad roll kan tilldelas i hela organisationen, eller så kan den tilldelas i omfånget för ett enda Microsoft Entra-objekt. Ett exempel på ett objektomfång är en enskild appregistrering. Med olika omfång kan samma rolldefinition tilldelas Sally över alla appregistreringar i organisationen och sedan till Naveen över endast Contoso Expense Reports-appregistreringen.
Tips när du skapar och använder anpassade roller för att delegera programhantering:
- Anpassade roller beviljar endast åtkomst på de senaste appregistreringsbladen i administrationscentret för Microsoft Entra. De beviljar inte åtkomst på de äldre appregistreringsbladen.
- Anpassade roller beviljar inte åtkomst till administrationscentret för Microsoft Entra när användarinställningen Begränsa åtkomst till Microsoft Entra-administrationsportalen är inställd på Ja.
- Appregistreringar användaren har åtkomst till att använda rolltilldelningar visas bara på fliken Alla program på sidan Appregistrering. De visas inte på fliken "Ägda program".
Mer information om grunderna för anpassade roller finns i översikten över anpassade roller samt hur du skapar en anpassad roll och hur du tilldelar en roll.
Felsöka
Symptom – Åtkomst nekad när du försöker registrera ett program
När du försöker registrera ett program i Microsoft Entra-ID får du ett meddelande som liknar följande:
Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.
Orsak
Du kan inte registrera programmet i katalogen eftersom katalogadministratören har begränsat vem som kan skapa program.
Lösning
Kontakta administratören om du vill göra något av följande:
- Ge dig behörighet att skapa och samtycka till program genom att tilldela dig rollen Programutvecklare.
- Skapa programregistreringen åt dig och tilldela dig som programägare.