Snabb start: bevilja behörighet att skapa obegränsade app-registreringarQuickstart: Grant permission to create unlimited app registrations

I den här snabb starten ska du skapa en anpassad roll med behörighet att skapa ett obegränsat antal registrerade appar och sedan tilldela rollen till en användare.In this quickstart, you will create a custom role with permission to create an unlimited number of app registrations, and then assign that role to a user. Den tilldelade användaren kan sedan använda Azure AD-portalen, Azure AD PowerShell, Azure AD Graph API eller Microsoft Graph API för att skapa program registreringar.The assigned user can then use the Azure AD portal, Azure AD PowerShell, Azure AD Graph API, or Microsoft Graph API to create application registrations. Till skillnad från den inbyggda rollen program utvecklare ger den här anpassade rollen möjlighet att skapa ett obegränsat antal program registreringar.Unlike the built-in Application Developer role, this custom role grants the ability to create an unlimited number of application registrations. Rollen programutvecklare ger möjlighet, men det totala antalet skapade objekt är begränsat till 250 för att förhindra att objekt kvoten för hela katalogenvisas.The Application Developer role grants the ability, but the total number of created objects is limited to 250 to prevent hitting the directory-wide object quota.

Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.If you don't have an Azure subscription, create a free account before you begin.

KravPrerequisite

Den minst privilegierade rollen som krävs för att skapa och tilldela anpassade Azure AD-roller är den privilegierade roll administratören.The least privileged role required to create and assign Azure AD custom roles is the Privileged Role administrator.

Skapa en ny anpassad roll med hjälp av Azure AD-portalenCreate a new custom role using the Azure AD portal

  1. Logga in på Azure AD admin center med privilegierad roll administratör eller global administratörs behörighet i Azure AD-organisationen.Sign in to the Azure AD admin center with Privileged Role administrator or Global administrator permissions in the Azure AD organization.

  2. Välj Azure Active Directory, Välj roller och administratöreroch välj sedan ny anpassad roll.Select Azure Active Directory, select Roles and administrators, and then select New custom role.

    Skapa eller redigera roller från sidan roller och administratörer

  3. På fliken grundläggande anger du "program registrerings skapare" som namn på rollen och "kan skapa ett obegränsat antal program registreringar" för roll beskrivningen, och välj sedan Nästa.On the Basics tab, provide "Application Registration Creator" for the name of the role and "Can create an unlimited number of application registrations" for the role description, and then select Next.

    Ange ett namn och en beskrivning för en anpassad roll på fliken grundläggande

  4. På fliken behörigheter anger du "Microsoft. Directory/Applications/Create" i sökrutan och markerar kryss rutorna bredvid önskade behörigheter och väljer sedan Nästa.On the Permissions tab, enter "microsoft.directory/applications/create" in the search box, and then select the checkboxes next to the desired permissions, and then select Next.

    Välj behörigheter för en anpassad roll på fliken behörigheter

  5. På fliken Granska + skapa granskar du behörigheterna och väljer skapa.On the Review + create tab, review the permissions and select Create.

Tilldela rollen till en användare med hjälp av Azure AD-portalenAssign the role to a user using the Azure AD portal

  1. Logga in på Azure AD admin center med privilegierad roll administratör eller global administratörs behörighet i din Azure AD-organisation.Sign in to the Azure AD admin center with Privileged role administrator or Global administrator permissions in your Azure AD organization.
  2. Välj Azure Active Directory och välj sedan roller och administratörer.Select Azure Active Directory and then select Roles and administrators.
  3. Välj rollen program registrering skapare och välj Lägg till tilldelning.Select the Application Registration Creator role and select Add assignment.
  4. Välj önskad användare och klicka på Välj för att lägga till användaren i rollen.Select the desired user and click Select to add the user to the role.

Klart!Done! I den här snabb starten har du skapat en anpassad roll med behörighet att skapa ett obegränsat antal registrerade appar och sedan tilldela rollen till en användare.In this quickstart, you successfully created a custom role with permission to create an unlimited number of app registrations, and then assign that role to a user.

Tips

Om du vill tilldela rollen till ett program med hjälp av Azure AD-portalen anger du namnet på programmet i rutan Sök på sidan tilldelning.To assign the role to an application using the Azure AD portal, enter the name of the application into the search box of the assignment page. Program visas inte som standard i listan, men returneras i Sök resultaten.Applications are not shown in the list by default, but are returned in search results.

Registrerings behörigheter för appApp registration permissions

Det finns två behörigheter som kan användas för att ge möjlighet att skapa program registreringar, var och en med olika beteenden.There are two permissions available for granting the ability to create application registrations, each with different behavior.

  • Microsoft. Directory/Applications/createAsOwner: om du tilldelar behörighets resultatet i skaparen läggs det till som första ägare av den skapade app-registreringen, och den skapade registrerings program registreringen räknas mot skapare objekt kvoten 250 skapade objekt.microsoft.directory/applications/createAsOwner: Assigning this permission results in the creator being added as the first owner of the created app registration, and the created app registration will count against the creator's 250 created objects quota.
  • Microsoft. Directory/applicationPolicies/Create: om du tilldelar det här behörighets resultatet i skaparen, läggs det inte till som första ägare till den skapade app-registreringen, och den skapade app-registreringen räknas inte mot skapare objekt kvoten 250 skapade objekt.microsoft.directory/applicationPolicies/create: Assigning this permission results in the creator not being added as the first owner of the created app registration, and the created app registration will not count against the creator's 250 created objects quota. Använd den här behörigheten noggrant, eftersom det inte finns något hinder för att skapa registrerings program förrän kvoten på katalog nivå har nåtts.Use this permission carefully, because there is nothing preventing the assignee from creating app registrations until the directory-level quota is hit. Om båda behörigheterna tilldelas, prioriteras den här behörigheten.If both permissions are assigned, this permission takes precedence.

Skapa en anpassad roll med hjälp av Azure AD PowerShellCreate a custom role using Azure AD PowerShell

Skapa en ny roll med hjälp av följande PowerShell-skript:Create a new role using the following PowerShell script:

# Basic role information
$description = "Application Registration Creator"
$displayName = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/createAsOwner"
)
$resourceActions = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermission = @{'resourceActions' = $resourceActions}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-AzureAdRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true

Tilldela den anpassade rollen med hjälp av Azure AD PowerShellAssign the custom role using Azure AD PowerShell

Förbered PowerShellPrepare PowerShell

Installera först Azure AD PowerShell-modulen från PowerShell-galleriet.First, install the Azure AD PowerShell module from the PowerShell Gallery. Importera sedan för hands versionen av Azure AD PowerShell med följande kommando:Then import the Azure AD PowerShell preview module, using the following command:

import-module azureadpreview

Kontrol lera att modulen är redo att användas genom att matcha den version som returneras av följande kommando till den som visas här:To verify that the module is ready to use, match the version returned by the following command to the one listed here:

get-module azureadpreview
  ModuleType Version      Name                         ExportedCommands
  ---------- ---------    ----                         ----------------
  Binary     2.0.0.115    azureadpreview               {Add-AzureADAdministrati...}

Tilldela den anpassade rollenAssign the custom role

Tilldela rollen med hjälp av PowerShell-skriptet nedan:Assign the role using the below PowerShell script:

# Basic role information
$description = "Application Registration Creator"
$displayName = "Can create an unlimited number of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/create"
)
$resourceActions = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermission = @{'resourceActions' = $resourceActions}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-AzureAdRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true

Skapa en anpassad roll med hjälp av Microsoft Graph APICreate a custom role using Microsoft Graph API

HTTP-begäran om att skapa den anpassade rollen.HTTP request to create the custom role.

POSTPOST

https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions

InnehållBody

{
    "description":"Can create an unlimited number of application registrations.",
    "displayName":"Application Registration Creator",
    "isEnabled":true,
    "rolePermissions":
    [
        {
            "resourceActions":
            {
                "allowedResourceActions":
                [
                    "microsoft.directory/applications/create"
                ]
            },
            "condition":null
        }
    ],
    "templateId":"<PROVIDE NEW GUID HERE>",
    "version":"1"
}

Tilldela den anpassade rollen med hjälp av Microsoft Graph APIAssign the custom role using Microsoft Graph API

Roll tilldelningen kombinerar ett säkerhets objekt-ID (som kan vara en användare eller tjänstens huvud namn), ett roll Definitions-ID och ett Azure AD-resursprogram.The role assignment combines a security principal ID (which can be a user or service principal), a role definition (role) ID, and an Azure AD resource scope.

HTTP-begäran om att tilldela en anpassad roll.HTTP request to assign a custom role.

POSTPOST

https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments

InnehållBody

{
    "principalId":"<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId":"<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "resourceScopes":["/"]
}

Nästa stegNext steps