Microsoft Entra ID'de uygulama kayıt izinlerine temsilci atama

Bu makalede, uygulama yönetimi gereksinimlerinizi karşılamak için Microsoft Entra Id'de özel roller tarafından verilen izinlerin nasıl kullanılacağı açıklanmaktadır. Microsoft Entra Id'de Uygulama oluşturma ve yönetim izinlerini aşağıdaki yollarla temsilci olarak atayabilirsiniz:

• Kimlerin uygulama oluşturabileceğini ve oluşturdukları uygulamaları yönetebileceğini kısıtlama. Varsayılan olarak Microsoft Entra ID'de tüm kullanıcılar uygulamaları kaydedebilir ve oluşturdukları uygulamaların tüm yönlerini yönetebilir. Bu, yalnızca izin veren seçili kişilere izin verecek şekilde kısıtlanabilir.
• Bir uygulamaya bir veya daha fazla sahip atama. Bu, birisine belirli bir uygulama için Microsoft Entra yapılandırmasının tüm yönlerini yönetme olanağı vermenin basit bir yoludur.
• Tüm uygulamalar için Microsoft Entra Id'de yapılandırmayı yönetme erişimi veren yerleşik bir yönetim rolü atama. Bu, MICROSOFT Entra'nın uygulama yapılandırmasıyla ilgili olmayan diğer bölümlerini yönetme erişimi vermeden BT uzmanlarına geniş uygulama yapılandırma izinlerini yönetme erişimi vermenin önerilen yoludur.
• Çok belirli izinleri tanımlayan özel bir rol oluşturma ve bunu tek bir uygulamanın sınırlı sahip olarak kapsamına veya dizin kapsamında (tüm uygulamalar) sınırlı yönetici olarak birine atama.

İki nedenden dolayı yukarıdaki yöntemlerden birini kullanarak erişim vermeyi göz önünde bulundurmanız önemlidir. İlk olarak, yönetim görevlerini gerçekleştirme olanağının yetkisini vermek, Genel Yönetici oluşturucu ek yükünü azaltır. İkincisi, sınırlı izinlerin kullanılması güvenlik duruşunuzu geliştirir ve yetkisiz erişim olasılığını azaltır. Rol güvenliği planlaması hakkında yönergeler için bkz . Microsoft Entra Id'de karma ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlama.

Kimlerin uygulama oluşturabileceğini kısıtlama

Varsayılan olarak Microsoft Entra ID'de tüm kullanıcılar uygulamaları kaydedebilir ve oluşturdukları uygulamaların tüm yönlerini yönetebilir. Ayrıca herkes, kendi adına şirket verilerine erişen uygulamalara onay verebilir. Genel anahtarları 'Hayır' olarak ayarlayarak ve seçili kullanıcıları Uygulama Geliştirici rolüne ekleyerek bu izinleri seçmeli olarak vermeyi seçebilirsiniz.

Uygulama kayıtları oluşturma veya uygulamalara onay verme varsayılan özelliğini devre dışı bırakmak için

Varsayılan uygulama kaydı oluşturma veya uygulamalara onay verme özelliğini devre dışı bırakmak için, kuruluşunuz için bu ayarlardan birini veya her ikisini birden ayarlamak üzere bu adımları izleyin.

1. Microsoft Entra yönetim merkezinde Genel Yönetici istrator olarak oturum açın.

2. Kimlik>Kullanıcıları Kullanıcı>ayarlarına göz atın.

3. Kullanıcılar uygulamaları kaydedebilir ayarını Hayır olarak ayarlayın.

   Bu ayar kullanıcıların uygulama kaydı oluşturmasını sağlayan varsayılan özelliği devre dışı bırakır.

4. Kimlik>Kurumsal uygulamaları>Onayı ve izinleri'ne göz atın.

5. Kullanıcı onayına izin verme seçeneğini belirleyin.

   Bu ayar kullanıcıların uygulamaların kendi adlarına şirket verilerine erişmesine onay vermesini sağlayan varsayılan özelliği devre dışı bırakır.

Varsayılan özellik devre dışı bırakıldığında tek tek uygulama oluşturma ve uygulama izni verme

Kullanıcılar uygulamaları kaydedebilir ayarı Hayır olarak ayarlandığında uygulama kayıtları oluşturma olanağı vermek için Uygulama Geliştirici rolünü atayın. Bu rol, Kullanıcılar kendi adına şirket verilerine erişen uygulamalara onay verebilir ayarı Hayır olarak ayarlandığında kendi adına onay verme izni de verir.

Uygulama sahiplerini atama

Sahip atamak, belirli bir uygulama kaydı veya kurumsal uygulama için Microsoft Entra yapılandırmasının tüm yönlerini yönetme olanağı vermenin basit bir yoludur. Daha fazla bilgi için bkz. Kurumsal uygulama sahiplerini atama.

Yerleşik uygulama yöneticisi rolleri atama

Microsoft Entra Id, tüm uygulamalar için Microsoft Entra Id'de yapılandırmayı yönetme erişimi vermek için bir dizi yerleşik yönetici rolüne sahiptir. Bu roller, MICROSOFT Entra'nın uygulama yapılandırmasıyla ilgili olmayan diğer bölümlerini yönetme erişimi vermeden BT uzmanlarına geniş uygulama yapılandırma izinlerini yönetme erişimi vermenin önerilen yoludur.

• Uygulama Yönetici istrator: Bu roldeki kullanıcılar kurumsal uygulamaların, uygulama kayıtlarının ve uygulama proxy ayarlarının tüm yönlerini oluşturabilir ve yönetebilir. Bu rol ayrıca temsilci izinlerine ve Microsoft Graph hariç uygulama izinlerine onay verme olanağı verir. Yeni uygulama kayıtları veya kurumsal uygulamalar oluşturulurken bu role atanan kullanıcılar sahip olarak eklenmez.
• Cloud Application Yönetici istrator: Bu roldeki kullanıcılar, uygulama proxy'sini yönetme özelliği dışında Uygulama Yönetici istrator rolüyle aynı izinlere sahiptir. Yeni uygulama kayıtları veya kurumsal uygulamalar oluşturulurken bu role atanan kullanıcılar sahip olarak eklenmez.

Daha fazla bilgi edinmek ve bu rollerin açıklamasını görüntülemek için bkz. Microsoft Entra yerleşik rolleri.

Application Yönetici istrator veya Cloud Application Yönetici istrator rollerini atamak için Microsoft Entra ID ile kullanıcılara rol atama nasıl yapılır kılavuzundaki yönergeleri izleyin.

Önemli

Uygulama Yönetici istrator'lar ve Bulut Uygulaması Yönetici istrator'lar bir uygulamaya kimlik bilgileri ekleyebilir ve uygulamanın kimliğinin kimliğine bürünmek için bu kimlik bilgilerini kullanabilir. Uygulama, yönetici rolünün izinleri üzerinde ayrıcalık yükseltmesi olan izinlere sahip olabilir. Bu roldeki bir yönetici, uygulamanın izinlerine bağlı olarak, uygulamanın kimliğine bürünme sırasında kullanıcıları veya diğer nesneleri oluşturabilir veya güncelleştirebilir. Hiçbir rol Koşullu Erişim ayarlarını yönetme olanağı vermez.

Özel rol oluşturma ve atama (önizleme)

Özel roller oluşturma ve özel roller atama ayrı adımlardır:

• Özel bir rol tanımı oluşturun ve önceden ayarlanmış bir listeden buna izinler ekleyin. Bunlar, yerleşik rollerde kullanılan izinlerle aynıdır.
• Özel rolü atamak için bir rol ataması oluşturun.

Bu ayrım, tek bir rol tanımı oluşturmanıza ve sonra bunu farklı kapsamlarda birçok kez atamanıza olanak tanır. Kuruluş genelinde bir özel rol atanabilir veya tek bir Microsoft Entra nesnesi kapsamında atanabilir. Nesne kapsamına örnek olarak tek bir uygulama kaydı yer alır. Farklı kapsamlar kullanılarak, aynı rol tanımı kuruluştaki tüm uygulama kayıtları üzerinden Sally'ye ve ardından yalnızca Contoso Expense Reports uygulama kaydında gezinmeye atanabilir.

Uygulama yönetimi için özel roller oluştururken ve kullanırken İpuçları:

• Özel roller yalnızca Microsoft Entra yönetim merkezinin en güncel uygulama kaydı dikey pencerelerinde erişim verir. Eski uygulama kayıtları dikey pencerelerinde erişim izni vermezler.
• Özel roller, Microsoft Entra yönetim portalına erişimi kısıtla kullanıcı ayarı Evet olarak ayarlandığında Microsoft Entra yönetim merkezine erişim izni vermez.
• Kullanıcının rol atamalarını kullanma erişimi Uygulama kayıtları yalnızca Uygulama kaydı sayfasındaki 'Tüm uygulamalar' sekmesinde gösterilir. Bunlar 'Sahip olunan uygulamalar' sekmesinde gösterilmez.

Özel rollerin temelleri hakkında daha fazla bilgi için bkz. Özel rollere genel bakış ve özel rol oluşturma ve rol atama.

Sorun giderme

Belirti - Bir uygulamayı kaydetmeye çalıştığınızda erişim reddedildi

Bir uygulamayı Microsoft Entra Id'ye kaydetmeye çalıştığınızda, aşağıdakine benzer bir ileti alırsınız:

Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.

Neden

Dizin yöneticiniz kimlerin uygulama oluşturabileceğini kısıtladığı için uygulamayı dizine kaydedemezsiniz.

Çözüm

Aşağıdakilerden birini yapmak için yöneticinize başvurun:

• Size Uygulama Geliştirici rolünü atayarak uygulama oluşturma ve onay verme izinleri verin.
• Sizin için uygulama kaydını oluşturun ve sizi uygulama sahibi olarak atayın.

Sonraki adımlar

• Uygulama kaydı alt türleri ve izinleri
• Microsoft Entra yerleşik rolleri