Azure Active Directory 'de uygulama kayıt izinleri vermeDelegate app registration permissions in Azure Active Directory

Bu makalede, uygulama yönetimi ihtiyaçlarınızı karşılamak üzere Azure Active Directory (Azure AD) içinde özel roller tarafından verilen izinlerin nasıl kullanılacağı açıklanır.This article describes how to use permissions granted by custom roles in Azure Active Directory (Azure AD) to address your application management needs. Azure AD 'de, uygulama oluşturma ve yönetim izinlerinin aşağıdaki yollarla temsilciliğini sağlayabilirsiniz:In Azure AD, you can delegate Application creation and management permissions in the following ways:

  • Kimlerin uygulama oluşturup oluşturdukları uygulamaları yönetebileceğini sınırlandırma .Restricting who can create applications and manage the applications they create. Azure AD 'de varsayılan olarak, tüm kullanıcılar uygulama kayıtlarını kaydedebilir ve oluşturdukları uygulamaların tüm yönlerini yönetebilir.By default in Azure AD, all users can register application registrations and manage all aspects of applications they create. Bu, yalnızca izin verilen kullanıcılara izin vermek için kısıtlanabilir.This can be restricted to only allow selected people that permission.
  • Bir uygulamaya bir veya daha fazla sahip atama.Assigning one or more owners to an application. Bu, birine belirli bir uygulama için Azure AD yapılandırmasının tüm yönlerini yönetme olanağı sağlamanın basit bir yoludur.This is a simple way to grant someone the ability to manage all aspects of Azure AD configuration for a specific application.
  • Tüm uygulamalar için Azure AD 'de yapılandırmayı yönetme erişimi veren yerleşik bir yönetim rolü atama .Assigning a built-in administrative role that grants access to manage configuration in Azure AD for all applications. Bu, BT uzmanlarına, Azure AD 'nin uygulama yapılandırmasıyla ilgili olmayan diğer kısımlarını yönetmek için erişim izni vermeden, geniş uygulama yapılandırma izinlerini yönetmek üzere erişim vermek için önerilen yoldur.This is the recommended way to grant IT experts access to manage broad application configuration permissions without granting access to manage other parts of Azure AD not related to application configuration.
  • Özel bir rol oluşturmak ve bunu, tek bir uygulamanın sınırlı bir sahip olarak veya dizin kapsamında (tüm uygulamalar) sınırlı yönetici olarak bir kişiye atamak.Creating a custom role defining very specific permissions and assigning it to someone either to the scope of a single application as a limited owner, or at the directory scope (all applications) as a limited administrator.

Yukarıdaki yöntemlerden birini kullanarak iki nedenden dolayı erişim vermek önemlidir.It's important to consider granting access using one of the above methods for two reasons. İlk olarak, yönetim görevlerini gerçekleştirmek için temsilci seçme, genel yönetici ek yükünü azaltır.First, delegating the ability to perform administrative tasks reduces global administrator overhead. İkincisi, sınırlı izinleri kullanmak güvenlik duruşunuzu iyileştirir ve yetkisiz erişim potansiyelini azaltır.Second, using limited permissions improves your security posture and reduces the potential for unauthorized access. Temsilci seçme sorunları ve genel yönergeler, Azure Active Directory sürümünde temsilci yönetimibölümünde ele alınmıştır.Delegation issues and general guidelines are discussed in Delegate administration in Azure Active Directory.

Kimlerin uygulama oluşturacağını kısıtlaRestrict who can create applications

Azure AD 'de varsayılan olarak, tüm kullanıcılar uygulama kayıtlarını kaydedebilir ve oluşturdukları uygulamaların tüm yönlerini yönetebilir.By default in Azure AD, all users can register application registrations and manage all aspects of applications they create. Herkes Ayrıca şirket verilerine kendi adına erişen uygulamalar için izin verebilir.Everyone also has the ability to consent to apps accessing company data on their behalf. Genel anahtarları ' Hayır ' olarak ayarlayarak ve seçilen kullanıcıları uygulama geliştirici rolüne ekleyerek, bu izinleri seçmeli olarak vermeyi tercih edebilirsiniz.You can choose to selectively grant those permissions by setting the global switches to 'No' and adding the selected users to the Application Developer role.

  1. Azure AD kuruluşunuzda genel yönetici rolüne uygun bir hesapla Azure AD kuruluşunuzda oturum açın.Sign in to your Azure AD organization with an account that eligible for the Global administrator role in your Azure AD organization.

  2. Aşağıdakilerden birini veya her ikisini birden ayarlayın:Set one or both of the following:

    •  Kuruluşunuzun Kullanıcı ayarları sayfasında, kullanıcılar uygulamaları kaydedebilir ayarını Hayır olarak ayarlayın.On the User settings page for your organization, set the Users can register applications setting to No. Bu, kullanıcıların uygulama kayıtları oluşturmalarına yönelik varsayılan özelliği devre dışı bırakır.This will disable the default ability for users to create application registrations.
    •  Kurumsal uygulamalar için Kullanıcı ayarları' na, kullanıcıların kendi adına şirket verilerine erişen uygulamalara Izin verebilir ayarını Hayır olarak ayarlayın.On the user settings for enterprise applications, set the Users can consent to applications accessing company data on their behalf setting to No. Bu, kullanıcıların kendi adına şirket verilerine erişen uygulamalara izin vermesini sağlayacak varsayılan özelliği devre dışı bırakır.This will disable the default ability for users to consent to applications accessing company data on their behalf.

Kullanıcıların uygulamaları kaydedebileceği durumlarda uygulama kayıtları oluşturma özelliği Hayır olarak ayarlanırsa uygulama geliştirici rolünü atayın.Assign the Application developer role to grant the ability to create application registrations when the Users can register applications setting is set to No. Bu rol Ayrıca, Kullanıcılar, Kullanıcı adına şirket verilerine erişen uygulamalara izin verebilmeleri durumunda kendi adına izin vermek için izin verir.This role also grants permission to consent on one's own behalf when the Users can consent to apps accessing company data on their behalf setting is set to No. Bir sistem davranışı olarak, bir Kullanıcı yeni bir uygulama kaydı oluşturduğunda, bunlar otomatik olarak ilk sahip olarak eklenir.As a system behavior, when a user creates a new application registration, they are automatically added as the first owner. Sahiplik izinleri, kullanıcıya sahip oldukları bir uygulama kaydı veya kurumsal uygulamanın tüm yönlerini yönetme olanağı sunar.Ownership permissions give the user the ability to manage all aspects of an application registration or enterprise application that they own.

Uygulama sahipleri atamaAssign application owners

Sahipleri atamak, belirli bir uygulama kaydı veya kurumsal uygulama için Azure AD yapılandırmasının tüm yönlerini yönetme olanağı sağlamanın basit bir yoludur.Assigning owners is a simple way to grant the ability to manage all aspects of Azure AD configuration for a specific application registration or enterprise application. Bir sistem davranışı olarak, bir Kullanıcı yeni bir uygulama kaydı oluşturduğunda ilk sahip olarak otomatik olarak eklenir.As a system behavior, when a user creates a new application registration they are automatically added as the first owner. Sahiplik izinleri, kullanıcıya sahip oldukları bir uygulama kaydı veya kurumsal uygulamanın tüm yönlerini yönetme olanağı sunar.Ownership permissions give the user the ability to manage all aspects of an application registration or enterprise application that they own. Özgün sahip kaldırılabilir ve ek sahipler eklenebilir.The original owner can be removed and additional owners can be added.

Kurumsal uygulama sahipleriEnterprise application owners

Bir Kullanıcı bir sahip olarak, kurumsal uygulama için çoklu oturum açma yapılandırması, sağlama ve Kullanıcı atamaları gibi kuruluşa özgü yapılandırmayı yönetebilir.As an owner, a user can manage the organization-specific configuration of the enterprise application, such as the single sign-on configuration, provisioning, and user assignments. Sahipler başka kullanıcıları sahip olarak ekleyebilir veya kaldırabilir.An owner can also add or remove other owners. Küresel yöneticilerin aksine, sahipler yalnızca sahip oldukları kurumsal uygulamaları yönetebilir.Unlike Global administrators, owners can manage only the enterprise applications they own.

Bazı durumlarda, uygulama galerisinden oluşturulan kurumsal uygulamalarda hem kurumsal uygulama hem de uygulama kaydı bulunur.In some cases, enterprise applications created from the application gallery include both an enterprise application and an application registration. Bu doğru olduğunda, kurumsal uygulamaya sahip eklemek, sahibi bir sahip olarak ilgili uygulama kaydına otomatik olarak ekler.When this is true, adding an owner to the enterprise application automatically adds the owner to the corresponding application registration as an owner.

Bir kuruluş uygulamasına sahip atamak içinTo assign an owner to an enterprise application

  1. Azure AD kuruluşunuzda , uygulama yöneticisine veya kuruluşun bulut uygulama yöneticisine uygun bir hesapla oturum açın.Sign in to your Azure AD organization with an account that eligible for the Application administrator or Cloud application administrator for the organization.
  2. Kuruluşun  uygulama kayıtları sayfasında , uygulamanın genel bakış sayfasını açmak için bir uygulama seçin.On the App registrations page for the organization, select an app to open the Overview page for the app.
  3. Uygulama sahiplerinin listesini görmek için sahipler ' i seçin.Select Owners to see the list of the owners for the app.
  4. Uygulamaya eklenecek bir veya daha fazla sahip seçmek için Ekle ' yi seçin.Select Add to select one or more owners to add to the app.

Önemli

Kullanıcılar ve hizmet sorumluları, uygulama kayıtlarının sahipleri olabilir.Users and service principals can be owners of application registrations. Yalnızca kullanıcılar kurumsal uygulamaların sahipleri olabilir.Only users can be owners of enterprise applications. Gruplar, birinin sahipleri olarak atanamaz.Groups cannot be assigned as owners of either.

Sahipler bir uygulamaya kimlik bilgileri ekleyebilir ve bu kimlik bilgilerini uygulamanın kimliğini taklit etmek için kullanabilir.Owners can add credentials to an application and use those credentials to impersonate the application’s identity. Uygulamanın sahibinden daha fazla izni olabilir ve bu nedenle, sahibin Kullanıcı veya hizmet sorumlusu olarak erişimine sahip olduğu konusunda ayrıcalık yükselmesine neden olabilir.The application may have more permissions than the owner, and thus would be an elevation of privilege over what the owner has access to as a user or service principal. Uygulama sahibi, uygulamanın izinlerine bağlı olarak uygulamayı taklit ederken kullanıcıları veya diğer nesneleri oluşturabilir ya da güncelleştirebilir.An application owner could potentially create or update users or other objects while impersonating the application, depending on the application's permissions.

Yerleşik uygulama yöneticisi rolleri atamaAssign built-in application admin roles

Azure AD 'nin tüm uygulamalar için Azure AD 'de yapılandırmayı yönetme erişimi vermek üzere yerleşik bir yönetim rolleri kümesi vardır.Azure AD has a set of built-in admin roles for granting access to manage configuration in Azure AD for all applications. Bu roller, BT uzmanlarına, Azure AD 'nin uygulama yapılandırmasıyla ilgili olmayan diğer kısımlarını yönetmek için erişim izni vermeden, geniş uygulama yapılandırma izinlerini yönetmek için önerilen yoldur.These roles are the recommended way to grant IT experts access to manage broad application configuration permissions without granting access to manage other parts of Azure AD not related to application configuration.

  • Uygulama Yöneticisi: Bu roldeki kullanıcılar kurumsal uygulamaların, uygulama kayıtlarının ve uygulama proxy ayarlarının tüm yönlerini oluşturabilir ve yönetebilir.Application Administrator: Users in this role can create and manage all aspects of enterprise applications, application registrations, and application proxy settings. Bu rol Ayrıca, Microsoft Graph ve Azure AD grafiğini dışlayarak uygulama izinleri için izin verme izni verir.This role also grants the ability to consent to delegated permissions, and application permissions excluding Microsoft Graph and Azure AD Graph. Bu role atanan kullanıcılar, yeni uygulama kayıtları veya kurumsal uygulamalar oluştururken sahip olarak eklenmez.Users assigned to this role are not added as owners when creating new application registrations or enterprise applications.
  • Bulut uygulaması Yöneticisi: Bu roldeki kullanıcılar uygulama proxy 'si rolüyle aynı izinlere sahiptir ve uygulama ara sunucusunu yönetme imkanını dışlar.Cloud Application Administrator: Users in this role have the same permissions as the Application Administrator role, excluding the ability to manage application proxy. Bu role atanan kullanıcılar, yeni uygulama kayıtları veya kurumsal uygulamalar oluştururken sahip olarak eklenmez.Users assigned to this role are not added as owners when creating new application registrations or enterprise applications.

Daha fazla bilgi edinmek ve bu rollerin açıklamasını görüntülemek için bkz. kullanılabilir roller.For more information and to view the description for these roles, see Available roles.

Uygulama Yöneticisi veya bulut uygulama yöneticisi rollerini atamak için Azure Active Directory nasıl yapılır Kılavuzu ile kullanıcılara roller atama bölümündeki yönergeleri izleyin.Follow the instructions in the Assign roles to users with Azure Active Directory how-to guide to assign the Application Administrator or Cloud Application Administrator roles.

Önemli

Uygulama yöneticileri ve bulut uygulaması yöneticileri bir uygulamaya kimlik bilgileri ekleyebilir ve bu kimlik bilgilerini uygulamanın kimliğini taklit etmek için kullanabilir.Application Administrators and Cloud Application Administrators can add credentials to an application and use those credentials to impersonate the application’s identity. Uygulamanın, yönetici rolü izinleri üzerinde ayrıcalık yükseltmesi olan izinleri olabilir.The application may have permissions that are an elevation of privilege over the admin role's permissions. Bu roldeki bir yönetici, uygulamanın izinlerine bağlı olarak uygulamayı taklit ederken kullanıcıları veya diğer nesneleri oluşturabilir ya da güncelleştirebilir.An admin in this role could potentially create or update users or other objects while impersonating the application, depending on the application's permissions. Hiçbiri rol, koşullu erişim ayarlarını yönetme olanağı vermez.Neither role grants the ability to manage Conditional Access settings.

Özel bir rol oluşturma ve atama (Önizleme)Create and assign a custom role (preview)

Özel Roller oluşturmak ve özel roller atamak ayrı adımlardır:Creating custom roles and assigning custom roles are separate steps:

Bu ayrım, tek bir rol tanımı oluşturmanızı ve sonra farklı kapsamlarabirçok kez atamanızı sağlar.This separation allows you to create a single role definition and then assign it many times at different scopes. Özel bir rol kuruluş genelinde bir kapsamda atanabilir veya tek bir Azure AD nesnesi ise kapsamda atanabilir.A custom role can be assigned at organization-wide scope, or it can be assigned at the scope if a single Azure AD object. Bir nesne kapsamına örnek olarak tek bir uygulama kaydı vardır.An example of an object scope is a single app registration. Farklı kapsamları kullanarak, aynı rol tanımı kuruluştaki tüm uygulama kayıtları üzerinden Sally ve ardından yalnızca contoso gider raporları uygulama kaydı üzerinden değiştirilebilir.Using different scopes, the same role definition can be assigned to Sally over all app registrations in the organization and then to Naveen over only the Contoso Expense Reports app registration.

Uygulama yönetiminin yetkisini oluşturmak için özel roller oluşturma ve kullanma ipuçları:Tips when creating and using custom roles for delegating application management:

  • Özel roller yalnızca Azure AD portalının en güncel uygulama kayıt dikey pencerelerinde erişim izni verir.Custom roles only grant access in the most current app registration blades of the Azure AD portal. Bunlar, eski uygulama kayıtları dikey pencerelerinde erişim vermez.They do not grant access in the legacy app registrations blades.
  • Özel roller, "Azure AD Yönetim portalına erişimi kısıtla" Kullanıcı ayarı Evet olarak ayarlandığında Azure AD portalına erişim izni vermez.Custom roles do not grant access to the Azure AD portal when the “Restrict access to Azure AD administration portal” user setting is set to Yes.
  • Kullanıcı, rol atamalarını kullanma erişimine sahip Uygulama kayıtları yalnızca uygulama kayıt sayfasındaki ' tüm uygulamalar ' sekmesinde görünür.App registrations the user has access to using role assignments only show up in the ‘All applications’ tab on the App registration page. Bunlar, ' sahip olan uygulamalar ' sekmesinde gösterilmez.They do not show up in the ‘Owned applications’ tab.

Özel rollerin temelleri hakkında daha fazla bilgi için bkz. özel rollere genel bakışve özel rol oluşturma ve rol atama.For more information on the basics of custom roles, see the custom roles overview, as well as how to create a custom role and how to assign a role.

Sonraki adımlarNext steps