Microsoft Entra ID 中的企业应用程序所有权概述
Microsoft Entra ID 中的用户注册应用程序时,会被自动添加为应用程序所有者。 只有在不具有管理员角色(全局管理员、应用程序管理员等)的用户创建新应用程序注册的情况下,才会默认分配企业应用程序的所有权。 在所有其他情况下,不会默认为企业应用程序分配所有权。 可以让用户成为企业应用程序的所有者,但不能将组分配为所有者。
作为 Microsoft Entra ID 中的企业应用程序的所有者,用户可管理应用程序的特定于组织的配置,例如单一登录、预配和用户分配。 所有者还可以添加或删除其他所有者。 与全局管理员不同,所有者只能管理他们拥有的企业应用程序。 所有者权限与限定于单个应用程序的应用程序管理员权限相同。 若要详细了解应用程序所有者拥有的权限,请参阅所有权权限
注意
应用程序拥有的权限可能多于所有者,因此,与身为用户的所有者的访问权限相比,应用程序的特权会有所提升。 在模拟应用程序时,应用程序所有者可以创建或更新用户或其他对象。 在某些情况下,为所有者提升特权可能会引发安全问题,具体取决于应用程序的权限。
常见问题解答
对于所有者不再与组织在一起的应用程序,该怎么办?
如果租户中存在无所有者应用程序,则可以访问此应用程序的审核日志,以调查可能涉及配置此应用程序的其他用户。 但是,审核日志的存储时间存在限制。 请参阅 Microsoft Entra 审核日志报告。
还可通过导航到“角色和管理员”选项卡,查看对应用程序限定权限范围的其他用户。找到拥有该应用程序的正确人员后,组织中具有高特权管理角色的用户就可以为应用程序分配新的所有者。 请参阅分配企业应用程序所有者。
建议在环境中主动监视应用程序,确保在可能的情况下至少有两个所有者,以避免出现无所有者应用的情况,这是最佳做法。 此外,还应利用应用程序对象上的 serviceManagementReference 属性从企业的服务或资产管理数据库中引用团队联系人信息。 serviceManagementReference 属性可确保即使某个人离开组织,你也有团队联系人。
如何查找组织中无所有者或面临无所有者风险的企业应用程序?
要了解如何使用 Microsoft Graph API 识别无所有者企业应用或只有一个所有者的应用,请参阅列出无所有者应用程序。
如何将自己添加为企业应用程序的所有者?
应用程序的现有所有者可以将其他用户添加为所有者。 此外,具有特权角色(如应用程序管理员或云应用程序管理员)的用户可以将所有者分配到组织中的应用程序。 如果你不是管理员,请要求组织中的管理员将你分配为应用程序的所有者。
如何查找你拥有的所有应用程序?
- 可以导航到“企业应用程序”,然后选择“所有应用程序”
- 选择“添加筛选器”,然后使用“所有者”搜索你或他人拥有的应用。