如何创建允许注册应用程序和服务主体的Azure自定义角色

Question

我想在Azure中创建一个最小权限自定义角色，将其分配给服务主体，它只允许服务主体注册Azure AD应用程序和服务主体。

“贡献者”标准角色拥有所有所需的权限，但也有大量不需要的权限，我在可供使用的业务清单中找不到任何可能用于生成自定义角色的应用程序注册。

事实证明，这个问题是错误的--我曾认为将Microsoft.Azure.ActiveDirectory权限分配给服务主体不足以创建和编辑应用程序注册。但结果是，在Azure门户设置的权限和生效的权限之间，我遇到了5-10分钟的间隔。将贡献者角色授予服务主体刚好花费了足够的时间使原始权限生效。

Answer 1

AFAIK，您不需要在Azure中创建自定义角色就可以注册Azure AD应用程序和服务负责人。

谁可以通过Azure AD注册应用程序？？用户在Azure Active Directory中的成员身份以及他们在Azure AD中的“目录角色”控制了一些操作，而不是您正在查看的常规的RBAC 内建或自定义角色 (正如您在问题中提到的ARM资源提供商操作列表 )。

请参阅此Microsoft文档：谁拥有将应用程序添加到我的Azure AD实例的权限？。

更新:从西蒙编辑后的评论回复到原始问题.

如何向服务主体提供申请注册特权？

同样，您不会像在问题中提到的那样使用RBAC角色或创建自定义角色，而是向Azure中的相关服务主体提供特定的“应用程序权限”。我会给出下面的步骤。

1. 进入你的Azure广告，“注册申请”
2. 查找服务主体(可能需要查看所有应用程序，而不是仅查看我的应用程序)
3. 添加所需权限，如下所示：

​

​

​

​

一旦您选择了正确的权限并完成。请单击“授予权限”，因为这些权限需要管理员的同意。

​

​

Answer 2

使用这里描述的自定义AAD角色。

这比授予内置的"应用程序开发人员“角色更可取，因为它过于宽松，并且有250个应用程序限制。

#Requires -Modules AzureADPreview
# 3 October 2020
# Connect-AzureAD

$ParameterList = @{
    DisplayName = 'Application Registration Creator'
    Description = 'Can create an unlimited number of application registrations.'
    TemplateId  = (New-Guid).Guid
    IsEnabled   = $true
    RolePermissions = @{
        allowedResourceActions = @(
            'microsoft.directory/applications/create'
            'microsoft.directory/applications/createAsOwner'
        )
    }
}

$customRole = New-AzureAdMSRoleDefinition @ParameterList