Unternehmensanwendungsberechtigungen für benutzerdefinierte Rollen in Microsoft Entra ID

  • Artikel

Dieser Artikel enthält die derzeit verfügbaren Anwendungsregistrierungsberechtigungen für benutzerdefinierte Rollendefinitionen in Microsoft Entra ID.

Lizenzanforderungen

Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.

Berechtigungen zum Verwalten von Anwendungen mit einem Mandanten

Beim Auswählen der Berechtigungen für Ihre benutzerdefinierte Rolle haben Sie die Möglichkeit, Zugriff nur zum Verwalten von Anwendungen mit einem Mandanten zu gewähren. Anwendungen mit einem Mandanten sind nur für Benutzer in der Microsoft Entra-Organisation verfügbar, in der die Anwendung registriert ist. Anwendungen mit nur einem Mandanten sind so definiert, dass unterstützte Kontotypen auf "Nur Konten in diesem Organisationsverzeichnis" festgelegt sind. In der Graph-API ist für Anwendungen mit nur einem Mandanten die signInAudience-Eigenschaft auf "AzureADMyOrg." festgelegt

Verwenden Sie zum Gewähren des Zugriffs nur zum Verwalten von Anwendungen mit einem Mandanten die unten aufgeführten Berechtigungen mit dem Untertyp applications.myOrganization. Beispiel: microsoft.directory/applications.myOrganization/basic/update.

Eine Erläuterung der allgemeinen Begriffe „Untertyp“, „Berechtigung“ und „Eigenschaftensatz“ finden Sie in der Übersicht über benutzerdefinierte Rollen. Die folgenden Informationen gelten speziell für Anwendungsregistrierungen.

Erstellen und Löschen

Für die Erstellung von Anwendungsregistrierungen stehen zwei Berechtigungen zur Verfügung, die jeweils ein anderes Verhalten aufweisen:

microsoft.directory/applications/createAsOwner

Wird diese Berechtigung zugewiesen, wird der Ersteller als erster Besitzer der erstellten App-Registrierung hinzugefügt, und die erstellte App-Registrierung zählt zum Objekterstellungskontingent des Erstellers (250 Objekte).

microsoft.directory/applications/create

Wird diese Berechtigung zugewiesen, wird der Ersteller nicht als erster Besitzer der erstellten App-Registrierung hinzugefügt, und die erstellte App-Registrierung zählt nicht zum Kontingent von 250 erstellten Objekten des Erstellers. Verwenden Sie diese Berechtigung mit Bedacht, da der zugewiesene Benutzer in diesem Fall so viele App-Registrierungen erstellen kann, bis das Kontingent auf der Verzeichnisebene erreicht ist.

Wenn beide Berechtigungen zugewiesen sind, hat die Berechtigung zum Erstellen („/create“) Vorrang. Obwohl mit der Berechtigung „/createAsOwner“ der Ersteller nicht automatisch als erster Besitzer hinzufügt wird, können Besitzer bei der Erstellung der App-Registrierung angegeben werden, wenn Graph-APIs oder PowerShell-Cmdlets verwendet werden.

Berechtigungen zum Erstellen gewähren Zugriff auf den Befehl Neue Registrierung.

These permissions grant access to the New Registration portal command

Für die Erteilung der Möglichkeit zum Löschen von Anwendungsregistrierungen stehen zwei Berechtigungen zur Verfügung:

microsoft.directory/applications/delete

Erteilt die Möglichkeit zum Löschen von Anwendungsregistrierungen unabhängig vom Untertyp, d. h. für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen.

microsoft.directory/applications.myOrganization/delete

Erteilt die Möglichkeit zum Löschen von Anwendungsregistrierungen mit Beschränkung auf die Registrierungen, die nur für Konten in Ihrer Organisation oder Einzelmandantenanwendungen zugänglich sind (Untertyp myOrganization).

These permissions grant access to the Delete app registration command

Hinweis

Beim Zuweisen einer Rolle, die Berechtigungen zum Erstellen enthält, muss die Rollenzuweisung im Verzeichnisbereich vorgenommen werden. Eine Berechtigung zum Erstellen, die in einem Ressourcenbereich zugewiesen wird, erteilt nicht die Möglichkeit zum Erstellen von Anwendungsregistrierungen.

Lesen

Alle Mitgliedsbenutzer in der Organisation können standardmäßig App-Registrierungsinformationen lesen. Gastbenutzer und Anwendungsdienstprinzipale können dies dagegen nicht. Wenn Sie einem Gastbenutzer oder einer Anwendung eine Rolle zuweisen möchten, müssen Sie die entsprechenden Leseberechtigungen einfügen.

microsoft.directory/applications/allProperties/read

Möglichkeit zum Lesen aller Eigenschaften von Einzelmandantenanwendungen und mehrinstanzenfähigen Anwendungen, mit Ausnahme von Eigenschaften (wie Anmeldeinformationen), die nicht in allen Situationen gelesen werden können.

microsoft.directory/applications.myOrganization/allProperties/read

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/allProperties/read, jedoch nur für Einzelmandantenanwendungen.

microsoft.directory/applications/owners/read

Erteilt die Berechtigung zum Lesen der Eigenschaft „Besitzer“ für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Besitzer“ der Anwendungsregistrierung:

This permissions grants access to the app registration owners page

microsoft.directory/applications/standard/read

Gewährt Zugriff zum Lesen von Standardeigenschaften für die Anwendungsregistrierung. Dies schließt Eigenschaften über Anwendungsregistrierungsseiten ein.

microsoft.directory/applications.myOrganization/standard/read

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/standard/read, jedoch nur für Einzelmandantenanwendungen.

Aktualisieren

microsoft.directory/applications/allProperties/update

Möglichkeit zum Aktualisieren aller Eigenschaften von Anwendungen mit einem Mandanten und mehrinstanzenfähigen Anwendungen.

microsoft.directory/applications.myOrganization/allProperties/update

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/allProperties/update, jedoch nur für Einzelmandantenanwendungen.

microsoft.directory/applications/audience/update

Möglichkeit zum Aktualisieren der (signInAudience)-Eigenschaft des unterstützten Kontotyps von Anwendungen mit einem Mandanten und mehrinstanzenfähigen Anwendungen.

This permission grants access to app registration supported account type property on authentication page

microsoft.directory/applications.myOrganization/audience/update

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/audience/update, jedoch nur für Einzelmandantenanwendungen.

microsoft.directory/applications/authentication/update

Berechtigung zum Aktualisieren der Eigenschaften der Antwort-URL, der Abmelde-URL, des impliziten Ablaufs und der Herausgeberdomäne für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Authentifizierung“ der Anwendungsregistrierung, außer auf „Unterstützte Kontotypen“:

Grants access to app registration authentication but not supported account types

microsoft.directory/applications.myOrganization/authentication/update

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/authentication/update, jedoch nur für Einzelmandantenanwendungen.

microsoft.directory/applications/basic/update

Berechtigung zum Aktualisieren der Eigenschaften des Namens, des Logos, der URL der Startseite, der URL zu den Vertragsbedingungen und der URL zur Datenschutzerklärung für Einzelmandantenanwendungen oder mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Branding“ der Anwendungsregistrierung:

This permission grants access to the app registration branding page

microsoft.directory/applications.myOrganization/basic/update

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/basic/update, jedoch nur für Einzelmandantenanwendungen.

microsoft.directory/applications/credentials/update

Berechtigung zum Aktualisieren der Eigenschaften der Zertifikate und der geheimen Clientschlüssel für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Zertifikate & Geheimnisse“ der Anwendungsregistrierung:

This permission grants access to the app registration certificates & secrets page

microsoft.directory/applications.myOrganization/credentials/update

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/credentials/update, jedoch nur für Anwendungen mit einem Mandanten.

microsoft.directory/applications/owners/update

Berechtigung zum Aktualisieren der Eigenschaft „Besitzer“ für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Besitzer“ der Anwendungsregistrierung:

This permissions grants access to the app registration owners page

microsoft.directory/applications.myOrganization/owners/update

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/owners/update, jedoch nur für Einzelmandantenanwendungen.

microsoft.directory/applications/permissions/update

Berechtigungen zum Aktualisieren der Eigenschaften der delegierten Berechtigungen, Anwendungsberechtigungen, autorisierten Clientanwendungen, erforderlichen Berechtigungen und der Erteilung der Einwilligung für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Erteilt nicht die Berechtigung zum Durchführen der Einwilligung. Gewährt Zugriff auf alle Felder auf den Seiten „API-Berechtigungen“ und „Eine API verfügbar machen“ der Anwendungsregistrierung:

This permissions grants access to the app registration API permissions page

This permissions grants access to the app registration Expose an API page

microsoft.directory/applications.myOrganization/permissions/update

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/permissions/update, jedoch nur für Einzelmandantenanwendungen.

Nächste Schritte