Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Anwendungsmanifest enthält alle Attribute und deren Werte einer Anwendungsregistrierung in der Microsoft Identity Platform.
Ein Microsoft Graph-App-Manifest ist ein JSON-Objekt, das eine App-Registrierung darstellt. Er wird auch als Ressourcentyp der Microsoft Graph-Anwendung oder als Microsoft Graph-App-Objekt (Anwendungsobjekt) bezeichnet. Es enthält alle Attribute und deren Werte einer App-Registrierung.
Das Anwendungsobjekt, das Sie mit der Microsoft Graph Get Application-Methode erhalten, ist dasselbe JSON-Objekt, das auf der Manifestseite "App-Registrierung " im Microsoft Entra Admin Center angezeigt wird.
Hinweis
Für Apps, die mit Ihrem persönlichen Microsoft-Konto (MSA-Konto) registriert sind, werden Sie bis auf weiteres App-Manifeste im Azure AD Graph-Format im Microsoft Entra Admin Center sehen. Weitere Informationen finden Sie im Microsoft Entra-App-Manifest (Azure AD Graph-Format).
Konfigurieren des Microsoft Graph-App-Manifests
Wenn Sie microsoft Graph-App-Manifest programmgesteuert konfigurieren möchten, können Sie entweder die Microsoft Graph-API oder das Microsoft Graph PowerShell SDK verwenden.
Sie können das App-Manifest auch über das Microsoft Entra Admin Center konfigurieren. Die meisten Attribute können mithilfe eines UI-Elements in App-Registrierungen konfiguriert werden. Einige Attribute müssen jedoch konfiguriert werden, indem sie das App-Manifest direkt auf der Manifestseite bearbeiten.
Konfigurieren des App-Manifests im Microsoft Entra Admin Center
So konfigurieren Sie das Microsoft Graph-App-Manifest:
Melden Sie sich mindestens als Anwendungsentwickler beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra>.
Wählen Sie die App aus, die Sie konfigurieren möchten.
Wählen Sie auf der Seite "Übersicht " der App den Abschnitt "Manifest " aus. Ein webbasierter Manifest-Editor wird geöffnet, mit dem Sie das Manifest bearbeiten können. Optional können Sie "Herunterladen " auswählen, um das Manifest lokal zu bearbeiten, und dann "Hochladen " verwenden, um es erneut auf Ihre Anwendung anzuwenden.
Manifestreferenz
In diesem Abschnitt werden die Attribute im Microsoft Graph-App-Manifest beschrieben.
id-Attribut
| Schlüssel | Werttyp |
|---|---|
| id | Schnur |
Diese Eigenschaft wird im Microsoft Entra Admin Center als Objekt-ID bezeichnet. Es ist ein eindeutiger Bezeichner für das Applikationsobjekt im Verzeichnis.
Diese ID ist nicht der Bezeichner, der verwendet wird, um die App in einer Protokolltransaktion zu bezeichnen. Sie dient dazu, in Verzeichnisabfragen auf das Objekt zu verweisen.
Es handelt sich um ein nicht Nullwerte zulassend und schreibgeschütztes Attribut.
Beispiel:
"id": "f7f9acfc-ae0c-4d6c-b489-0a81dc1652dd"
appId-Attribut
| Schlüssel | Werttyp |
|---|---|
| Anwendungs-ID | Schnur |
Diese Eigenschaft wird im Microsoft Entra Admin Center als Anwendungs-ID (Client-ID) bezeichnet. Es ist ein eindeutiger Bezeichner für das Applikationsobjekt im Verzeichnis.
Diese ID ist nicht der Bezeichner, der verwendet wird, um die App in einer Protokolltransaktion zu bezeichnen.
Es handelt sich um ein nicht Nullwerte zulassend und schreibgeschütztes Attribut.
Beispiel:
"appId": "00001111-aaaa-2222-bbbb-3333cccc4444"
addIns-Attribut
| Schlüssel | Werttyp |
|---|---|
| addIns | Sammlung |
Definiert ein benutzerdefiniertes Verhalten, mit dem eine App in bestimmten Kontexten von einem Verbraucherdienst aufgerufen werden kann. Beispielsweise kann für Anwendungen, die Dateidatenströme rendern können, die addIns-Eigenschaft für die Funktionalität „FileHandler“ festgelegt werden. Dieser Parameter ermöglicht Diensten wie Microsoft 365, die Anwendung im Kontext eines Dokuments aufzurufen, an dem der Benutzer arbeitet.
Beispiel:
"addIns": [
{
"id": "968A844F-7A47-430C-9163-07AE7C31D407",
"type": " FileHandler",
"properties": [
{
"key": "version",
"value": "2"
}
]
}
]
appRoles
| Schlüssel | Werttyp |
|---|---|
| appRoles | Sammlung |
Gibt Auflistung der Rollen an, die von einer App deklariert werden können. Diese Rollen können Benutzern, Gruppen oder Dienstprinzipalen zugewiesen werden. Weitere Beispiele und Informationen finden Sie unter Hinzufügen von App-Rollen in Ihrer Anwendung und empfangen sie im Token.
Beispiel:
"appRoles": [
{
"allowedMemberTypes": [
"User"
],
"description": "Read-only access to device information",
"displayName": "Read Only",
"id": "00001111-aaaa-2222-bbbb-3333cccc4444",
"isEnabled": true,
"value": "ReadOnly"
}
]
groupMembershipClaims
| Schlüssel | Werttyp |
|---|---|
| groupMembershipClaims | Schnur |
Konfiguriert den in einem Benutzer- oder OAuth 2.0-Zugriffstoken ausgegebenen Anspruch groups, der von der App erwartet wird. Um dieses Attribut festzulegen, verwenden Sie einen der folgenden gültigen Zeichenfolgenwerte:
None-
SecurityGroup(für Sicherheitsgruppen und Microsoft Entra Rollen) -
ApplicationGroup(diese Option umfasst nur Gruppen, die der Anwendung zugewiesen sind) -
DirectoryRole(ruft die Microsoft Entra Verzeichnisrollen ab, in der der Benutzer Mitglied ist) -
All(ruft alle Sicherheitsgruppen, Verteilergruppen und Microsoft Entra-Verzeichnisrollen ab, in denen der angemeldete Benutzer ein Mitglied ist).
Beispiel:
"groupMembershipClaims": "SecurityGroup"
optionalClaims-Attribut
| Schlüssel | Werttyp |
|---|---|
| optionalClaims | Schnur |
Die optionalen Ansprüche, die im Token vom Sicherheitstokendienst für diese spezifische App zurückgegeben werden.
Apps, die sowohl persönliche Konten als auch Microsoft Entra ID unterstützen, können keine optionalen Ansprüche verwenden. Apps, die nur für Microsoft Entra ID unter Verwendung des Endpunkts v2.0 registriert sind, können jedoch die optionalen Ansprüche abrufen, die sie im Manifest angefordert haben. Weitere Informationen finden Sie unter "Optionale Ansprüche".
Beispiel:
"optionalClaims": {
"idToken": [
{
"@odata.type": "microsoft.graph.optionalClaim"
}
],
"accessToken": [
{
"@odata.type": "microsoft.graph.optionalClaim"
}
],
"saml2Token": [
{
"@odata.type": "microsoft.graph.optionalClaim"
}
]
}
identifierUris-Attribut
| Schlüssel | Werttyp |
|---|---|
| identifierUris | Zeichenfolgenarray |
Benutzerdefinierte URIs, die eine Web-App innerhalb des zugehörigen Microsoft Entra-Mandanten oder einer überprüften kundeneigenen Domäne eindeutig identifizieren. Wenn eine Anwendung als Ressourcen-App verwendet wird, wird der identifierUri-Wert verwendet, um die Ressource eindeutig zu identifizieren und darauf zuzugreifen.
Für Anwendungs-IDs auf Basis von API- oder HTTP-Schemas werden die folgenden URI-Formate unterstützt. Ersetzen Sie die Platzhalterwerte anhand der Liste, die im Anschluss an die Tabelle aufgeführt ist.
| Unterstützte Anwendungs-ID URI-Formate |
URIs für Beispiel-App-IDs |
|---|---|
| <api:// appId> | api://aaaabbbb-0000-cccc-1111-dddd2222eeee |
| <api:// tenantId>/<appId> | api://aaaabbbb-0000-cccc-1111-dddd2222eeee/00001111-aaaa-2222-bbbb-3333cccc4444 |
| <api:// tenantId>/<string> | api://aaaabbbb-0000-cccc-1111-dddd2222eeee/api |
| <api:// string>/<appId> | api://productapi/00001111-aaaa-2222-bbbb-3333cccc4444 |
| <https:// tenantInitialDomain.onmicrosoft.com/>< string> | https://contoso.onmicrosoft.com/productsapi |
| <https:// verifiedCustomDomain>/<string> | https://contoso.com/productsapi |
| <https:// Zeichenfolge>.<verifiedCustomDomain> | https://product.contoso.com |
| <https:// Zeichenfolge>.<verifiedCustomDomain>/<string> | https://product.contoso.com/productsapi |
| <api:// zeichenfolge>.<verifiedCustomDomainOrInitialDomain>/<string> | api://contoso.com/productsapi |
- <appId> – Die Anwendungs-ID (appId)-Eigenschaft des Anwendungsobjekts.
- <string> - Der Zeichenfolgenwert für den Host oder das API-Pfadsegment.
- <tenantId> – Eine von Azure generierte GUID, die den Mandanten in Azure darstellt.
- <tenantInitialDomain tenantInitialDomain.onmicrosoft.com> - <>, wobei <tenantInitialDomain> der anfängliche Domänenname ist, den der Ersteller des Mandanten bei der Mandantenerstellung angegeben hat.
- <verifiedCustomDomain> – Eine überprüfte benutzerdefinierte Domäne, die für Ihren Microsoft Entra-Mandanten konfiguriert ist.
Hinweis
Wenn Sie das api:// Schema verwenden, fügen Sie direkt hinter dem "api://" einen Zeichenfolgenwert hinzu. Beispiel: api://< Zeichenfolge>. Dieser Zeichenfolgenwert kann eine GUID oder eine beliebige Zeichenfolge sein. Wenn Sie einen GUID-Wert hinzufügen, muss er entweder mit der App-ID oder der Mandanten-ID übereinstimmen. Wenn Sie einen Zeichenfolgenwert verwenden, muss er entweder eine überprüfte benutzerdefinierte Domäne oder die ursprüngliche Domäne Ihres Mandanten verwenden. Es wird empfohlen, api://< appId> zu verwenden.
Wichtig
Der Wert für den Anwendungs-ID-URI darf nicht mit einem Schrägstrich (/) enden.
Wichtig
Der URI-Wert der Anwendungs-ID muss innerhalb Ihres Mandanten eindeutig sein.
Beispiel:
"identifierUris": "https://contoso.onmicrosoft.com/fc4d2d73-d05a-4a9b-85a8-4f2b3a5f38ed"
keyCredentials-Attribut
| Schlüssel | Werttyp |
|---|---|
| keyCredentials | Sammlung |
Enthält Verweise auf von der App zugewiesene Anmeldeinformationen, auf Zeichenfolgen basierende gemeinsame geheime Schlüssel und X.509-Zertifikate. Diese Anmeldeinformationen werden beim Anfordern von Zugriffstoken verwendet (wenn die App nicht als Ressource, sondern als Client agiert).
Beispiel:
"keyCredentials": [
{
"customKeyIdentifier": null,
"endDateTime": "2018-09-13T00:00:00Z",
"keyId": "<guid>",
"startDateTime": "2017-09-12T00:00:00Z",
"type": "AsymmetricX509Cert",
"usage": "Verify",
"value": null
}
]
displayName-Attribut
| Schlüssel | Werttyp |
|---|---|
| Anzeigename | Schnur |
Der Anzeigename für die App.
Beispiel:
"displayName": "MyRegisteredApp"
oauth2RequiredPostResponse-Attribut
| Schlüssel | Werttyp |
|---|---|
| oauth2RequiredPostResponse | Boolescher Typ (Boolean) |
Gibt an, ob Microsoft Entra ID im Rahmen von OAuth 2.0-Tokenanforderungen POST-Anforderungen zulässt (im Gengensatz zu GET-Anforderungen). Beim Standartwert „false“ sind nur GET-Anforderungen zulässig.
Beispiel:
"oauth2RequirePostResponse": false
parentalControlSettings-Attribut
| Schlüssel | Werttyp |
|---|---|
| parentalControlSettings | Schnur |
-
countriesBlockedForMinorsgibt die Länder/Regionen an, in denen die App für Minderjährige blockiert wird. -
legalAgeGroupRulegibt die Regel für die rechtliche Altersgruppe an, die für Benutzer der App gilt. Dieser Wert kann aufAllow,RequireConsentForPrivacyServices,RequireConsentForMinors,RequireConsentForKidsoderBlockMinorsfestgelegt werden.
Beispiel:
"parentalControlSettings": {
"countriesBlockedForMinors": [],
"legalAgeGroupRule": "Allow"
}
passwordCredentials-Attribut
| Schlüssel | Werttyp |
|---|---|
| passwordCredentials | Sammlung |
Siehe Beschreibung für die keyCredentials-Eigenschaft.
Beispiel:
"passwordCredentials": [
{
"customKeyIdentifier": null,
"displayName": "Generated by App Service",
"endDateTime": "2022-10-19T17:59:59.6521653Z",
"hint": "Nsn",
"keyId": "<guid>",
"secretText": null,
"startDateTime": "2022-10-19T17:59:59.6521653Z"
}
]
publisherDomain-Attribut
| Schlüssel | Werttyp |
|---|---|
| publisherDomain | Schnur |
Die überprüfte Herausgeberdomäne für die Anwendung. Schreibgeschützt. Um die Herausgeberdomäne Ihrer App-Registrierung zu bearbeiten, führen Sie die unter "Konfigurieren der Herausgeberdomäne einer App" aufgeführten Schritte aus.
Beispiel:
"publisherDomain": "{tenant}.onmicrosoft.com"
requiredResourceAccess-Attribut
| Schlüssel | Werttyp |
|---|---|
| requiredResourceAccess | Sammlung |
Mit dynamischer Einwilligung steuert requiredResourceAccess die Einwilligungsoberfläche für Administratoren und Benutzer, die statische Einwilligung verwenden. Dieser Parameter steuert jedoch nicht die Oberfläche für die Benutzerzustimmung für den Allgemeinfall.
-
resourceAppIdist der eindeutige Bezeichner für die Ressource, auf die die App zugreifen muss. Dieser Wert muss mit der „appId“ identisch sein, die für die Zielressourcen-App deklariert wurde. -
resourceAccessist ein Array, das die OAuth 2.0-Berechtigungsbereiche und App-Rollen auflistet, welche die App für die jeweilige Ressource erfordert. Enthält dieid- undtype-Werte der jeweiligen Ressourcen.
Beispiel:
"requiredResourceAccess": [
{
"resourceAppId": "00000002-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "311a71cc-e848-46a1-bdf8-97ff7156d8e6",
"type": "Scope"
}
]
}
]
samlMetadataUrl-Attribut
| Schlüssel | Werttyp |
|---|---|
| samlMetadataUrl | Schnur |
Die URL zu den SAML-Metadaten für die App.
Beispiel:
"samlMetadataUrl": "https://MyRegisteredAppSAMLMetadata"
signInAudience-Attribut
| Schlüssel | Werttyp |
|---|---|
| signInAudience | Schnur |
Gibt an, welche Microsoft-Konten für die aktuelle Anwendung unterstützt werden. Diese Werte werden unterstützt:
-
AzureADMyOrg: Benutzer mit einem Geschäfts-, Schul- oder Unikonto von Microsoft im Microsoft Entra-Mandanten meiner Organisation (z. B. einzelner Mandant) -
AzureADMultipleOrgs: Benutzer mit einem Geschäfts-, Schul- oder Unikonto von Microsoft im Microsoft Entra-Mandanten einer beliebigen Organisation (z. B. mehrere Mandanten) -
AzureADandPersonalMicrosoftAccount: Benutzer mit einem persönlichen Microsoft-Konto oder einem Geschäfts-, Schul- oder Unikonto im Microsoft Entra-Mandanten einer beliebigen Organisation -
PersonalMicrosoftAccount: Persönliche Konten, die für die Anmeldung bei Diensten wie Xbox und Skype verwendet werden
Beispiel:
"signInAudience": "AzureADandPersonalMicrosoftAccount"
tags-Attribut
| Schlüssel | Werttyp |
|---|---|
| Schlagwörter | Zeichenfolgenarray |
Benutzerdefinierte Zeichenfolgen, die zum Kategorisieren und Identifizieren der Anwendung verwendet werden können
Einzelne Tags müssen zwischen 1 und 256 Zeichen (einschließlich) liegen. Es sind keine Leerzeichen oder doppelte Tags zulässig. Es gibt keine spezifische Beschränkung für die Anzahl der Tags, die hinzugefügt werden können, vorbehaltlich allgemeiner Größenbeschränkungen für Manifeste.
Beispiel:
"tags": [
"ProductionApp"
]
isFallbackPublicClient-Attribut
| Schlüssel | Werttyp |
|---|---|
| isFallbackPublicClient | Boolescher Typ (Boolean) |
Gibt den Fallback-Anwendungstyp als öffentlichen Client an, z. B. eine installierte Anwendung, die auf einem mobilen Gerät läuft. Der Standardwert dieses Attributs ist FALSE. Das bedeutet, dass der Fallbackanwendungstyp ein vertraulicher Client ist, etwa eine Web-App. Es gibt bestimmte Szenarien, in denen Microsoft Entra ID den Client-App-Typ nicht bestimmen kann. Zum Beispiel der ROPC-Flow, der ohne Angabe eines Umleitungs-URIs konfiguriert ist. In diesen Fällen interpretiert Microsoft Entra ID den Anwendungstyp basierend auf dem Wert dieser Eigenschaft.
Beispiel:
"isFallbackPublicClient": "false"
Info-Attribut
| Schlüssel | Werttyp |
|---|---|
| Informationen | informationalUrl |
Gibt die grundlegenden Profilinformationen der Anwendung an, einschließlich Marketing, Support, Vertragsbedingungen, Datenschutzerklärung und Logo-URLs der Anwendung.
Beachten Sie dabei Folgendes:
„logoUrl“ ist eine schreibgeschützte Eigenschaft. Sie können sie nicht im App-Manifest bearbeiten. Navigieren Sie in Ihrer gewünschten App-Registrierung zur Seite „Branding und Eigenschaften“ und laden Sie mit „Neues Logo hochladen“ ein neues Logo hoch.
Die Nutzungsbedingungen und Datenschutzbestimmungen werden auf der Oberfläche für die Benutzerzustimmung angezeigt. Weitere Informationen finden Sie unter How to: Add Terms of Service and privacy statement for registered Microsoft Entra apps.
Beispiel:
"info": {
"termsOfService": "https://MyRegisteredApp/termsofservice",
"support": "https://MyRegisteredApp/support",
"privacy": "https://MyRegisteredApp/privacystatement",
"marketing": "https://MyRegisteredApp/marketing",
"logoUrl": "https://MyRegisteredApp/logoUrl",
}
API-Attribut
| Schlüssel | Werttyp |
|---|---|
| API | apiApplication-Ressourcentyp |
Gibt Einstellungen für eine Anwendung an, die eine Web-API implementiert. Enthält fünf Eigenschaften:
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| acceptMappedClaims | Boolescher Typ (Boolean) | Wenn diese Option auf „true“ gesetzt ist, kann eine Anwendung die Zuordnung von Ansprüchen verwenden, ohne einen benutzerdefinierten Signaturschlüssel festzulegen. Anwendungen, die Token empfangen, basieren auf der Tatsache, dass die Anspruchswerte von Microsoft Entra autoritativ ausgestellt werden und nicht manipuliert werden können. Wenn Sie jedoch den Tokeninhalt durch Anspruchszuordnungsrichtlinien ändern, sind diese Annahmen möglicherweise nicht mehr korrekt. Anwendungen müssen explizit bestätigen, dass Token vom Ersteller der Anspruchszuordnungsrichtlinie geändert wurden, um sich vor Anspruchszuordnungsrichtlinien zu schützen, die von böswilligen Akteuren erstellt wurden. Warnung: Legen Sie die acceptMappedClaims-Eigenschaft für mehrmandantenfähige Apps nicht auf TRUE fest. Dies kann dazu führen, dass böswillige Akteure Anspruchszuordnungsrichtlinien für Ihre App erstellen. |
| KnownClientApplications | Sammlung | Wird zur Bündelung der Zustimmung verwendet, wenn Sie eine aus zwei Teilen bestehende Lösung haben (eine Client-App und eine benutzerdefinierte Web-API-App). Wenn Sie die appID der Client-App auf diesen Wert setzen, stimmt der Benutzer nur einmal für die Client-App zu. Microsoft Entra ID weiß, dass die Zustimmung zum Client eine implizite Zustimmung zur Web-API bedeutet und stellt automatisch Dienstprinzipale für beide APIs gleichzeitig bereit. Die Client- und Web-API-App müssen beim selben Mandanten registriert sein. |
| oauth2PermissionScopes | permissionScope-Sammlung | Die Definition der delegierten Berechtigungen, die von der durch diese Anwendungsregistrierung repräsentierten Web-API bereitgestellt werden. Diese delegierten Berechtigungen können von einer Clientanwendung angefordert und von Benutzern oder Administratoren während der Genehmigung erteilt werden. Delegierte Berechtigungen werden manchmal als OAuth 2.0-Bereiche bezeichnet. |
| preAuthorizedApplications | preAuthorizedApplication-Sammlung | Listet die Clientanwendungen auf, die mit den angegebenen delegierten Berechtigungen für den Zugriff auf die APIs dieser Anwendung vorautorisiert sind. Benutzer sind nicht verpflichtet, einer vorab authentifizierten Anwendung (für die angegebenen Berechtigungen) zuzustimmen. Alle anderen Berechtigungen, die nicht in preAuthorizedApplications aufgeführt sind (z. B. durch inkrementelle Zustimmung angefordert), erfordern jedoch eine Benutzereinwilligung. |
| requestedAccessTokenVersion | Int32 | Gibt die Zugriffstokenversion an, die von dieser Ressource erwartet wird. Dadurch ändern sich die Version und das Format des erzeugten JWT unabhängig vom Endpunkt oder Client, der zum Anfordern des Zugriffstokens verwendet wird. Der verwendete Endpunkt, v1.0 oder v2.0, wird vom Client ausgewählt und wirkt sich nur auf die Version der ID-Token aus. Ressourcen müssen "requestedAccessTokenVersion " explizit konfigurieren, um das unterstützte Zugriffstokenformat anzugeben. Mögliche Werte für requestedAccessTokenVersion sind 1, 2 oder NULL. Wenn der Wert null ist, wird standardmäßig 1 verwendet. Dies entspricht dem v1.0-Endpunkt. Wenn signInAudience für die Anwendung als AzureADandPersonalMicrosoftAccount oder PersonalMicrosoftAccount konfiguriert ist, muss der Wert für diese Eigenschaft 2 sein. |
Beispiel:
"api": {
"acceptMappedClaims": true,
"knownClientApplications": [
"f7f9acfc-ae0c-4d6c-b489-0a81dc1652dd"
],
"oauth2PermissionScopes": [
{
"adminConsentDescription": "Allow the app to access resources on behalf of the signed-in user.",
"adminConsentDisplayName": "Access resource1",
"id": "<guid>",
"isEnabled": true,
"type": "User",
"userConsentDescription": "Allow the app to access resource1 on your behalf.",
"userConsentDisplayName": "Access resources",
"value": "user_impersonation"
}
],
"preAuthorizedApplications": [
{
"appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"permissionIds": [
"8748f7db-21fe-4c83-8ab5-53033933c8f1"
]
}
],
"requestedAccessTokenVersion": 2
}
Web-Attribut
| Schlüssel | Werttyp |
|---|---|
| Web | webApplication-Ressourcentyp |
Gibt Einstellungen für eine Webanwendung an. Es enthält vier Eigenschaften.
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| homePageUrl | Schnur | Startseite oder Landing Page der Anwendung. |
| implicitGrantSettings | implicitGrantSettings | Gibt an, ob diese Webanwendung Token unter Verwendung des impliziten OAuth 2.0-Flusses anfordern kann. |
| logoutUrl | Schnur | Gibt die URL an, die vom Autorisierungsdienst von Microsoft verwendet wird, um einen Benutzer mithilfe von Front-Channel-, Back-Channel- oder SAML-Abmeldungsprotokollen abzumelden. |
| redirectUris | Zeichenfolgensammlung | Gibt die URLs an, an die Benutzertoken für die Anmeldung gesendet werden, oder die Redirect-URIs, an die OAuth 2.0-Autorisierungscodes und Zugriffstoken in der Webplattform gesendet werden. |
Beispiel:
"web": {
"homePageUrl": "String",
"implicitGrantSettings": {
"enableIdTokenIssuance": "Boolean",
"enableAccessTokenIssuance": "Boolean"
},
"logoutUrl": "String",
"redirectUris": [
"String"
]
}
Spa-Attribut
| Schlüssel | Werttyp |
|---|---|
| Spa | spaApplication-Ressourcentyp |
Gibt Einstellungen für eine Single-Page-Webanwendung an, einschließlich Abmelde-URLs und Umleitungs-URIs für Autorisierungscodes und Zugriffstoken.
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| redirectUris | Zeichenfolgensammlung | Gibt die URLs an, an die Benutzertoken für die Anmeldung gesendet werden, oder die Umleitungs-URIs, an die OAuth 2.0-Autorisierungscodes und Zugriffstoken gesendet werden. |
Beispiel:
"spa": {
"redirectUris": [
"String"
]
}
publicClient-Attribut
| Schlüssel | Werttyp |
|---|---|
| publicClient | publicClientApplication-Ressourcentyp |
Legt Einstellungen für Nicht-Web-Apps oder Nicht-Web-APIs fest (z. B. iOS, Android, mobile oder andere öffentliche Clients wie eine installierte Anwendung, die auf einem Desktop-Gerät läuft).
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| redirectUris | Zeichenfolgensammlung | Gibt die URLs an, an die Benutzertoken für die Anmeldung gesendet werden, oder die Umleitungs-URIs, an die OAuth 2.0-Autorisierungscodes und Zugriffstoken gesendet werden. |
Beispiel:
"publicClient": {
"redirectUris": [
"String"
]
}
Häufige Probleme
Grenzwerte für das Manifest
Ein Anwendungsmanifest verfügt über mehrere Attribute, die als Sammlungen bezeichnet werden, beispielsweise „appRoles“, „keyCredentials“, „knownClientApplications“, „identifierUris“, „redirectUris“, „requiredResourceAccess“ und „oauth2PermissionScopes“. Im gesamten Anwendungsmanifest für jede Anwendung wurde die Gesamtanzahl von Einträgen in allen kombinierten Sammlungen auf 1200 begrenzt. Wenn Sie vorher im Anwendungsmanifest 100 AppRoles angeben, können Sie in allen anderen kombinierten Sammlungen, aus denen das Manifest besteht, nur noch 1.100 weitere Einträge verwenden.
Hinweis
Falls Sie versuchen, mehr als 1200 Einträge im Anwendungsmanifest hinzuzufügen, wird möglicherweise ein Fehler "Fehler beim Aktualisieren der Anwendung xxxxxx angezeigt. Fehlerdetails: Die Größe des Manifests hat den Grenzwert überschritten. Bitte reduzieren Sie die Anzahl der Werte, und versuchen Sie es erneut."
Problembehandlung bei der Manifestmigration vom Azure AD Graph-Format in das Microsoft Graph-Format
Wenn Sie ein zuvor heruntergeladenes App-Manifest im Azure AD Graph-Format hochladen, erhalten Sie möglicherweise die folgende Fehlermeldung:
Die Anwendung {Anwendungsname} konnte nicht aktualisiert werden. Fehlerdetails: ungültige Eigenschaft '{Eigenschaftenname}'.**
Dies könnte auf die Migration von Azure AD Graph zu Microsoft Graph App-Manifest zurückzuführen sein. Zunächst sollten Sie überprüfen, ob sich das App-Manifest im Azure AD Graph-Format befindet. Wenn dies der Grund ist, sollten Sie das App-Manifest in das Microsoft Graph-Format konvertieren.
Ich kann das Attribut "trustedCertificateSubjects" nicht finden.
Dies ist eine interne Microsoft-Eigenschaft. Das Portal zeigt v1.0-Version des MS Graph-App-Manifests an, während diese Eigenschaft nur in der Betaversion des MS Graph-App-Manifests vorhanden ist. Bitte bearbeiten Sie diese Eigenschaft weiterhin mithilfe des Azure AD Graph-App-Manifests im Entra-Portal. Wir werden die Betaversion des MS Graph-App-Manifests im Entra-Portal verfügbar machen, bevor das Azure AD Graph-App-Manifest veraltet ist.
Nächste Schritte
Weitere Informationen zur Beziehung zwischen den Anwendungs- und Dienstprinzipalobjekten einer App finden Sie unter Anwendungs- und Dienstprinzipalobjekte in Microsoft Entra ID.
Im Microsoft Identity Platform-Entwickler-Glossar finden Sie Definitionen einiger Kernkonzepte für Microsoft Identity Platform-Entwickler.
Bitte geben Sie uns über den folgenden Kommentarabschnitt Ihr Feedback, um uns bei der Verbesserung unserer Inhalte zu unterstützen.