Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los permisos del registro de aplicaciones disponibles actualmente para las definiciones de rol personalizado en Microsoft Entra ID. Estos permisos permiten a los administradores administrar registros de aplicaciones con niveles de acceso específicos, lo que garantiza una administración segura y eficaz de las aplicaciones dentro de la organización.
Requisitos de licencia
El uso de esta característica requiere una licencia P1 de Microsoft Entra ID. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.
Permisos para administrar aplicaciones de un solo inquilino
Al elegir los permisos para el rol personalizado, puede conceder acceso para administrar únicamente las aplicaciones de un solo inquilino. Las aplicaciones de un solo inquilino únicamente están disponibles para los usuarios de la organización Microsoft Entra ID en la que se registra la aplicación.
En la definición de las aplicaciones de inquilino único se indica que tienen tipos de cuenta compatibles establecidos en "Solo cuentas en este directorio organizativo". En Graph API, las aplicaciones de inquilino único tienen la propiedad signInAudience establecida en "AzureADMyOrg".
Para conceder acceso para administrar únicamente aplicaciones de un solo inquilino, use los permisos indicados a continuación con el subtipo applications.myOrganization. Por ejemplo, microsoft.directory/applications.myOrganization/basic/update.
Vea la información general sobre los roles personalizados para obtener una explicación del subtipo de términos, el permiso y el conjunto de propiedades. La siguiente información es específica de los registros de aplicaciones.
Creación y eliminación
Hay dos permisos disponibles para conceder la capacidad de crear registros de aplicaciones, cada uno con un comportamiento diferente.
microsoft.directory/applications/createAsOwner
La asignación de este permiso hace que el creador se agregue como el primer propietario del registro de aplicación creado. El registro de aplicación creado cuenta para la cuota de 250 objetos creados del creador.
microsoft.directory/applications/create
Al conceder este permiso se impide que el creador se agregue como primer propietario del registro de la aplicación y se excluye el registro de la aplicación de la cuota de 250 objetos del creador. Use este permiso con precaución, ya que no hay nada que impida que la persona asignada cree registros de aplicaciones hasta que se alcance la cuota de nivel de directorio.
Si se asignan ambos permisos, el permiso /create tiene prioridad. Aunque el permiso /createAsOwner no agrega automáticamente el creador como primer propietario, los propietarios se pueden especificar durante la creación del registro de aplicaciones al usar Graph API o los cmdlets de PowerShell.
La creación de permisos concede acceso al comando Nuevo registro.
Hay dos permisos disponibles para conceder la capacidad de crear registros de aplicaciones:
microsoft.directory/aplicaciones/eliminar
Permite eliminar registros de aplicaciones independientemente del subtipo incluyendo aplicaciones de un solo inquilino y de varios inquilinos.
microsoft.directorio/aplicaciones.miOrganización/eliminar
Permite eliminar los registros de aplicaciones restringidos a aquellos a los que solo se puede acceder con las cuentas de la organización o con las aplicaciones de un solo inquilino (subtipo de myOrganization).
Nota
Al asignar un rol que contiene permisos de creación, la asignación de roles debe realizarse en el ámbito del directorio. Un permiso de creación asignado en un ámbito de recursos no concede la posibilidad de crear registros de aplicaciones.
Lectura
Todos los usuarios miembros de la organización pueden leer la información de registro de aplicaciones de forma predeterminada. Sin embargo, los usuarios invitados y las entidades de servicio de la aplicación no pueden. Si pretende asignar un rol a una aplicación o a un usuario invitado, debe incluir los permisos de lectura correspondientes.
microsoft.directory/applications/allProperties/read
Permite leer todas las propiedades de aplicaciones de un solo inquilino y de varios inquilinos fuera de propiedades que no se pueden leer en ninguna situación, como las credenciales.
microsoft.directory/applications.myOrganization/allProperties/read
Concede los mismos permisos que microsoft.directory/applications/allProperties/read, pero solo para las aplicaciones de un solo inquilino.
microsoft.directory/applications/owners/read
Concede la capacidad de leer la propiedad de propietarios en aplicaciones de un solo inquilino y de varios inquilinos. Concede acceso a todos los campos de la página de propietarios del registro de aplicaciones:
microsoft.directory/applications/standard/read
Concede acceso para leer las propiedades de registro de aplicación estándar. Esto incluye las propiedades de las páginas de registro de aplicación.
microsoft.directory/applications.myOrganization/standard/read
Concede los mismos permisos que microsoft.directory/applications/standard/read, pero solo para las aplicaciones de un solo inquilino.
Actualizar
Los permisos "Actualizar" en Microsoft Entra ID permiten a los administradores modificar varias propiedades de los registros de aplicaciones. Estos permisos son esenciales para mantener y administrar aplicaciones de un solo inquilino y de varios. En función del permiso específico concedido, los administradores pueden actualizar propiedades como tipos de cuenta admitidos, configuración de autenticación, detalles de personalización de marca, etc. A continuación se muestra una lista detallada de los permisos de actualización disponibles y sus funcionalidades específicas.
microsoft.directory/applications/allProperties/update
Permite actualizar todas las propiedades de las aplicaciones de un solo inquilino y de varios inquilinos.
microsoft.directory/applications.myOrganization/allProperties/update
Concede los mismos permisos que microsoft.directory/applications/allProperties/update, pero solo para las aplicaciones de un solo inquilino.
microsoft.directory/applications/audience/update
Permite actualizar la propiedad de tipo de cuenta admitido (signInAudience) en aplicaciones de un solo inquilino y de varios inquilinos.
microsoft.directory/applications.myOrganization/audience/update
Concede los mismos permisos que microsoft.directory/applications/audience/update, pero solo para las aplicaciones de un solo inquilino.
microsoft.directory/applications/authentication/update
Permite actualizar la dirección URL de respuesta, la dirección URL de cierre de sesión, el flujo implícito y las propiedades de dominio del publicador en aplicaciones de un solo inquilino y de varios inquilinos. Concede acceso a todos los campos de la página de autenticación del registro de aplicaciones, excepto a los tipos de cuenta compatibles:
microsoft.directory/applications.myOrganization/authentication/update
Concede los mismos permisos que microsoft.directory/applications/authentication/update, pero solo para las aplicaciones de un solo inquilino.
microsoft.directory/applications/basic/update
Permite actualizar el nombre, el logotipo, la dirección URL de la página principal, la dirección URL de los términos de servicio y las propiedades de la dirección URL de la declaración de privacidad en aplicaciones de un solo inquilino y de varios inquilinos. Concede acceso a todos los campos de la página de personalización de marca del registro de aplicaciones:
microsoft.directory/applications.myOrganization/basic/update
Concede los mismos permisos que microsoft.directory/applications/basic/update, pero solo para las aplicaciones de un solo inquilino.
microsoft.directory/applications/credentials/update
Permite actualizar las propiedades de certificados y secretos de cliente en aplicaciones de un solo inquilino y de varios inquilinos. Concede acceso a todos los campos de la página de certificados y secretos del registro de aplicaciones:
microsoft.directory/applications.myOrganization/credentials/update
Concede los mismos permisos que microsoft.directory/applications/credentials/update, pero solo para las aplicaciones de un solo inquilino.
microsoft.directory/applications/owners/update
Permite actualizar la propiedad de propietario en aplicaciones de un solo inquilino y de varios inquilinos. Concede acceso a todos los campos de la página de propietarios del registro de aplicaciones:
microsoft.directory/applications.myOrganization/owners/update
Concede los mismos permisos que microsoft.directory/applications/owners/update, pero solo para las aplicaciones de un solo inquilino.
microsoft.directory/applications/permissions/update
Este permiso permite actualizar varias propiedades en aplicaciones de un solo inquilino y de varios inquilinos, incluidos los permisos delegados, los permisos de aplicación, las aplicaciones cliente autorizadas, los permisos obligatorios y las propiedades de consentimiento. No concede la capacidad de realizar el consentimiento. Concede acceso a todos los campos de las páginas Permisos de API y Exponer una API del registro de aplicaciones:
microsoft.directory/applications.myOrganization/permissions/update
Concede los mismos permisos que microsoft.directory/applications/permissions/update, pero solo para las aplicaciones de un solo inquilino.