tipo de recurso application
Espacio de nombres: microsoft.graph
Representa una aplicación. Cualquier aplicación que externaliza la autenticación a Microsoft Entra ID debe registrarse en la plataforma de identidad de Microsoft. El registro de la aplicación implica indicar a Microsoft Entra ID sobre la aplicación, incluida la dirección URL donde se encuentra, la dirección URL para enviar respuestas después de la autenticación, el URI para identificar la aplicación, etc.
Se hereda de directoryObject.
Este recurso es de tipo abierto y permite que pasen otras propiedades.
Este recurso admite:
- que agregue sus propios datos a las propiedades personalizadas como extensiones.
- El uso de una consulta delta para realizar un seguimiento de adiciones, eliminaciones y actualizaciones incrementales al proporcionar una función delta.
- Sintaxis de clave alternativa. La
appIdpropiedad es una clave alternativa compatible. Para obtener más información, vea Obtener aplicación.
Métodos
| Método | Tipo de valor devuelto | Descripción |
|---|---|---|
| List | Colección application | Permite recuperar la lista de aplicaciones de esta organización. |
| Crear | application | Permite crear (registrar) una aplicación. |
| Get | application | Permite leer las propiedades y las relaciones del objeto de la aplicación. |
| Actualizar | Ninguno | Permite actualizar el objeto application. |
| Upsert | application | Cree una nueva aplicación si no existe o actualice las propiedades de una aplicación existente. |
| Delete | Ninguno | Permite eliminar el objeto application. |
| Get delta | application | Permite obtener aplicaciones recién creadas, actualizadas o eliminadas sin tener que realizar una lectura completa de toda la colección de recursos. |
| Elementos eliminados | ||
| Lista | Colección directoryObject | Permite recuperar una lista de aplicaciones eliminadas recientemente. |
| Get | directoryObject | Permite recuperar las propiedades de una aplicación eliminada recientemente. |
| Restaurar | directoryObject | Permite restaurar una aplicación eliminada recientemente. |
| Eliminar permanentemente | Ninguno | Elimine permanentemente una aplicación. |
| Enumerar elementos eliminados que son propiedad del usuario | Colección directoryObject | Recupere las aplicaciones eliminadas en el espacio empresarial en los últimos 30 días y que son propiedad de un usuario. |
| Certificados y secretos | ||
| Add password | passwordCredential | Permite agregar una contraseña segura a una aplicación. |
| Remove password | passwordCredential | Permite quitar una contraseña de una aplicación. |
| Agregar clave | keyCredential | Agregue una credencial de clave a una aplicación. |
| Quitar clave | Ninguna | Quitar una credencial de clave de una aplicación. |
| Propietarios | ||
| Lista | Colección directoryObject | Obtenga los propietarios de una aplicación. |
| Add | directoryObject | Asigne un propietario a una aplicación. Los propietarios de aplicaciones pueden ser usuarios o entidades de servicio. |
| Remove | None | Quita un propietario de una aplicación. Como procedimiento recomendado, las aplicaciones deben tener al menos dos propietarios. |
| Editor verificado | ||
| Set | Ninguno | Establecer el editor verificado de una aplicación. |
| Unset | Ninguno | Anular el editor verificado de una aplicación. |
Propiedades
Importante
El uso específico de $filter y el parámetro de consulta $search solo se admite cuando se usa el encabezado ConsistencyLevel establecido en eventual y $count. Para obtener más información, vea Funcionalidades avanzadas de consulta en objetos de directorio.
| Propiedad | Tipo | Descripción |
|---|---|---|
| addIns | Colección addIn | Permite definir el comportamiento personalizado que un servicio que consume puede usar para llamar a una aplicación en contextos específicos. Por ejemplo, las aplicaciones que pueden representar secuencias de archivos pueden establecer la propiedad addIns para su funcionalidad "FileHandler". Esto permite que servicios como Microsoft 365 llamen a la aplicación en el contexto de un documento en el que el usuario está trabajando. |
| api | apiApplication | Especifica la configuración de una aplicación que implementa una API web. |
| appId | Cadena | Identificador único de la aplicación que Microsoft Entra ID asigna a una aplicación. No admite valores NULL. Solo lectura. Tecla alternativa. Admite $filter (eq). |
| applicationTemplateId | Cadena | Identificador único de applicationTemplate. Admite $filter (eq, not y ne). Solo lectura.
null si la aplicación no se creó a partir de una plantilla de aplicación. |
| appRoles | Colección appRole | Colección de roles definidos para la aplicación. Con las asignaciones de rol de la aplicación, se pueden asignar estos roles a los usuarios, grupos u otras entidades de servicio asociadas con otras aplicaciones. No admite valores NULL. |
| certificación | certificación | Especifica el estado de certificación de la aplicación. |
| createdDateTime | DateTimeOffset | Fecha y hora en que se registró la aplicación. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z. Solo lectura. Admite $filter (eq, ne, not, ge, le, in y eq en nullvalores ) y $orderby. |
| deletedDateTime | DateTimeOffset | Fecha y hora en que se eliminó la aplicación. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z. Solo lectura. |
| description | Cadena | Campo de texto libre para proporcionar una descripción del objeto de aplicación a los usuarios finales. El tamaño máximo permitido es de 1024 caracteres. Admite $filter (eq, ne, not, ge, le, startsWith) y $search. |
| disabledByMicrosoftStatus | Cadena | Especifica si Microsoft ha deshabilitado la aplicación registrada. Los valores posibles son: null (valor predeterminado), NotDisabledy DisabledDueToViolationOfServicesAgreement (entre los motivos se incluyen actividades sospechosas, abusivas o malintencionadas, o una infracción del Contrato de servicios de Microsoft). Admite $filter (eq, ne y not). |
| displayName | Cadena | Nombre para mostrar de la aplicación. Admite $filter (eq, ne, not, ge, le, in, startsWith y eq en valores null), $search y $orderby. |
| groupMembershipClaims | Cadena | Permite configurar la notificación groups emitida en un token de acceso OAuth 2.0 o de usuario que la aplicación espera. Para establecer este atributo, use uno de los siguientes valores de cadena válidos: None, SecurityGroup (para los grupos de seguridad y los roles de Microsoft Entra), All (esto obtiene todos los grupos de seguridad, grupos de distribución y roles de directorio de Microsoft Entra de los que es miembro el usuario que ha iniciado sesión). |
| id | Cadena | Identificador único del objeto de aplicación. Esta propiedad se conoce como Id. de objeto en el Centro de administración de Microsoft Entra. Heredado de directoryObject. Clave. No admite valores NULL. Solo lectura. Admite $filter (eq, ne, not, in). |
| identifierUris | Colección string | También conocido como URI de identificador de aplicación, este valor se establece cuando se usa una aplicación como una aplicación de recursos. IdentifierUris actúa como prefijo para los ámbitos a los que se hace referencia en el código de la API y debe ser único globalmente. Puede usar el valor predeterminado proporcionado, que tiene el formato api://<appId>, o especificar un URI más legible como https://contoso.com/api. Para obtener más información sobre los patrones y procedimientos recomendados válidos de identifierUris, consulte Procedimientos recomendados de seguridad del registro de aplicaciones de Microsoft Entra. No admite valores NULL. Admite $filter (eq, ne, ge, le y startsWith). |
| info | informationalUrl | Información básica del perfil de la aplicación, como las direcciones URL de marketing, soporte técnico, términos de servicio y declaración de privacidad de la aplicación. Las condiciones del servicio y la declaración de privacidad se exponen a los usuarios mediante la experiencia de consentimiento del usuario. Para obtener más información, consulta Cómo: Agregar términos de servicio y declaración de privacidad para aplicaciones de Microsoft Entra registradas. Admite $filter (eq, ne, not, ge, le y eq en valores null). |
| isDeviceOnlyAuthSupported | Booleano | Especifica si esta aplicación admite la autenticación de dispositivo sin un usuario. El valor predeterminado es false. |
| isFallbackPublicClient | Boolean | Especifica el tipo de aplicación de reserva como un cliente público, por ejemplo, una aplicación instalada que se ejecuta en un dispositivo móvil. El valor predeterminado es false, lo que significa que el tipo de aplicación de reserva es cliente confidencial, como una aplicación web. Hay ciertos escenarios en los que Microsoft Entra ID no puede determinar el tipo de aplicación cliente. Por ejemplo, el flujo ROPC donde se configura sin especificar un URI de redireccionamiento. En esos casos, Microsoft Entra ID interpreta el tipo de aplicación en función del valor de esta propiedad. |
| keyCredentials | Colección keyCredential | La colección de credenciales de clave asociada a la aplicación. No admite valores NULL. Admite $filter (eq, not, ge, le). |
| logo | Stream | Logotipo principal de la aplicación. No admite valores NULL. |
| nativeAuthenticationApisEnabled | nativeAuthenticationApisEnabled | Especifica si las API de autenticación nativa están habilitadas para la aplicación. Los valores posibles son: none y all. El valor predeterminado es none. Para obtener más información, consulte Autenticación nativa. |
| notas | Cadena | Notas relevantes para la administración de la aplicación. |
| oauth2RequiredPostResponse | Booleano | Especifica si, como parte de las solicitudes de token de OAuth 2.0, Microsoft Entra ID permite las solicitudes POST, en lugar de las solicitudes GET. El valor predeterminado es false, que especifica que solo se permitirán solicitudes GET. |
| optionalClaims | optionalClaims | Los desarrolladores de aplicaciones pueden configurar notificaciones opcionales en sus aplicaciones de Microsoft Entra para especificar las notificaciones enviadas a su aplicación por el servicio de token de seguridad de Microsoft. Para obtener más información, consulte Instrucciones: Proporcionar notificaciones opcionales a la aplicación. |
| parentalControlSettings | parentalControlSettings | Especifica opciones de configuración de control parental para una aplicación. |
| passwordCredentials | Colección passwordCredential | Conjunto de credenciales de contraseña asociadas a la aplicación. No admite valores NULL. |
| publicClient | publicClientApplication | Especifica opciones de configuración para clientes instalados, como dispositivos móviles o de escritorio. |
| publisherDomain | Cadena | Dominio del editor verificado de la aplicación. Solo lectura. Para más información, consulte Cómo: configurar el dominio de editor de una aplicación. Admite $filter (eq, ne, ge, le y startsWith). |
| requestSignatureVerification | requestSignatureVerification | Especifica si esta aplicación requiere el identificador de Microsoft Entra para comprobar las solicitudes de autenticación firmadas. |
| requiredResourceAccess | Colección requiredResourceAccess | Especifica los recursos a los que necesita obtener acceso la aplicación. Esta propiedad también especifica el conjunto de permisos delegados y roles de aplicación que necesita para cada uno de esos recursos. Esta configuración de acceso a los recursos necesarios controla la experiencia del consentimiento. No se pueden configurar más de 50 servicios de recursos (API). A partir de mediados de octubre de 2021, el número total de permisos necesarios no debe superar los 400. Para obtener más información, consulte Límites de permisos solicitados por aplicación. No admite valores NULL. Admite $filter (eq, not, ge, le). |
| samlMetadataUrl | Cadena | La dirección URL donde el servicio muestra los metadatos de SAML para la federación. Esta propiedad solo es válida para aplicaciones de un solo inquilino. Admite un valor NULL. |
| serviceManagementReference | Cadena | Hace referencia a la información de contacto de la aplicación o servicio de una base de datos de administración de recursos o servicios. Admite un valor NULL. |
| servicePrincipalLockConfiguration | servicePrincipalLockConfiguration | Especifica si las propiedades confidenciales de una aplicación multiinquilino deben bloquearse para su edición después de aprovisionar la aplicación en un inquilino. Admite valores NULL.
null de forma predeterminada. |
| signInAudience | Cadena | Especifica las cuentas de Microsoft compatibles con la aplicación actual. Los valores posibles son: AzureADMyOrg (valor predeterminado), AzureADMultipleOrgs, AzureADandPersonalMicrosoftAccounty PersonalMicrosoftAccount. Vea más información en la tabla. El valor de este objeto también limita el número de permisos que puede solicitar una aplicación. Para obtener más información, consulte Límites de permisos solicitados por aplicación. El valor de esta propiedad tiene implicaciones en otras propiedades de objeto de aplicación. Como resultado, si cambia esta propiedad, es posible que primero tenga que cambiar otras propiedades. Para obtener más información, vea Diferencias de validación para signInAudience. Admite $filter (eq, ne y not). |
| spa | spaApplication | Especifica la configuración de aplicación de una sola página, incluidas las direcciones URL de cierre de sesión y los URI de redirección para los códigos de autorización y los tokens de acceso. |
| tags | Colección string | Cadenas personalizadas que pueden usarse para clasificar por categorías e identificar aplicaciones. No admite valores NULL. Las cadenas agregadas aquí también aparecerán en la propiedad tags de las entidades de servicio asociadas. Admite $filter (eq, not, ge, le, startsWith) y $search. |
| tokenEncryptionKeyId | Cadena | Especifica el valor keyId de una clave pública de la colección keyCredentials. Cuando se configura, Microsoft Entra ID cifra todos los tokens que emite mediante la clave a la que apunta esta propiedad. El código de aplicación que recibe el token cifrado debe usar la clave privada coincidente para descifrar el token a fin de poder usarlo para el usuario que ha iniciado sesión. |
| uniqueName | Cadena | Identificador único que se puede asignar a una aplicación y usar como clave alternativa. Inmutable. Solo lectura. |
| verifiedPublisher | verifiedPublisher | Especifica el editor comprobado de la aplicación. Para más información acerca de cómo la verificación del publicador ayuda a admitir la seguridad, la confiabilidad y el cumplimiento de las aplicaciones, consulte Verificación del editor. |
| web | webApplication | Especifica opciones de configuración para una aplicación web. |
signInAudience valores
| Valor | Descripción |
|---|---|
| AzureADMyOrg | Usuarios con una cuenta profesional o educativa de Microsoft en el inquilino de Microsoft Entra de mi organización (inquilino único). Este es el valor predeterminado de la propiedad signInAudience. |
| AzureADMultipleOrgs | Usuarios con una cuenta profesional o educativa de Microsoft en el inquilino de Microsoft Entra de cualquier organización (multiinquilino). |
| AzureADandPersonalMicrosoftAccount | Usuarios con una cuenta microsoft personal o una cuenta profesional o educativa en el inquilino de Microsoft Entra de cualquier organización. Para la autenticación de usuarios mediante los flujos de usuario de Azure AD B2C, use AzureADandPersonalMicrosoftAccount. Este valor permite el conjunto más amplio de identidades de usuario, incluyendo las cuentas locales y las identidades de usuario de Microsoft, Facebook, Google, Twitter o cualquier otro proveedor de OpenID Connect. |
| PersonalMicrosoftAccount | Solo usuarios con una cuenta de Microsoft personal. |
Límites de permisos solicitados por aplicación
Microsoft Entra ID limita el número de permisos que una aplicación cliente puede solicitar y consentir. Estos límites dependen del signInAudience valor de una aplicación, que se muestra en el manifiesto de la aplicación.
| signInAudience | Usuarios permitidos | Permisos máximos que la aplicación puede solicitar | Permisos máximos Microsoft Graph que la aplicación puede solicitar | Permisos máximos que se pueden consentir en una sola solicitud |
|---|---|---|---|---|
| AzureADMyOrg | Usuarios de la organización donde está registrada la aplicación | 400 | 400 | Unos 155 permisos delegados y unos 300 permisos de aplicación |
| AzureADMultipleOrgs | Usuarios de cualquier organización de Microsoft Entra | 400 | 400 | Unos 155 permisos delegados y unos 300 permisos de aplicación |
| PersonalMicrosoftAccount | Usuarios consumidores (como cuentas de Outlook.com o Live.com) | 30 | 30 | 30 |
| AzureADandPersonalMicrosoftAccount | Usuarios consumidores y usuarios de cualquier organización de Microsoft Entra | 30 | 30 | 30 |
Relaciones
Importante
El uso específico del $filter parámetro de consulta solo se admite cuando se usa el encabezado ConsistencyLevel establecido en eventual y $count. Para obtener más información, vea Funcionalidades avanzadas de consulta en objetos de directorio.
| Relación | Tipo | Descripción |
|---|---|---|
| appManagementPolicies | Colección appManagementPolicy | AppManagementPolicy aplicado a esta aplicación. |
| createdOnBehalfOf | directoryObject | Admite $filter (/$count eq 0, /$count ne 0). Solo lectura. |
| extensionProperties | Colección extensionProperty | Solo lectura. Admite valores NULL. Admite $expand y $filter (/$count eq 0, /$count ne 0). |
| federatedIdentityCredentials | Colección federatedIdentityCredential | Identidades federadas para aplicaciones. Admite $expand y $filter (startsWith, /$count eq 0, /$count ne 0). |
| owners | Colección directoryObject | Objetos de directorio que son propietarios de la aplicación. Solo lectura. Admite valores NULL. Admite $expand, $filter (/$count eq 0, /$count ne 0, /$count eq 1, /$count ne 1) y $select anidado en $expand. |
| sincronización | sincronización | Representa la funcionalidad de sincronización de identidades de Microsoft Entra a través de Microsoft Graph API. |
Representación JSON
La siguiente representación JSON muestra el tipo de recurso.
{
"addIns": [{"@odata.type": "microsoft.graph.addIn"}],
"api": {"@odata.type": "microsoft.graph.apiApplication"},
"appId": "String",
"applicationTemplateId": "String",
"appRoles": [{"@odata.type": "microsoft.graph.appRole"}],
"certification": {"@odata.type": "microsoft.graph.certification"},
"createdDateTime": "String (timestamp)",
"deletedDateTime": "String (timestamp)",
"disabledByMicrosoftStatus": "String",
"displayName": "String",
"groupMembershipClaims": "String",
"id": "String (identifier)",
"identifierUris": ["String"],
"info": {"@odata.type": "microsoft.graph.informationalUrl"},
"isDeviceOnlyAuthSupported": false,
"isFallbackPublicClient": false,
"keyCredentials": [{"@odata.type": "microsoft.graph.keyCredential"}],
"logo": "Stream",
"nativeAuthenticationApisEnabled": "String",
"notes": "String",
"oauth2RequiredPostResponse": false,
"optionalClaims": {"@odata.type": "microsoft.graph.optionalClaims"},
"parentalControlSettings": {"@odata.type": "microsoft.graph.parentalControlSettings"},
"passwordCredentials": [{"@odata.type": "microsoft.graph.passwordCredential"}],
"publicClient": {"@odata.type": "microsoft.graph.publicClientApplication"},
"publisherDomain": "String",
"requestSignatureVerification": {"@odata.type": "microsoft.graph.requestSignatureVerification"},
"requiredResourceAccess": [{"@odata.type": "microsoft.graph.requiredResourceAccess"}],
"servicePrincipalLockConfiguration": {"@odata.type": "microsoft.graph.servicePrincipalLockConfiguration"},
"serviceManagementReference": "String",
"signInAudience": "String",
"spa": {"@odata.type": "microsoft.graph.spaApplication"},
"tags": ["String"],
"tokenEncryptionKeyId": "String",
"uniqueName": "String",
"verifiedPublisher": {"@odata.type": "microsoft.graph.verifiedPublisher"},
"web": {"@odata.type": "microsoft.graph.webApplication"}
}