Autorisations d’inscription d’application pour les rôles personnalisés dans Microsoft Entra ID

  • Article

Cet article détaille les autorisations d’inscription d’application actuellement disponibles pour les définitions de rôles personnalisés dans Microsoft Entra ID.

Conditions de licence :

L'utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.

Autorisations pour la gestion des applications à locataire unique

Lorsque vous choisissez les autorisations pour votre rôle personnalisé, vous avez la possibilité d’accorder l’accès uniquement pour gérer les applications à locataire unique. Les applications monolocataires sont uniquement disponibles pour les utilisateurs de l’organisation Microsoft Entra dans laquelle l’application est inscrite. Les applications monolocataires sont définies comme ayant des types de comptes pris en charge définis sur « Comptes dans ce répertoire d’organisation uniquement ». Dans l’API Graph, les applications monolocataires ont la propriété signInAudience définie sur « AzureADMyOrg ».

Pour accorder l’accès uniquement à la gestion des applications à locataire unique, utilisez les autorisations ci-dessous avec le sous-type applications.myOrganization. Par exemple, microsoft.directory/applications.myOrganization/basic/update.

Consultez la vue d’ensemble des rôles personnalisés pour obtenir une explication des termes généraux du sous-type, de l’autorisation et du jeu de propriétés. Les informations suivantes sont spécifiques aux inscriptions d’applications.

Créer et supprimer

Deux autorisations sont disponibles pour accorder la possibilité de créer des inscriptions d’applications, chacune avec un comportement différent :

microsoft.directory/applications/createAsOwner

En attribuant cette autorisation, le créateur est ajouté en tant que premier propriétaire de l'enregistrement de l'application créée. L'enregistrement de l'application créée est comptabilisé dans le quota de 250 objets créés du créateur.

microsoft.directory/applications/create

En attribuant cette autorisation, le créateur n’est pas ajouté en tant que premier propriétaire de l'enregistrement de l'application créée. L'enregistrement de l'application créée est comptabilisé dans le quota de 250 objets créés du créateur. Utilisez cette autorisation avec précaution, car rien n’empêche l’intervenant de créer des inscriptions d’applications tant que le quota au niveau du répertoire n’a pas été atteint.

Si les deux autorisations sont affectées, l’autorisation /create est prioritaire. Bien que l’autorisation /createAsOwner n’ajoute pas automatiquement le créateur comme premier propriétaire, les propriétaires peuvent être spécifiés lors de la création de l’inscription de l’application lors de l’utilisation des API Graph ou des cmdlets PowerShell.

Les autorisations de création autorisent l’accès à la commande Nouvelle inscription.

These permissions grant access to the New Registration portal command

Deux autorisations sont disponibles pour vous permettre de supprimer les inscriptions d’applications :

microsoft.directory/applications/delete

Octroie la possibilité de supprimer des inscriptions d’applications indépendamment du sous-type ; autrement dit, des applications monolocataires et multi-locataires.

microsoft.directory/applications.myOrganization/delete

Donne la possibilité de supprimer des inscriptions d’applications limitées à celles qui sont accessibles uniquement aux comptes de votre organisation ou à des applications monolocataires (sous-type myOrganization).

These permissions grant access to the Delete app registration command

Remarque

Lors de l’affectation d’un rôle qui contient des autorisations de création, l’attribution de rôle doit être effectuée au niveau de l’étendue du répertoire. Une autorisation de création affectée à une étendue de ressource n’accorde pas la possibilité de créer des inscriptions d’applications.

Lire

Tous les utilisateurs membres de l’organisation peuvent lire les informations d’inscription de l’application par défaut. Toutefois, cela n’est pas possible pour les utilisateurs invités et les principaux du service d’application. Si vous envisagez d’affecter un rôle à un utilisateur ou une application invité, vous devez inclure les autorisations de lecture appropriées.

microsoft.directory/applications/allProperties/read

Capacité de lire toutes les propriétés des applications monolocataires et multilocataires, en dehors des propriétés qui ne doivent être lues en aucun cas, telles que les informations d’identification.

microsoft.directory/applications.myOrganization/allProperties/read

Octroie les mêmes autorisations que microsoft.directory/applications/allProperties/read, mais uniquement pour les applications monolocataires.

microsoft.directory/applications/owners/read

Accorde la possibilité de lire la propriété des propriétaires sur des applications monolocataires et multi-locataires Octroie l’accès à tous les champs de la page propriétaires de l’inscription de l’application :

This permissions grants access to the app registration owners page

microsoft.directory/applications/standard/read

Accorde l’accès en lecture des propriétés d’inscription d’application standard. Y sont comprises les propriétés des pages d’inscription d’application.

microsoft.directory/applications.myOrganization/standard/read

Octroie les mêmes autorisations que microsoft.directory/applications/standard/read, mais uniquement pour les applications monolocataire.

Update

microsoft.directory/applications/allProperties/update

Capacité de mettre à jour toutes les propriétés des applications multi-locataires et mono-locataires.

microsoft.directory/applications.myOrganization/allProperties/update

Octroie les mêmes autorisations que microsoft.directory/applications/allProperties/update, mais uniquement pour les applications monolocataire.

microsoft.directory/applications/audience/update

Capacité de mettre à jour la propriété (signInAudience) des types de comptes pris en charge dans les applications à locataires multiples et à locataire unique.

This permission grants access to app registration supported account type property on authentication page

microsoft.directory/applications.myOrganization/audience/update

Octroie les mêmes autorisations que microsoft.directory/applications/audience/update, mais uniquement pour les applications monolocataire.

microsoft.directory/applications/authentication/update

Possibilité de mettre à jour les propriétés URL de réponse, URL de déconnexion, flux implicite et domaine du serveur de publication sur des applications monolocataires et multi-locataires. Octroie l’accès à tous les champs de la page d’authentification de l’inscription de l’application, à l’exception des types de comptes pris en charge :

Grants access to app registration authentication but not supported account types

microsoft.directory/applications.myOrganization/authentication/update

Octroie les mêmes autorisations que microsoft.directory/applications/authentication/update, mais uniquement pour les applications monolocataire.

microsoft.directory/applications/basic/update

Possibilité de mettre à jour le nom, le logo, l’URL de la page d’accueil, l’URL des conditions de service et les propriétés de l’URL de la déclaration de confidentialité sur les applications monolocataires et multilocataires. Octroie l’accès à tous les champs de la page de personnalisation de l’inscription d’application :

This permission grants access to the app registration branding page

microsoft.directory/applications.myOrganization/basic/update

Octroie les mêmes autorisations que microsoft.directory/applications/basic/update, mais uniquement pour les applications monolocataire.

microsoft.directory/applications/credentials/update

Possibilité de mettre à jour les propriétés des certificats et des secrets client sur des applications monolocataires et multi-locataires. Octroie l’accès à tous les champs de la page certificats et secrets d’inscription d’application :

This permission grants access to the app registration certificates & secrets page

microsoft.directory/applications.myOrganization/credentials/update

Octroie les mêmes autorisations que microsoft.directory/applications/credentials/update, mais uniquement pour les applications à locataire unique.

microsoft.directory/applications/owners/update

Possibilité de mettre à jour la propriété du propriétaire sur les applications monolocataires et multi-locataires. Octroie l’accès à tous les champs de la page propriétaires de l’inscription de l’application :

This permissions grants access to the app registration owners page

microsoft.directory/applications.myOrganization/owners/update

Octroie les mêmes autorisations que microsoft.directory/applications/owners/update, mais uniquement pour les applications monolocataire.

microsoft.directory/applications/permissions/update

Possibilité de mettre à jour les autorisations déléguées, les autorisations d’application, les applications clientes autorisées, les autorisations requises et d’accorder des propriétés de consentement sur des applications monolocataires et multi-locataires. N’accorde pas la possibilité d’effectuer un consentement. Octroie l’accès à tous les champs des autorisations de l’API d’inscription d’application et expose une page API :

This permissions grants access to the app registration API permissions page

This permissions grants access to the app registration Expose an API page

microsoft.directory/applications.myOrganization/permissions/update

Octroie les mêmes autorisations que microsoft.directory/applications/permissions/update, mais uniquement pour les applications monolocataire.

Étapes suivantes