Partager via


Type de ressource servicePrincipal

Espace de noms: microsoft.graph

Représente une instance d’une application dans un répertoire. Hérite de directoryObject.

Cette ressource prend en charge l’utilisation d’une requête delta pour effectuer un suivi des suppressions, des mises à jour et des ajouts incrémentiels à l’aide d’une fonction delta. Cette ressource est un type ouvert qui permet de transmettre d’autres propriétés.

Méthodes

Méthode Type renvoyé Description
List Collection servicePrincipal Récupérer une liste d’objets servicePrincipal.
Create servicePrincipal Créer un nouvel objet servicePrincipal.
Obtenir servicePrincipal Lit les propriétés et les relations de l’objet serviceprincipal.
Update servicePrincipal Mettre à jour l’objet servicePrincipal.
Upsert servicePrincipal Créez un servicePrincipal s’il n’existe pas ou mettez à jour les propriétés d’un servicePrincipal existant.
Supprimer Aucun Supprimer l’objet servicePrincipal.
Obtenir delta Collection servicePrincipal Obtenez des modifications incrémentielles des principaux de service.
Répertorier les objets créés collection directoryObject Procurez-vous une collection d’objets createdObject.
Répertorier les objets possédés collection directoryObject Obtenir une collection d’objets ownedObject.
Éléments supprimés
List collection directoryObject Récupérer une liste d’objets servicePrincipal
Obtenir directoryObject Récupérer les propriétés et les relations de l’objetservicePrincipal
Restaurer directoryObject Restaurer un objet servicePrincipal récemment supprimé
Supprimer définitivement Aucun Supprimer définitivement un objet servicePrincipal
Attribution de rôle d’application
Liste des appRoleAssignments Collection appRoleAssignment Obtenez les rôles d’application attribués à ce principal de service.
Ajouter appRoleAssignment appRoleAssignment Affecter un rôle d’application à ce principal de service.
Supprimer appRoleAssignment Aucun Supprimer une affectation de rôle d’application de ce principal de service.
Liste appRoleAssignedTo Collection appRoleAssignment Obtenir les rôles d’application attribués aux utilisateurs, groupes et principaux de service pour ce principal de service.
Ajouter appRoleAssignedTo appRoleAssignment Affectez un rôle d’application pour ce principal de service à un utilisateur, à un groupe ou à un principal de service.
Supprimer appRoleAssignedTo Aucun Supprimez une affectation de rôle d’application pour ce principal de service auprès d’un utilisateur, d’un groupe ou d’un principal de service.
Certificats et secrets
Ajouter un mot de passe passwordCredential Ajouter un mot de passe fort ou un secret à un servicePrincipal.
Supprimer le mot de passe passwordCredential Supprimer un mot de passe ou un secret d’un servicePrincipal.
Touche Ajouter keyCredential Ajouter une clé d’identification à une servicePrincipal.
Supprimer la touche Aucun Supprimer une information d’identification clé d’un servicePrincipal.
Ajouter un certificat de signature de jeton selfSignedCertificate Ajoutez un certificat auto-signé au principal du service. Principalement utilisé pour configurer des applications d’authentification unique SAML à partir de la galerie Microsoft Entra.
Classifications d’autorisations déléguées
List Collection delegatedPermissionClassification Obtenez les classifications d’autorisations pour les autorisations déléguées exposées par ce principal de service.
Add delegatedPermissionClassification Ajouter une classification d’autorisation pour une autorisation déléguée exposée par ce principal de service.
Remove Aucun Supprimer une classification d’autorisation pour une autorisation déléguée exposée par ce principal de service.
Octrois d’autorisations déléguées (OAuth2)
List Collection oAuth2PermissionGrant Obtenir les autorisations déléguées octroyant l’autorisation à ce principal de service d’accéder à une API au nom d’un utilisateur connecté.
Appartenance
Répertorier memberOf collection directoryObject Obtient les groupes dont ce principal de service est un membre direct, à partir de la propriété de navigation memberOf.
Lister le membre transitif de collection directoryObject Liste de groupes dont ce principal de service est membre. Cette opération est transitive et comprend les groupes dont ce principal de service est un membre imbriqué.
Vérifier des groupes de membres Collection de chaînes Vérifiez les appartenances dans une liste de groupes spécifiée.
Vérifier les objets membres Collection de chaînes Vérifiez l'appartenance à une liste spécifiée d'objets de groupe, de rôle d'annuaire ou d'unité administrative.
Obtenir des groupes de membres Collection de chaînes Obtenez la liste de groupes dont ce principal de service est membre.
Obtenir des objets de membre Collection de chaînes Obtenir la liste des groupes, des unités administratives et des rôles d’annuaire dont ce principal de service est membre.
Propriétaires
List collection directoryObject Obtenez les propriétaires d’un principal de service.
Add directoryObject Affecter un propriétaire à un principal de service. Les propriétaires de principal de service peuvent être des utilisateurs ou d’autres principaux de service.
Remove Aucun Supprimer un propriétaire d’un principal de service. Comme meilleure pratique recommandée, les principaux de service doivent avoir au moins deux propriétaires.

Propriétés

Importante

L’utilisation spécifique de $filter et du paramètre de requête $search n’est prise en charge que lorsque vous utilisez l’en-tête ConsistencyLevel défini sur eventual et $count. Pour plus d’informations, consultez Fonctionnalités de requête avancées sur les objets d’annuaire.

Propriété Type Description
accountEnabled Boolean Valeur true si le compte du principal de service est activé ; sinon, valeur false. Si la falsevaleur est définie sur , aucun utilisateur ne peut se connecter à cette application, même s’il lui est affecté. Prend en charge $filter (eq, ne, not, in).
addIns Collection addIn Définit un comportement personnalisé qu’un service d’utilisation peut utiliser pour appeler une application dans des contextes spécifiques. Par exemple, les applications qui peuvent afficher les flux de fichier peuvent spécifier la propriété addIns pour sa fonctionnalité « FileHandler ». Cela permet à des services tels que Microsoft 365 d’appeler l’application dans le contexte d’un document sur lequel l’utilisateur travaille.
alternativeNames String collection Permet de récupérer les principaux de service par abonnement, d’identifier les ID de groupe de ressources et de ressources complètes pour les identités managées. Prend en charge $filter (eq, not, ge, le, startsWith).
appDescription String La description présentée par l’application associée.
appDisplayName Chaîne Le nom d’affichage exposé par l’application associée.
appId Chaîne L’identificateur unique de l’application associée (sa propriété appId). Autre clé. Prend en charge $filter (eq, ne, not, in, startsWith).
applicationTemplateId String Identificateur unique de l’applicationTemplate. Prend en charge $filter (eq, not, ne). En lecture seule. null si le principal de service n’a pas été créé à partir d’un modèle d’application.
appOwnerOrganizationId Guid Contient l’ID de locataire où l’application est inscrite. Applicable uniquement aux entités de service sauvegardées par les applications. Prend en charge $filter (eq, ne, NOT, ge, le).
appRoleAssignmentRequired Booléen Spécifie si des utilisateurs ou d’autres entités de service doivent se voir octroyer une affectation de rôle d’application pour ce principal de service avant que les utilisateurs puissent se connecter ou que les applications puissent obtenir des jetons. La valeur par défaut est false. Ne peut pas accepter une valeur null.

Prend en charge $filter (eq, ne, NOT).
appRoles Collection de appRole Rôles exposés par l’application liée à ce principal de service. Pour plus d’informations, consultez la définition de propriété appRoles sur l’entité d’application . Ne pouvant accepter la valeur null.
customSecurityAttributes customSecurityAttributeValue Type complexe ouvert qui contient la valeur d’un attribut de sécurité personnalisé affecté à un objet d’annuaire. Pouvant accepter la valeur Null.

Renvoyé uniquement sur $select. Prend en charge $filter (eq, ne, not, startsWith). La valeur de filtre respecte la casse.
  • Pour lire cette propriété, l’application appelante doit recevoir l’autorisation CustomSecAttributeAssignment.Read.All . Pour écrire cette propriété, l’application appelante doit se voir attribuer les autorisations CustomSecAttributeAssignment.ReadWrite.All .
  • Pour lire ou écrire cette propriété dans les scénarios délégués, l’administrateur doit se voir attribuer le rôle Administrateur d’attribution d’attributs .
  • deletedDateTime DateTimeOffset Date et heure de suppression du principal de service. En lecture seule.
    description String Champ de texte gratuit pour fournir une description interne pour l’utilisateur final du principal du service. Les portails des utilisateurs finaux tels que MyApps affichent la description de l’application dans ce champ. La taille maximale autorisée est de 1 024 caractères. Prend en charge $filter (eq, ne, not, ge, le, startsWith, $search).
    disabledByMicrosoftStatus String Spécifie si Microsoft a désactivé l’application inscrite. Les valeurs possibles sont : null (valeur par défaut), NotDisabledet DisabledDueToViolationOfServicesAgreement (les raisons incluent des activités suspectes, abusives ou malveillantes, ou une violation du Contrat de services Microsoft).

    Prend en charge $filter (eq, ne, not).
    displayName Chaîne Le nom d’affichage pour le principal de service. Prend en charge $filter (eq, ne, not, ge, le, in, startsWithet eq sur null valeurs), $searchet $orderby.
    homepage String Page d’accueil ou page d’accueil de l’application.
    id String Identificateur unique du principal de service. Hérité de directoryObject. Clé. Ne peut pas avoir la valeur Null. En lecture seule. Prend en charge $filter (eq, ne, not, in).
    info informationalUrl Les informations de profil de base de l’application acquise, telles que le marketing de l’application, le support, les conditions d’utilisation et les URL de déclaration de confidentialité. Les conditions d’utilisation et la déclaration de confidentialité sont présentées aux utilisateurs par le biais de l’expérience de consentement de l’utilisateur. Pour plus d’informations, consultez Guide pratique pour ajouter des conditions d’utilisation et déclaration de confidentialité pour les applications Microsoft Entra inscrites.

    Prend en charge $filter (eq, ne, not, ge, leet eq sur null valeurs).
    keyCredentials Collection keyCredential Collection d’informations d’identification clées associées au principal de service. Ne pouvant accepter la valeur null. Prend en charge $filter (eq, not, ge, le).
    loginUrl String Spécifie l’URL où le fournisseur de services redirige l’utilisateur vers Microsoft Entra ID pour s’authentifier. Microsoft Entra ID utilise l’URL pour lancer l’application à partir de Microsoft 365 ou du Microsoft Entra Mes applications. Lorsqu’il est vide, Microsoft Entra ID effectue l’authentification lancée par le fournisseur d’identité pour les applications configurées avec l’authentification unique SAML. L’utilisateur lance l’application à partir de Microsoft 365, du Microsoft Entra Mes applications ou de l’URL d’authentification unique Microsoft Entra.
    logoutUrl String Spécifie l’URL que le service d’autorisation de Microsoft utilise pour déconnecter un utilisateur à l’aide du canal frontal, du canal principal ou des protocoles de déconnexion SAML OpenID Connect.
    notes String Champ de texte gratuit pour capturer des informations sur le principal du service, généralement utilisé à des fins opérationnelles. La taille maximale autorisée est de 1 024 caractères.
    notificationEmailAddresses String collection Spécifie la liste des adresses e-mail où Microsoft Entra ID envoie une notification lorsque le certificat actif est proche de la date d’expiration. Il s’agit uniquement des certificats utilisés pour signer le jeton SAML émis pour les applications Microsoft Entra Gallery.
    oauth2PermissionScopes permissionScope collection Autorisations déléguées exposées par l’application. Pour plus d’informations, consultez la propriété oauth2PermissionScopes sur la propriété API de l’entité d’application. Ne pouvant accepter la valeur null.
    passwordCredentials Collection passwordCredential Collection d’informations d’identification associées à l’application. Ne pouvant accepter la valeur null.
    preferredSingleSignOnMode string Spécifie le mode d’authentification unique configuré pour cette application. Microsoft Entra ID utilise le mode d’authentification unique préféré pour lancer l’application à partir de Microsoft 365 ou du portail Mes applications. Les valeurs prises en charge sont : password, saml, notSupported et oidc. Note: Ce champ peut concerner null les applications SAML plus anciennes et les applications OIDC où il n’est pas défini automatiquement.
    preferredTokenSigningKeyThumbprint Chaîne Cette propriété peut être utilisée sur les applications SAML (applications qui ont la valeurreferredSingleSignOnModesaml) pour contrôler le certificat utilisé pour signer les réponses SAML. Pour les applications qui ne sont pas SAML, n’écrivez pas ou ne vous fiez pas à cette propriété.
    replyUrls Collection de chaînes Les URL auxquelles les jetons utilisateur sont envoyés pour se connecter avec l'application associée, ou les URI de redirection vers lesquelles les codes d'autorisation et les jetons d'accès OAuth 2.0 sont envoyés pour l'application associée. Ne pouvant accepter la valeur null.
    resourceSpecificApplicationPermissions collection resourceSpecificPermission Les autorisations d’application spécifiques aux ressources exposées par cette application. Actuellement, les autorisations spécifiques aux ressources ne sont prises en charge que pour les applications Teams accédant à des discussions et des équipes spécifiques à l'aide de Microsoft Graph. En lecture seule.
    samlSingleSignOnSettings samlSingleSignOnSettings Collection pour les paramètres liés à l’authentification unique SAML.
    servicePrincipalNames String collection Contient la liste de identifiersUris, copiée à partir de l’application associée. D’autres valeurs peuvent être ajoutées à des applications hybrides. Ces valeurs peuvent être utilisées pour identifier les autorisations exposées par cette application dans Microsoft Entra ID. Par exemple,
    • Les applications clientes peuvent spécifier un URI de ressource basé sur les valeurs de cette propriété pour acquérir un jeton d’accès, qui est l’URI retourné dans la revendication « aud ».

    L’opérateur est requis pour les expressions de filtre sur des propriétés à valeurs multiples. Ne pouvant accepter la valeur null.

    Prend en charge $filter (eq, not, ge, le, startsWith).
    servicePrincipalType String Identifie si le principal du service représente une application, une identité gérée ou une ancienne application. Ce paramètre est défini par Microsoft Entra ID en interne. La propriété type de servicePrincipalType peut être définie sur trois valeurs différentes :
    • Application – Un principal de service qui représente une application ou un service. La propriété appId identifie l'enregistrement de l'application associée, et correspond à l'appId d'une application, éventuellement d'un locataire différent. Si l’inscription d’application associée est manquante, les jetons ne sont pas émis pour le principal de service.
    • ManagedIdentity – Un principal de service qui représente une identité gérée. Les principaux de service représentant des identités managées peuvent se voir accorder un accès et des autorisations, mais ils ne peuvent pas être mis à jour ou modifiés directement.
    • HéritéUn principal de service qui représente une application créée avant les enregistrements d'applications, ou par des expériences héritées. Un principal de service hérité peut avoir des informations d’identification, des noms de principal de service, des URL de réponse et d’autres propriétés modifiables par un utilisateur autorisé, mais qui n’ont pas d’inscription d’application associée. La valeur appId n’associe pas le principal de service à une inscription d’application. Le principal du service ne peut être utilisé que dans le locataire où il a été créé.
    • SocialIdp : pour une utilisation interne.
    signInAudience String Spécifie les comptes Microsoft qui sont pris en charge pour l’application actuelle. En lecture seule.

    Les valeurs prises en charge sont :
    • AzureADMyOrg: utilisateurs disposant d’un compte professionnel ou scolaire Microsoft dans le locataire Microsoft Entra de mon organization (monolocataire).
    • AzureADMultipleOrgs: utilisateurs disposant d’un compte professionnel ou scolaire Microsoft dans le locataire Microsoft Entra de n’importe quel organization (multilocataire).
    • AzureADandPersonalMicrosoftAccount: utilisateurs disposant d’un compte Microsoft personnel ou d’un compte professionnel ou scolaire dans le locataire Microsoft Entra d’un organization.
    • PersonalMicrosoftAccount : utilisateurs avec un compte Microsoft personnel uniquement.
    étiquettes String collection Chaînes personnalisées pouvant être utilisées pour catégoriser et identifier le principal de service. Ne pouvant accepter la valeur null. La valeur est l’union des chaînes définies ici et sur la propriété de balises de l’entité d’application associée.

    Prend en charge $filter (eq, not, ge, le, startsWith).
    tokenEncryptionKeyId String Spécifie la keyId d’une clé publique de la collection keyCredentials. Une fois configuré, Microsoft Entra ID émet des jetons pour cette application chiffrés à l’aide de la clé spécifiée par cette propriété. Le code d'application qui reçoit le jeton chiffré doit utiliser la clé privée correspondante pour déchiffrer le jeton avant de pouvoir l'utiliser pour l'utilisateur connecté.
    verifiedPublisher verifiedPublisher Spécifie l’éditeur vérifié de l’application liée à ce principal de service.

    Relations

    Importante

    L’utilisation spécifique du $filter paramètre de requête est prise en charge uniquement lorsque vous utilisez l’en-tête ConsistencyLevel défini sur eventual et $count. Pour plus d’informations, consultez Fonctionnalités de requête avancées sur les objets d’annuaire.

    Relation Type Description
    appManagementPolicies appManagementPolicy collection AppManagementPolicy appliqué à cette application.
    appRoleAssignedTo appRoleAssignment Attribution de rôles pour cette application ou ce service, accordée aux utilisateurs, groupes et autres responsables de service. Prend en charge $expand.
    appRoleAssignments Collection appRoleAssignment Attribution d'un rôle pour une autre application ou un autre service, accordée à ce directeur de service. Prend en charge $expand.
    claimsMappingPolicies Collection de claimsMappingPolicy Les claimsMappingPolicies attribuées à ce principal du service. Prend en charge $expand.
    createdObjects collection directoryObject Objets de répertoire créés par ce principal de service. En lecture seule. Pouvant accepter la valeur Null.
    federatedIdentityCredentials collection federatedIdentityCredential Identités fédérées pour un type spécifique de principal de service : identité managée. Prend en charge $expand et $filter (/$count eq 0, /$count ne 0).
    homeRealmDiscoveryPolicies Collection de homeRealmDiscoveryPolicy Les homeRealmDiscoveryPolicies attribuées à ce principal de service. Prend en charge $expand.
    memberOf collection directoryObject Rôles dont ce principal de service est membre. Méthodes HTTP : GET en lecture seule. Pouvant accepter la valeur Null. Prend en charge $expand.
    oauth2PermissionGrants Collection oAuth2PermissionGrant Les autorisations déléguées octroient l’autorisation à ce principal de service d’accéder à une API au nom d’un utilisateur connecté. En lecture seule. Peut avoir la valeur Null.
    ownedObjects collection directoryObject Objets d’annuaire dont ce principal de service est propriétaire. En lecture seule. Pouvant accepter la valeur Null. Prend en charge $expand, imbriqué dans $expand, et $filter (/$count eq 0, /$count ne 0, /$count eq 1, /$count ne 1$select ).
    Propriétaires collection directoryObject Objets de répertoire qui sont propriétaires de ce principal de service. Les propriétaires sont un ensemble d’utilisateurs non administrateurs ou servicePrincipals autorisés à modifier cet objet. En lecture seule. Pouvant accepter la valeur Null. Prend en charge , (, , , ) et $select imbriqués dans $expand. /$count ne 1/$count eq 1/$count ne 0/$count eq 0$filter$expand
    remoteDesktopSecurityConfiguration remoteDesktopSecurityConfiguration Objet remoteDesktopSecurityConfiguration appliqué à ce principal de service. Prend en charge $filter (eq) pour la propriété isRemoteDesktopProtocolEnabled .
    synchronisation synchronisation Représente la fonctionnalité de synchronisation d’identité Microsoft Entra via le API Graph Microsoft.
    tokenIssuancePolicies Collection de tokenIssuancePolicy TokenIssuancePolicies affecté à ce principal de service.
    tokenLifetimePolicies Collection de tokenLifetimePolicy Les tokenLifetimePolicies attribuées à ce principal du service.

    Représentation JSON

    La représentation JSON suivante montre le type de ressource.

    {
      "accountEnabled": true,
      "addIns": [{"@odata.type": "microsoft.graph.addIn"}],
      "alternativeNames": ["String"] ,
      "appDisplayName": "String",
      "appId": "String",
      "appOwnerOrganizationId": "Guid",
      "appRoleAssignmentRequired": true,
      "appRoles": [{"@odata.type": "microsoft.graph.appRole"}],
      "customSecurityAttributes": {
        "@odata.type": "microsoft.graph.customSecurityAttributeValue"
      },
      "disabledByMicrosoftStatus": "String",
      "displayName": "String",
      "homepage": "String",
      "id": "String (identifier)",
      "info": {"@odata.type": "microsoft.graph.informationalUrl"},
      "keyCredentials": [{"@odata.type": "microsoft.graph.keyCredential"}],
      "logoutUrl": "String",
      "notes": "String",
      "oauth2PermissionScopes": [{"@odata.type": "microsoft.graph.permissionScope"}],
      "passwordCredentials": [{"@odata.type": "microsoft.graph.passwordCredential"}],
      "preferredTokenSigningKeyThumbprint": "String",
      "replyUrls": ["String"],
      "resourceSpecificApplicationPermissions": [{"@odata.type": "microsoft.graph.resourceSpecificPermission"}],
      "servicePrincipalNames": ["String"],
      "servicePrincipalType": "String",
      "tags": ["String"],
      "tokenEncryptionKeyId": "String",
      "verifiedPublisher": {"@odata.type": "microsoft.graph.verifiedPublisher"}
    }