Permisos de registro de aplicación para roles personalizados en Microsoft Entra ID.
Este artículo contiene los permisos del registro de aplicaciones disponibles actualmente para las definiciones de rol personalizado en Microsoft Entra ID.
Requisitos de licencia
El uso de esta característica requiere una licencia Microsoft Entra ID P1. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.
Permisos para administrar aplicaciones de un solo inquilino
Al elegir los permisos para el rol personalizado, tiene la opción de conceder acceso para administrar únicamente las aplicaciones de un solo inquilino. Las aplicaciones de un solo inquilino únicamente están disponibles para los usuarios de la organización Microsoft Entra ID en la que se registra la aplicación. En la definición de las aplicaciones de inquilino único se indica que tienen tipos de cuenta compatibles establecidos en "Solo cuentas en este directorio organizativo". En Graph API, las aplicaciones de inquilino único tienen la propiedad signInAudience establecida en "AzureADMyOrg".
Para conceder acceso para administrar únicamente aplicaciones de un solo inquilino, use los permisos siguientes con el subtipo applications.myOrganization. Por ejemplo, microsoft.directory/applications.myOrganization/basic/update.
Vea la información general sobre los roles personalizados para una explicación de lo que significa el subtipo de términos generales, el permiso y el conjunto de propiedades. La siguiente información es específica de los registros de aplicaciones.
Creación y eliminación
Hay dos permisos disponibles para conceder la capacidad de crear registros de aplicaciones, cada uno con un comportamiento diferente.
microsoft.directory/applications/createAsOwner
Al asignar este permiso, el creador se agrega como el primer propietario del registro de aplicaciones creado y el registro de aplicaciones creado contará en la cuota de objetos creados de 250 del creador.
microsoft.directory/applications/create
Al asignar este permiso, el creador no se agrega como el primer propietario del registro de aplicaciones creado y el registro de aplicaciones creado no contará en la cuota de objetos creados de 250 del creador. Use este permiso con precaución, ya que no hay nada que impida que la persona asignada cree registros de aplicaciones hasta que se alcance la cuota de nivel de directorio.
Si se asignan ambos permisos, el permiso /create tendrá prioridad. Aunque el permiso /createAsOwner no agrega automáticamente el creador como primer propietario, los propietarios se pueden especificar durante la creación del registro de aplicaciones al usar Graph API o los cmdlets de PowerShell.
La creación de permisos concede acceso al comando Nuevo registro.
Hay dos permisos disponibles para conceder la capacidad de crear registros de aplicaciones:
microsoft.directory/applications/delete
Permite eliminar registros de aplicaciones independientemente del subtipo; es decir, aplicaciones de un solo inquilino y de varios inquilinos.
microsoft.directory/applications.myOrganization/delete
Permite eliminar los registros de aplicaciones restringidos a aquellos a los que solo se puede acceder con las cuentas de la organización o con las aplicaciones de un solo inquilino (subtipo de myOrganization).
Nota:
Al asignar un rol que contiene permisos de creación, la asignación de roles debe realizarse en el ámbito del directorio. Un permiso de creación asignado en un ámbito de recursos no concede la posibilidad de crear registros de aplicaciones.
Lectura
Todos los usuarios miembros de la organización pueden leer la información de registro de aplicaciones de forma predeterminada. Sin embargo, los usuarios invitados y las entidades de servicio de la aplicación no pueden. Si pretende asignar un rol a una aplicación o a un usuario invitado, debe incluir los permisos de lectura correspondientes.
microsoft.directory/applications/allProperties/read
Capacidad para leer todas las propiedades de aplicaciones de un solo inquilino y de varios inquilinos fuera de propiedades que no se pueden leer en ninguna situación, como las credenciales.
microsoft.directory/applications.myOrganization/allProperties/read
Concede los mismos permisos que microsoft.directory/applications/allProperties/read, pero solo para las aplicaciones de un solo inquilino.
microsoft.directory/applications/owners/read
Permite leer la propiedad de propietarios en aplicaciones de un solo inquilino y de varios inquilinos. Concede acceso a todos los campos de la página de propietarios del registro de aplicaciones:
microsoft.directory/applications/standard/read
Concede acceso para leer las propiedades de registro de aplicación estándar. Esto incluye las propiedades de las páginas de registro de aplicación.
microsoft.directory/applications.myOrganization/standard/read
Concede los mismos permisos que microsoft.directory/applications/standard/read, pero solo para las aplicaciones de un solo inquilino.
Actualizar
microsoft.directory/applications/allProperties/update
Capacidad de actualizar todas las propiedades de las aplicaciones de un solo inquilino y de varios inquilinos.
microsoft.directory/applications.myOrganization/allProperties/update
Concede los mismos permisos que microsoft.directory/applications/allProperties/update, pero solo para las aplicaciones de un solo inquilino.
microsoft.directory/applications/audience/update
Capacidad de actualizar la propiedad de tipo de cuenta admitido (signInAudience) en aplicaciones de un solo inquilino y de varios inquilinos.
microsoft.directory/applications.myOrganization/audience/update
Concede los mismos permisos que microsoft.directory/applications/audience/update, pero solo para las aplicaciones de un solo inquilino.
microsoft.directory/applications/authentication/update
Capacidad de actualizar la dirección URL de respuesta, la dirección URL de cierre de sesión, el flujo implícito y las propiedades de dominio del publicador en aplicaciones de un solo inquilino y de varios inquilinos. Concede acceso a todos los campos de la página de autenticación del registro de aplicaciones, excepto a los tipos de cuenta compatibles:
microsoft.directory/applications.myOrganization/authentication/update
Concede los mismos permisos que microsoft.directory/applications/authentication/update, pero solo para las aplicaciones de un solo inquilino.
microsoft.directory/applications/basic/update
Capacidad para actualizar el nombre, el logotipo, la dirección URL de la página principal, la dirección URL de los términos de servicio y las propiedades de la dirección URL de la declaración de privacidad en aplicaciones de un solo inquilino y de varios inquilinos. Concede acceso a todos los campos de la página de personalización de marca del registro de aplicaciones:
microsoft.directory/applications.myOrganization/basic/update
Concede los mismos permisos que microsoft.directory/applications/basic/update, pero solo para las aplicaciones de un solo inquilino.
microsoft.directory/applications/credentials/update
Capacidad para actualizar las propiedades de certificados y secretos de cliente en aplicaciones de un solo inquilino y de varios inquilinos. Concede acceso a todos los campos de la página de certificados y secretos del registro de aplicaciones:
microsoft.directory/applications.myOrganization/credentials/update
Concede los mismos permisos que microsoft.directory/applications/credentials/update, pero solo para las aplicaciones de un solo inquilino.
microsoft.directory/applications/owners/update
Capacidad de actualizar la propiedad de propietario en un solo inquilino y en varios inquilinos. Concede acceso a todos los campos de la página de propietarios del registro de aplicaciones:
microsoft.directory/applications.myOrganization/owners/update
Concede los mismos permisos que microsoft.directory/applications/owners/update, pero solo para las aplicaciones de un solo inquilino.
microsoft.directory/applications/permissions/update
Capacidad para actualizar los permisos delegados, los permisos de aplicación, las aplicaciones cliente autorizadas, los permisos necesarios y para otorgar las propiedades de consentimiento en aplicaciones de un solo inquilino y de varios inquilinos. No concede la capacidad de realizar el consentimiento. Concede acceso a todos los campos de las páginas Permisos de API y Exponer una API del registro de aplicaciones:
microsoft.directory/applications.myOrganization/permissions/update
Concede los mismos permisos que microsoft.directory/applications/permissions/update, pero solo para las aplicaciones de un solo inquilino.