Autorizzazioni di registrazione dell'applicazione per ruoli personalizzati in Microsoft Entra ID
Questo articolo contiene le autorizzazioni di registrazione dell'app attualmente disponibili per le definizioni di ruolo personalizzate in Microsoft Entra ID.
Requisiti di licenza
L'uso di questa funzionalità richiede licenze microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.
Autorizzazioni per la gestione di applicazioni a tenant singolo
Quando si scelgono le autorizzazioni per il ruolo personalizzato, è possibile concedere l'accesso per gestire solo le applicazioni a tenant singolo. Le applicazioni a tenant singolo sono disponibili solo per gli utenti dell'organizzazione Microsoft Entra in cui è registrata l'applicazione. Le applicazioni a tenant singolo sono definite come con tipi di account supportati impostati su "Solo account in questa directory organizzativa". Nell'API Graph le applicazioni a tenant singolo hanno la proprietà signInAudience impostata su "AzureADMyOrg".
Per concedere l'accesso per gestire solo le applicazioni a tenant singolo, usare le autorizzazioni seguenti con il sottotipo applications.myOrganization. Ad esempio, microsoft.directory/applications.myOrganization/basic/update.
Per una spiegazione del sottotipo, dell'autorizzazione e del set di proprietà, vedere la panoramica dei ruoli personalizzati. Le informazioni seguenti sono specifiche per le registrazioni dell'applicazione.
Creare ed eliminare
Sono disponibili due autorizzazioni per concedere la possibilità di creare registrazioni dell'applicazione, ognuna con un comportamento diverso:
microsoft.directory/applications/createAsOwner
se si assegna questa autorizzazione, l'autore verrà aggiunto come primo proprietario della registrazione di app creata e la registrazione di app creata verrà calcolata nella quota dei 250 oggetti creati dell'autore.
microsoft.directory/applications/create
se si assegna questa autorizzazione l'autore non verrà aggiunto come primo proprietario della registrazione di app creata e la registrazione di app creata non verrà calcolata nella quota dei 250 oggetti creati dell'autore. Usare questa autorizzazione con cautela, perché non è possibile impedire all'assegnatario di creare registrazioni di app fino a quando non viene raggiunta la quota a livello di directory.
Se vengono assegnate entrambe le autorizzazioni, l'autorizzazione /create avrà la precedenza. Anche se l'autorizzazione /createAsOwner non aggiunge automaticamente l'autore come primo proprietario, i proprietari possono essere specificati durante la creazione della registrazione dell'app quando si usano le API Graph o i cmdlet di PowerShell.
Creare autorizzazioni per concedere l'accesso al comando Nuova registrazione .
Sono disponibili due autorizzazioni per concedere la possibilità di eliminare le registrazioni dell'app:
microsoft.directory/applications/delete
Concede la possibilità di eliminare le registrazioni delle app indipendentemente dal sottotipo; ovvero, sia applicazioni a tenant singolo che multi-tenant.
microsoft.directory/applications.myOrganization/delete
Concede la possibilità di eliminare le registrazioni delle app limitate a quelle accessibili solo agli account dell'organizzazione o alle applicazioni a tenant singolo (sottotipo myOrganization).
Nota
Quando si assegna un ruolo che contiene autorizzazioni di creazione, l'assegnazione di ruolo deve essere eseguita nell'ambito della directory. Un'autorizzazione di creazione assegnata in un ambito di risorsa non concede la possibilità di creare registrazioni dell'app.
Lettura
Per impostazione predefinita, tutti gli utenti membri dell'organizzazione possono leggere le informazioni di registrazione delle app. Tuttavia, gli utenti guest e le entità servizio dell'applicazione non possono. Se si prevede di assegnare un ruolo a un utente guest o a un'applicazione, è necessario includere le autorizzazioni di lettura appropriate.
microsoft.directory/applications/allProperties/read
Possibilità di leggere tutte le proprietà delle applicazioni a tenant singolo e multi-tenant al di fuori delle proprietà che non possono essere lette in qualsiasi situazione, ad esempio le credenziali.
microsoft.directory/applications.myOrganization/allProperties/read
Concede le stesse autorizzazioni di microsoft.directory/applications/allProperties/read, ma solo per le applicazioni a tenant singolo.
microsoft.directory/applications/owners/read
Concede la possibilità di leggere le proprietà dei proprietari in applicazioni a tenant singolo e multi-tenant. Concede l'accesso a tutti i campi nella pagina proprietari della registrazione dell'applicazione:
microsoft.directory/applications/standard/read
Concede l'accesso alle proprietà di registrazione dell'applicazione standard di lettura. Sono incluse le proprietà nelle pagine di registrazione dell'applicazione.
microsoft.directory/applications.myOrganization/standard/read
Concede le stesse autorizzazioni di microsoft.directory/applications/standard/read, ma solo per applicazioni a tenant singolo.
Update
microsoft.directory/applications/allProperties/update
Possibilità di aggiornare tutte le proprietà nelle applicazioni a tenant singolo e multi-tenant.
microsoft.directory/applications.myOrganization/allProperties/update
Concede le stesse autorizzazioni di microsoft.directory/applications/allProperties/update, ma solo per le applicazioni a tenant singolo.
microsoft.directory/applications/audience/update
Possibilità di aggiornare la proprietà del tipo di account supportato (signInAudience) nelle applicazioni a tenant singolo e multi-tenant.
microsoft.directory/applications.myOrganization/audience/update
Concede le stesse autorizzazioni di microsoft.directory/applications/audience/update, ma solo per le applicazioni a tenant singolo.
microsoft.directory/applications/authentication/update
Possibilità di aggiornare l'URL di risposta, l'URL di disconnessione, il flusso implicito e le proprietà del dominio di pubblicazione nelle applicazioni a tenant singolo e multi-tenant. Concede l'accesso a tutti i campi nella pagina di autenticazione di registrazione dell'applicazione, ad eccezione dei tipi di account supportati:
microsoft.directory/applications.myOrganization/authentication/update
Concede le stesse autorizzazioni di microsoft.directory/applications/authentication/update, ma solo per le applicazioni a tenant singolo.
microsoft.directory/applications/basic/update
Possibilità di aggiornare il nome, il logo, l'URL della home page, le condizioni per l'URL del servizio e le proprietà dell'URL dell'informativa sulla privacy nelle applicazioni a tenant singolo e multi-tenant. Concede l'accesso a tutti i campi nella pagina di personalizzazione della registrazione dell'applicazione:
microsoft.directory/applications.myOrganization/basic/update
Concede le stesse autorizzazioni di microsoft.directory/applications/basic/update, ma solo per le applicazioni a tenant singolo.
microsoft.directory/applications/credentials/update
Possibilità di aggiornare i certificati e le proprietà dei segreti client nelle applicazioni a tenant singolo e multi-tenant. Concede l'accesso a tutti i campi nella pagina certificati e segreti di registrazione dell'applicazione:
microsoft.directory/applications.myOrganization/credentials/update
Concede le stesse autorizzazioni di microsoft.directory/applications/credentials/update, ma solo per le applicazioni a tenant singolo.
microsoft.directory/applications/owners/update
Possibilità di aggiornare la proprietà del proprietario in tenant singolo e multi-tenant. Concede l'accesso a tutti i campi nella pagina proprietari della registrazione dell'applicazione:
microsoft.directory/applications.myOrganization/owners/update
Concede le stesse autorizzazioni di microsoft.directory/applications/owners/update, ma solo per le applicazioni a tenant singolo.
microsoft.directory/applications/permissions/update
Possibilità di aggiornare le autorizzazioni delegate, le autorizzazioni dell'applicazione, le applicazioni client autorizzate, le autorizzazioni necessarie e concedere le proprietà di consenso in applicazioni a tenant singolo e multi-tenant. Non concede la possibilità di eseguire il consenso. Concede l'accesso a tutti i campi nelle autorizzazioni DELL'API di registrazione dell'applicazione ed Espone pagine API:
microsoft.directory/applications.myOrganization/permissions/update
Concede le stesse autorizzazioni di microsoft.directory/applications/permissions/update, ma solo per le applicazioni a tenant singolo.