Autorizzazioni di registrazione dell'applicazione per ruoli personalizzati in Microsoft Entra ID

  • Articolo

Questo articolo contiene le autorizzazioni di registrazione dell'app attualmente disponibili per le definizioni di ruolo personalizzate in Microsoft Entra ID.

Requisiti di licenza

L'uso di questa funzionalità richiede licenze microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.

Autorizzazioni per la gestione di applicazioni a tenant singolo

Quando si scelgono le autorizzazioni per il ruolo personalizzato, è possibile concedere l'accesso per gestire solo le applicazioni a tenant singolo. Le applicazioni a tenant singolo sono disponibili solo per gli utenti dell'organizzazione Microsoft Entra in cui è registrata l'applicazione. Le applicazioni a tenant singolo sono definite come con tipi di account supportati impostati su "Solo account in questa directory organizzativa". Nell'API Graph le applicazioni a tenant singolo hanno la proprietà signInAudience impostata su "AzureADMyOrg".

Per concedere l'accesso per gestire solo le applicazioni a tenant singolo, usare le autorizzazioni seguenti con il sottotipo applications.myOrganization. Ad esempio, microsoft.directory/applications.myOrganization/basic/update.

Per una spiegazione del sottotipo, dell'autorizzazione e del set di proprietà, vedere la panoramica dei ruoli personalizzati. Le informazioni seguenti sono specifiche per le registrazioni dell'applicazione.

Creare ed eliminare

Sono disponibili due autorizzazioni per concedere la possibilità di creare registrazioni dell'applicazione, ognuna con un comportamento diverso:

microsoft.directory/applications/createAsOwner

se si assegna questa autorizzazione, l'autore verrà aggiunto come primo proprietario della registrazione di app creata e la registrazione di app creata verrà calcolata nella quota dei 250 oggetti creati dell'autore.

microsoft.directory/applications/create

se si assegna questa autorizzazione l'autore non verrà aggiunto come primo proprietario della registrazione di app creata e la registrazione di app creata non verrà calcolata nella quota dei 250 oggetti creati dell'autore. Usare questa autorizzazione con cautela, perché non è possibile impedire all'assegnatario di creare registrazioni di app fino a quando non viene raggiunta la quota a livello di directory.

Se vengono assegnate entrambe le autorizzazioni, l'autorizzazione /create avrà la precedenza. Anche se l'autorizzazione /createAsOwner non aggiunge automaticamente l'autore come primo proprietario, i proprietari possono essere specificati durante la creazione della registrazione dell'app quando si usano le API Graph o i cmdlet di PowerShell.

Creare autorizzazioni per concedere l'accesso al comando Nuova registrazione .

These permissions grant access to the New Registration portal command

Sono disponibili due autorizzazioni per concedere la possibilità di eliminare le registrazioni dell'app:

microsoft.directory/applications/delete

Concede la possibilità di eliminare le registrazioni delle app indipendentemente dal sottotipo; ovvero, sia applicazioni a tenant singolo che multi-tenant.

microsoft.directory/applications.myOrganization/delete

Concede la possibilità di eliminare le registrazioni delle app limitate a quelle accessibili solo agli account dell'organizzazione o alle applicazioni a tenant singolo (sottotipo myOrganization).

These permissions grant access to the Delete app registration command

Nota

Quando si assegna un ruolo che contiene autorizzazioni di creazione, l'assegnazione di ruolo deve essere eseguita nell'ambito della directory. Un'autorizzazione di creazione assegnata in un ambito di risorsa non concede la possibilità di creare registrazioni dell'app.

Lettura

Per impostazione predefinita, tutti gli utenti membri dell'organizzazione possono leggere le informazioni di registrazione delle app. Tuttavia, gli utenti guest e le entità servizio dell'applicazione non possono. Se si prevede di assegnare un ruolo a un utente guest o a un'applicazione, è necessario includere le autorizzazioni di lettura appropriate.

microsoft.directory/applications/allProperties/read

Possibilità di leggere tutte le proprietà delle applicazioni a tenant singolo e multi-tenant al di fuori delle proprietà che non possono essere lette in qualsiasi situazione, ad esempio le credenziali.

microsoft.directory/applications.myOrganization/allProperties/read

Concede le stesse autorizzazioni di microsoft.directory/applications/allProperties/read, ma solo per le applicazioni a tenant singolo.

microsoft.directory/applications/owners/read

Concede la possibilità di leggere le proprietà dei proprietari in applicazioni a tenant singolo e multi-tenant. Concede l'accesso a tutti i campi nella pagina proprietari della registrazione dell'applicazione:

This permissions grants access to the app registration owners page

microsoft.directory/applications/standard/read

Concede l'accesso alle proprietà di registrazione dell'applicazione standard di lettura. Sono incluse le proprietà nelle pagine di registrazione dell'applicazione.

microsoft.directory/applications.myOrganization/standard/read

Concede le stesse autorizzazioni di microsoft.directory/applications/standard/read, ma solo per applicazioni a tenant singolo.

Update

microsoft.directory/applications/allProperties/update

Possibilità di aggiornare tutte le proprietà nelle applicazioni a tenant singolo e multi-tenant.

microsoft.directory/applications.myOrganization/allProperties/update

Concede le stesse autorizzazioni di microsoft.directory/applications/allProperties/update, ma solo per le applicazioni a tenant singolo.

microsoft.directory/applications/audience/update

Possibilità di aggiornare la proprietà del tipo di account supportato (signInAudience) nelle applicazioni a tenant singolo e multi-tenant.

This permission grants access to app registration supported account type property on authentication page

microsoft.directory/applications.myOrganization/audience/update

Concede le stesse autorizzazioni di microsoft.directory/applications/audience/update, ma solo per le applicazioni a tenant singolo.

microsoft.directory/applications/authentication/update

Possibilità di aggiornare l'URL di risposta, l'URL di disconnessione, il flusso implicito e le proprietà del dominio di pubblicazione nelle applicazioni a tenant singolo e multi-tenant. Concede l'accesso a tutti i campi nella pagina di autenticazione di registrazione dell'applicazione, ad eccezione dei tipi di account supportati:

Grants access to app registration authentication but not supported account types

microsoft.directory/applications.myOrganization/authentication/update

Concede le stesse autorizzazioni di microsoft.directory/applications/authentication/update, ma solo per le applicazioni a tenant singolo.

microsoft.directory/applications/basic/update

Possibilità di aggiornare il nome, il logo, l'URL della home page, le condizioni per l'URL del servizio e le proprietà dell'URL dell'informativa sulla privacy nelle applicazioni a tenant singolo e multi-tenant. Concede l'accesso a tutti i campi nella pagina di personalizzazione della registrazione dell'applicazione:

This permission grants access to the app registration branding page

microsoft.directory/applications.myOrganization/basic/update

Concede le stesse autorizzazioni di microsoft.directory/applications/basic/update, ma solo per le applicazioni a tenant singolo.

microsoft.directory/applications/credentials/update

Possibilità di aggiornare i certificati e le proprietà dei segreti client nelle applicazioni a tenant singolo e multi-tenant. Concede l'accesso a tutti i campi nella pagina certificati e segreti di registrazione dell'applicazione:

This permission grants access to the app registration certificates & secrets page

microsoft.directory/applications.myOrganization/credentials/update

Concede le stesse autorizzazioni di microsoft.directory/applications/credentials/update, ma solo per le applicazioni a tenant singolo.

microsoft.directory/applications/owners/update

Possibilità di aggiornare la proprietà del proprietario in tenant singolo e multi-tenant. Concede l'accesso a tutti i campi nella pagina proprietari della registrazione dell'applicazione:

This permissions grants access to the app registration owners page

microsoft.directory/applications.myOrganization/owners/update

Concede le stesse autorizzazioni di microsoft.directory/applications/owners/update, ma solo per le applicazioni a tenant singolo.

microsoft.directory/applications/permissions/update

Possibilità di aggiornare le autorizzazioni delegate, le autorizzazioni dell'applicazione, le applicazioni client autorizzate, le autorizzazioni necessarie e concedere le proprietà di consenso in applicazioni a tenant singolo e multi-tenant. Non concede la possibilità di eseguire il consenso. Concede l'accesso a tutti i campi nelle autorizzazioni DELL'API di registrazione dell'applicazione ed Espone pagine API:

This permissions grants access to the app registration API permissions page

This permissions grants access to the app registration Expose an API page

microsoft.directory/applications.myOrganization/permissions/update

Concede le stesse autorizzazioni di microsoft.directory/applications/permissions/update, ma solo per le applicazioni a tenant singolo.

Passaggi successivi