Toepassingsregistratiemachtigingen voor aangepaste rollen in Microsoft Entra-id
Dit artikel bevat de momenteel beschikbare app-registratiemachtigingen voor aangepaste roldefinities in Microsoft Entra-id.
Licentievereisten
Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.
Machtigingen voor het beheren van toepassingen met één tenant
Wanneer u de machtigingen voor uw aangepaste rol kiest, kunt u alleen toepassingen met één tenant beheren. Toepassingen met één tenant zijn alleen beschikbaar voor gebruikers in de Microsoft Entra-organisatie waar de toepassing is geregistreerd. Toepassingen met één tenant worden gedefinieerd als ondersteunde accounttypen die zijn ingesteld op 'Alleen accounts in deze organisatiemap'. In de Graph API hebben toepassingen met één tenant de eigenschap signInAudience ingesteld op 'AzureADMyOrg'.
Als u toegang wilt verlenen om alleen toepassingen met één tenant te beheren, gebruikt u de onderstaande machtigingen met het subtype applications.myOrganization. Bijvoorbeeld microsoft.directory/applications.myOrganization/basic/update.
Zie het overzicht van aangepaste rollen voor een uitleg van wat het subtype, de machtiging en de set eigenschappen van de algemene termen betekenen. De volgende informatie is specifiek voor toepassingsregistraties.
Maken en verwijderen
Er zijn twee machtigingen beschikbaar voor het verlenen van de mogelijkheid om toepassingsregistraties te maken, elk met verschillende gedragingen:
microsoft.directory/applications/createAsOwner
Als u deze machtiging toewijst, wordt de maker toegevoegd als de eerste eigenaar van de gemaakte app-registratie en wordt de gemaakte app-registratie meegeteld in het quotum van 250 gemaakte objecten van de maker.
microsoft.directory/applications/create
Als u deze machtigingen toewijst, wordt de maker niet toegevoegd als de eerste eigenaar van de gemaakte app-registratie en wordt de gemaakte app-registratie niet meegeteld in het quotum van 250 gemaakte objecten van de maker. Gebruik deze machtiging op een verantwoorde manier, omdat de toegewezen persoon app-registraties kan maken totdat de quotum op directoryniveau wordt bereikt.
Als beide machtigingen zijn toegewezen, heeft de machtiging /create voorrang. Hoewel de machtiging /createAsOwner de maker niet automatisch als eerste eigenaar toevoegt, kunnen eigenaren worden opgegeven tijdens het maken van de app-registratie bij het gebruik van Graph API's of PowerShell-cmdlets.
Machtigingen maken verlenen toegang tot de opdracht Nieuwe registratie.
Er zijn twee machtigingen beschikbaar om de mogelijkheid tot het verwijderen van app-registraties te verlenen:
microsoft.directory/applications/delete
Verleent de mogelijkheid om app-registraties te verwijderen, ongeacht het subtype; zowel toepassingen met één tenant als toepassingen met meerdere tenants.
microsoft.directory/applications.myOrganization/delete
Hiermee verleent u de mogelijkheid om app-registraties te verwijderen die alleen toegankelijk zijn voor accounts in uw organisatie of toepassingen met één tenant (myOrganization-subtype).
Notitie
Wanneer u een rol toewijst die machtigingen voor maken bevat, moet de roltoewijzing worden gemaakt in het directorybereik. Een machtiging voor maken die is toegewezen aan een resourcebereik, verleent geen mogelijkheid om app-registraties te maken.
Read
Alle lidgebruikers in de organisatie kunnen standaard app-registratiegegevens lezen. Gastgebruikers en toepassingsservice-principals kunnen dit echter niet. Als u van plan bent een rol toe te wijzen aan een gastgebruiker of toepassing, moet u de juiste leesmachtigingen opnemen.
microsoft.directory/applications/allProperties/read
De mogelijkheid om alle eigenschappen van toepassingen met één tenant en meerdere tenants buiten eigenschappen te lezen die niet kunnen worden gelezen in situaties zoals referenties.
microsoft.directory/applications.myOrganization/allProperties/read
Verleent dezelfde machtigingen als microsoft.directory/applications/allProperties/read, maar alleen voor toepassingen met één tenant.
microsoft.directory/applications/owners/read
Biedt de mogelijkheid om eigenaarseigenschap te lezen voor toepassingen met één tenant en meerdere tenants. Verleent toegang tot alle velden op de toepassingsregistratiepagina Eigenaren:
microsoft.directory/applications/standard/read
Verleent toegang om standaardeigenschappen van toepassingsregistraties te lezen. Dit omvat eigenschappen op toepassingsregistratiepagina's.
microsoft.directory/applications.myOrganization/standard/read
Verleent dezelfde machtigingen als microsoft.directory/applications/allProperties/read, maar alleen voor toepassingen met één tenant.
Bijwerken
microsoft.directory/applications/allProperties/update
De mogelijkheid om alle eigenschappen bij te werken voor toepassingen met één tenant en meerdere tenants.
microsoft.directory/applications.myOrganization/allProperties/update
Verleent dezelfde machtigingen als microsoft.directory/applications/allProperties/update, maar alleen voor toepassingen met één tenant.
microsoft.directory/applications/audience/update
De mogelijkheid om de eigenschap ondersteund accounttype (signInAudience) bij te werken voor toepassingen met één tenant en meerdere tenants.
microsoft.directory/applications.myOrganization/audience/update
Verleent dezelfde machtigingen als microsoft.directory/applications/audience/update, maar alleen voor toepassingen met één tenant.
microsoft.directory/applications/authentication/update
De mogelijkheid om de antwoord-URL, afmeldings-URL, impliciete stroom en uitgeversdomeineigenschappen bij te werken voor toepassingen met één tenant en meerdere tenants. Verleent toegang tot alle velden op de verificatiepagina voor toepassingsregistratie, met uitzondering van ondersteunde accounttypen:
microsoft.directory/applications.myOrganization/authentication/update
Verleent dezelfde machtigingen als microsoft.directory/applications/audience/update, maar alleen voor toepassingen met één tenant.
microsoft.directory/applications/basic/update
De mogelijkheid om de naam, het logo, de startpagina-URL, de URL van de servicevoorwaarden en de URL-eigenschappen van de privacyverklaring bij te werken voor toepassingen met één tenant en meerdere tenants. Verleent toegang tot alle velden op de pagina huisstijl van toepassingsregistratie:
microsoft.directory/applications.myOrganization/basic/update
Verleent dezelfde machtigingen als microsoft.directory/applications/basic/update, maar alleen voor toepassingen met één tenant.
microsoft.directory/applications/credentials/update
De mogelijkheid om de eigenschappen van certificaten en clientgeheimen bij te werken voor toepassingen met één tenant en meerdere tenants. Verleent toegang tot alle velden op de pagina met toepassingsregistratiecertificaten en geheimen:
microsoft.directory/applications.myOrganization/credentials/update
Verleent dezelfde machtigingen als microsoft.directory/applications/credentials/update, maar alleen voor toepassingen met één tenant.
microsoft.directory/applications/owners/update
Mogelijkheid om de eigenschap van de eigenaar bij te werken op één tenant en meerdere tenants. Verleent toegang tot alle velden op de toepassingsregistratiepagina Eigenaren:
microsoft.directory/applications.myOrganization/owners/update
Verleent dezelfde machtigingen als microsoft.directory/applications/owners/update, maar alleen voor toepassingen met één tenant.
microsoft.directory/applications/permissions/update
De mogelijkheid om de gedelegeerde machtigingen, toepassingsmachtigingen, geautoriseerde clienttoepassingen en vereiste machtigingen bij te werken en toestemmingseigenschappen te verlenen voor toepassingen met één tenant en meerdere tenants. Verleent niet de mogelijkheid om toestemming te verlenen. Verleent toegang tot alle velden op de toepassingsregistratiepagina's API-machtigingen en Een API beschikbaar maken:
microsoft.directory/applications.myOrganization/permissions/update
Verleent dezelfde machtigingen als microsoft.directory/applications/permissions/update, maar alleen voor toepassingen met één tenant.