Delen via

Toepassingsregistratiemachtigingen voor aangepaste rollen in Microsoft Entra-id

  • Artikel

Dit artikel bevat de momenteel beschikbare app-registratiemachtigingen voor aangepaste roldefinities in Microsoft Entra-id.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.

Machtigingen voor het beheren van toepassingen met één tenant

Wanneer u de machtigingen voor uw aangepaste rol kiest, kunt u alleen toepassingen met één tenant beheren. Toepassingen met één tenant zijn alleen beschikbaar voor gebruikers in de Microsoft Entra-organisatie waar de toepassing is geregistreerd. Toepassingen met één tenant worden gedefinieerd als ondersteunde accounttypen die zijn ingesteld op 'Alleen accounts in deze organisatiemap'. In de Graph API hebben toepassingen met één tenant de eigenschap signInAudience ingesteld op 'AzureADMyOrg'.

Als u toegang wilt verlenen om alleen toepassingen met één tenant te beheren, gebruikt u de onderstaande machtigingen met het subtype applications.myOrganization. Bijvoorbeeld microsoft.directory/applications.myOrganization/basic/update.

Zie het overzicht van aangepaste rollen voor een uitleg van wat het subtype, de machtiging en de set eigenschappen van de algemene termen betekenen. De volgende informatie is specifiek voor toepassingsregistraties.

Maken en verwijderen

Er zijn twee machtigingen beschikbaar voor het verlenen van de mogelijkheid om toepassingsregistraties te maken, elk met verschillende gedragingen:

microsoft.directory/applications/createAsOwner

Als u deze machtiging toewijst, wordt de maker toegevoegd als de eerste eigenaar van de gemaakte app-registratie en wordt de gemaakte app-registratie meegeteld in het quotum van 250 gemaakte objecten van de maker.

microsoft.directory/applications/create

Als u deze machtigingen toewijst, wordt de maker niet toegevoegd als de eerste eigenaar van de gemaakte app-registratie en wordt de gemaakte app-registratie niet meegeteld in het quotum van 250 gemaakte objecten van de maker. Gebruik deze machtiging op een verantwoorde manier, omdat de toegewezen persoon app-registraties kan maken totdat de quotum op directoryniveau wordt bereikt.

Als beide machtigingen zijn toegewezen, heeft de machtiging /create voorrang. Hoewel de machtiging /createAsOwner de maker niet automatisch als eerste eigenaar toevoegt, kunnen eigenaren worden opgegeven tijdens het maken van de app-registratie bij het gebruik van Graph API's of PowerShell-cmdlets.

Machtigingen maken verlenen toegang tot de opdracht Nieuwe registratie.

These permissions grant access to the New Registration portal command

Er zijn twee machtigingen beschikbaar om de mogelijkheid tot het verwijderen van app-registraties te verlenen:

microsoft.directory/applications/delete

Verleent de mogelijkheid om app-registraties te verwijderen, ongeacht het subtype; zowel toepassingen met één tenant als toepassingen met meerdere tenants.

microsoft.directory/applications.myOrganization/delete

Hiermee verleent u de mogelijkheid om app-registraties te verwijderen die alleen toegankelijk zijn voor accounts in uw organisatie of toepassingen met één tenant (myOrganization-subtype).

These permissions grant access to the Delete app registration command

Notitie

Wanneer u een rol toewijst die machtigingen voor maken bevat, moet de roltoewijzing worden gemaakt in het directorybereik. Een machtiging voor maken die is toegewezen aan een resourcebereik, verleent geen mogelijkheid om app-registraties te maken.

Read

Alle lidgebruikers in de organisatie kunnen standaard app-registratiegegevens lezen. Gastgebruikers en toepassingsservice-principals kunnen dit echter niet. Als u van plan bent een rol toe te wijzen aan een gastgebruiker of toepassing, moet u de juiste leesmachtigingen opnemen.

microsoft.directory/applications/allProperties/read

De mogelijkheid om alle eigenschappen van toepassingen met één tenant en meerdere tenants buiten eigenschappen te lezen die niet kunnen worden gelezen in situaties zoals referenties.

microsoft.directory/applications.myOrganization/allProperties/read

Verleent dezelfde machtigingen als microsoft.directory/applications/allProperties/read, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/owners/read

Biedt de mogelijkheid om eigenaarseigenschap te lezen voor toepassingen met één tenant en meerdere tenants. Verleent toegang tot alle velden op de toepassingsregistratiepagina Eigenaren:

This permissions grants access to the app registration owners page

microsoft.directory/applications/standard/read

Verleent toegang om standaardeigenschappen van toepassingsregistraties te lezen. Dit omvat eigenschappen op toepassingsregistratiepagina's.

microsoft.directory/applications.myOrganization/standard/read

Verleent dezelfde machtigingen als microsoft.directory/applications/allProperties/read, maar alleen voor toepassingen met één tenant.

Bijwerken

microsoft.directory/applications/allProperties/update

De mogelijkheid om alle eigenschappen bij te werken voor toepassingen met één tenant en meerdere tenants.

microsoft.directory/applications.myOrganization/allProperties/update

Verleent dezelfde machtigingen als microsoft.directory/applications/allProperties/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/audience/update

De mogelijkheid om de eigenschap ondersteund accounttype (signInAudience) bij te werken voor toepassingen met één tenant en meerdere tenants.

This permission grants access to app registration supported account type property on authentication page

microsoft.directory/applications.myOrganization/audience/update

Verleent dezelfde machtigingen als microsoft.directory/applications/audience/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/authentication/update

De mogelijkheid om de antwoord-URL, afmeldings-URL, impliciete stroom en uitgeversdomeineigenschappen bij te werken voor toepassingen met één tenant en meerdere tenants. Verleent toegang tot alle velden op de verificatiepagina voor toepassingsregistratie, met uitzondering van ondersteunde accounttypen:

Grants access to app registration authentication but not supported account types

microsoft.directory/applications.myOrganization/authentication/update

Verleent dezelfde machtigingen als microsoft.directory/applications/audience/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/basic/update

De mogelijkheid om de naam, het logo, de startpagina-URL, de URL van de servicevoorwaarden en de URL-eigenschappen van de privacyverklaring bij te werken voor toepassingen met één tenant en meerdere tenants. Verleent toegang tot alle velden op de pagina huisstijl van toepassingsregistratie:

This permission grants access to the app registration branding page

microsoft.directory/applications.myOrganization/basic/update

Verleent dezelfde machtigingen als microsoft.directory/applications/basic/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/credentials/update

De mogelijkheid om de eigenschappen van certificaten en clientgeheimen bij te werken voor toepassingen met één tenant en meerdere tenants. Verleent toegang tot alle velden op de pagina met toepassingsregistratiecertificaten en geheimen:

This permission grants access to the app registration certificates & secrets page

microsoft.directory/applications.myOrganization/credentials/update

Verleent dezelfde machtigingen als microsoft.directory/applications/credentials/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/owners/update

Mogelijkheid om de eigenschap van de eigenaar bij te werken op één tenant en meerdere tenants. Verleent toegang tot alle velden op de toepassingsregistratiepagina Eigenaren:

This permissions grants access to the app registration owners page

microsoft.directory/applications.myOrganization/owners/update

Verleent dezelfde machtigingen als microsoft.directory/applications/owners/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/permissions/update

De mogelijkheid om de gedelegeerde machtigingen, toepassingsmachtigingen, geautoriseerde clienttoepassingen en vereiste machtigingen bij te werken en toestemmingseigenschappen te verlenen voor toepassingen met één tenant en meerdere tenants. Verleent niet de mogelijkheid om toestemming te verlenen. Verleent toegang tot alle velden op de toepassingsregistratiepagina's API-machtigingen en Een API beschikbaar maken:

This permissions grants access to the app registration API permissions page

This permissions grants access to the app registration Expose an API page

microsoft.directory/applications.myOrganization/permissions/update

Verleent dezelfde machtigingen als microsoft.directory/applications/permissions/update, maar alleen voor toepassingen met één tenant.

Volgende stappen