Uprawnienia rejestracji aplikacji dla ról niestandardowych w identyfikatorze Entra firmy Microsoft
Ten artykuł zawiera obecnie dostępne uprawnienia rejestracji aplikacji dla niestandardowych definicji ról w identyfikatorze Entra firmy Microsoft.
Wymagania dotyczące licencji
Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.
Uprawnienia do zarządzania aplikacjami z jedną dzierżawą
Podczas wybierania uprawnień dla roli niestandardowej masz możliwość udzielenia dostępu do zarządzania tylko aplikacjami z jedną dzierżawą. Aplikacje z jedną dzierżawą są dostępne tylko dla użytkowników w organizacji Firmy Microsoft Entra, w której aplikacja jest zarejestrowana. Aplikacje z jedną dzierżawą są definiowane jako z obsługiwanymi typami kont ustawionymi na "Konta tylko w tym katalogu organizacyjnym". W interfejsie API programu Graph aplikacje z jedną dzierżawą mają właściwość signInAudience ustawioną na "AzureADMyOrg".
Aby udzielić dostępu do zarządzania tylko aplikacjami z jedną dzierżawą, użyj poniższych uprawnień z podtypem applications.myOrganization. Na przykład microsoft.directory/applications.myOrganization/basic/update.
Zapoznaj się z omówieniem ról niestandardowych, aby uzyskać wyjaśnienie, co oznaczają ogólne podtypy terminów, uprawnienia i zestaw właściwości. Poniższe informacje są specyficzne dla rejestracji aplikacji.
Tworzenie i usuwanie
Istnieją dwa uprawnienia umożliwiające przyznawanie możliwości tworzenia rejestracji aplikacji, z których każdy ma inne zachowanie:
microsoft.directory/applications/createAsOwner
Przypisanie tego uprawnienia spowoduje dodanie twórcy jako pierwszego właściciela utworzonej rejestracji aplikacji, a rejestracja ta zostanie wliczona do limitu przydziału twórcy (250 utworzonych obiektów).
microsoft.directory/applications/create
Przypisanie tego uprawnienia powoduje, że twórca nie zostanie dodany jako pierwszy właściciel utworzonej rejestracji aplikacji, a utworzona rejestracja aplikacji nie będzie liczyć się z limitem przydziału utworzonych obiektów twórcy. Należy dokładnie użyć tego uprawnienia, ponieważ nie ma żadnych elementów uniemożliwiających przypisaniu tworzenie rejestracji aplikacji do momentu przekroczenia limitu przydziału na poziomie katalogu.
Jeśli przypisano oba uprawnienia, uprawnienie /create będzie mieć pierwszeństwo. Mimo że uprawnienie /createAsOwner nie powoduje automatycznego dodania twórcy jako pierwszego właściciela, właściciele mogą być określeni podczas tworzenia rejestracji aplikacji podczas korzystania z interfejsów API programu Graph lub poleceń cmdlet programu PowerShell.
Utwórz uprawnienia przyznać dostęp do polecenia Nowa rejestracja .
Istnieją dwa uprawnienia umożliwiające przyznanie możliwości usuwania rejestracji aplikacji:
microsoft.directory/applications/delete
Przyznaje możliwość usuwania rejestracji aplikacji niezależnie od podtypu; oznacza to, że zarówno aplikacje z jedną dzierżawą, jak i aplikacjami z wieloma dzierżawami.
microsoft.directory/applications.myOrganization/delete
Przyznaje możliwość usuwania rejestracji aplikacji ograniczonych do tych, które są dostępne tylko dla kont w organizacji lub aplikacjach z jedną dzierżawą (podtyp myOrganization).
Uwaga
Podczas przypisywania roli, która zawiera uprawnienia do tworzenia, przypisanie roli musi zostać wykonane w zakresie katalogu. Uprawnienie do tworzenia przypisane w zakresie zasobów nie daje możliwości tworzenia rejestracji aplikacji.
Odczyt
Wszyscy użytkownicy będący członkami w organizacji mogą domyślnie odczytywać informacje o rejestracji aplikacji. Jednak użytkownicy-goście i jednostki usługi aplikacji nie mogą. Jeśli planujesz przypisać rolę do użytkownika-gościa lub aplikacji, musisz uwzględnić odpowiednie uprawnienia do odczytu.
microsoft.directory/applications/allProperties/read
Możliwość odczytywania wszystkich właściwości aplikacji z jedną dzierżawą i wieloma dzierżawami poza właściwościami, których nie można odczytać w żadnej sytuacji, takiej jak poświadczenia.
microsoft.directory/applications.myOrganization/allProperties/read
Przyznaje te same uprawnienia co microsoft.directory/applications/allProperties/read, ale tylko w przypadku aplikacji z jedną dzierżawą.
microsoft.directory/applications/owner/read
Umożliwia odczytywanie właściwości właścicieli w aplikacjach z jedną dzierżawą i wieloma dzierżawami. Udziela dostępu do wszystkich pól na stronie właścicieli rejestracji aplikacji:
microsoft.directory/applications/standard/read
Udziela dostępu do odczytu standardowych właściwości rejestracji aplikacji. Obejmuje to właściwości między stronami rejestracji aplikacji.
microsoft.directory/applications.myOrganization/standard/read
Przyznaje te same uprawnienia co microsoft.directory/applications/standard/read, ale tylko dla aplikacji z jedną dzierżawą.
Zaktualizuj
microsoft.directory/applications/allProperties/update
Możliwość aktualizowania wszystkich właściwości w aplikacjach z jedną dzierżawą i wieloma dzierżawami.
microsoft.directory/applications.myOrganization/allProperties/update
Przyznaje te same uprawnienia co microsoft.directory/applications/allProperties/update, ale tylko w przypadku aplikacji z jedną dzierżawą.
microsoft.directory/applications/audience/update
Możliwość zaktualizowania obsługiwanej właściwości konta (signInAudience) w aplikacjach z jedną dzierżawą i wieloma dzierżawami.
microsoft.directory/applications.myOrganization/audience/update
Przyznaje te same uprawnienia co microsoft.directory/applications/audience/update, ale tylko dla aplikacji z jedną dzierżawą.
microsoft.directory/applications/authentication/update
Możliwość aktualizowania adresu URL odpowiedzi, adresu URL wylogowywania, niejawnego przepływu i właściwości domeny wydawcy w aplikacjach z jedną dzierżawą i wieloma dzierżawami. Przyznaje dostęp do wszystkich pól na stronie uwierzytelniania rejestracji aplikacji z wyjątkiem obsługiwanych typów kont:
microsoft.directory/applications.myOrganization/authentication/update
Przyznaje te same uprawnienia co microsoft.directory/applications/authentication/update, ale tylko w przypadku aplikacji z jedną dzierżawą.
microsoft.directory/applications/basic/update
Możliwość aktualizowania nazwy, logo, adresu URL strony głównej, adresu URL warunków usługi i właściwości adresu URL oświadczenia o ochronie prywatności w aplikacjach z jedną dzierżawą i wieloma dzierżawami. Udziela dostępu do wszystkich pól na stronie znakowania rejestracji aplikacji:
microsoft.directory/applications.myOrganization/basic/update
Przyznaje te same uprawnienia co microsoft.directory/applications/basic/update, ale tylko w przypadku aplikacji z jedną dzierżawą.
microsoft.directory/applications/credentials/update
Możliwość aktualizowania certyfikatów i właściwości wpisów tajnych klienta w aplikacjach z jedną dzierżawą i wieloma dzierżawami. Udziela dostępu do wszystkich pól na stronie certyfikatów rejestracji aplikacji i wpisów tajnych:
microsoft.directory/applications.myOrganization/credentials/update
Przyznaje te same uprawnienia co microsoft.directory/applications/credentials/update, ale tylko w przypadku aplikacji z jedną dzierżawą.
microsoft.directory/applications/owner/update
Możliwość aktualizowania właściwości właściciela w jednej dzierżawie i wielu dzierżawach. Udziela dostępu do wszystkich pól na stronie właścicieli rejestracji aplikacji:
microsoft.directory/applications.myOrganization/owner/update
Przyznaje te same uprawnienia co microsoft.directory/applications/owner/update, ale tylko w przypadku aplikacji z jedną dzierżawą.
microsoft.directory/applications/permissions/update
Możliwość aktualizowania delegowanych uprawnień, uprawnień aplikacji, autoryzowanych aplikacji klienckich, wymaganych uprawnień i udzielania zgody dla aplikacji z jedną dzierżawą i wieloma dzierżawami. Nie udziela możliwości wyrażania zgody. Udziela dostępu do wszystkich pól w uprawnieniach interfejsu API rejestracji aplikacji i uwidacznia strony interfejsu API:
microsoft.directory/applications.myOrganization/permissions/update
Przyznaje te same uprawnienia co microsoft.directory/applications/permissions/update, ale tylko w przypadku aplikacji z jedną dzierżawą.