Udostępnij za pośrednictwem

Uprawnienia rejestracji aplikacji dla ról niestandardowych w Entra ID firmy Microsoft

  • Artykuł

W tym artykule opisano uprawnienia rejestracji aplikacji dostępne dla niestandardowych definicji ról w identyfikatorze Entra firmy Microsoft. Te uprawnienia umożliwiają administratorom zarządzanie rejestracjami aplikacji przy użyciu określonych poziomów dostępu, zapewniając bezpieczne i wydajne zarządzanie aplikacjami w organizacji.

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.

Uprawnienia do zarządzania aplikacjami jednego najemcy

When choosing the permissions for your custom role, you can grant access to manage only single-tenant applications. Single-tenant applications are available only to users in the Microsoft Entra organization where the application is registered.

Single-tenant applications are defined as having Supported account types set to "Accounts in this organizational directory only." In the Graph API, single-tenant applications have the signInAudience property set to "AzureADMyOrg."

To grant access to manage only single-tenant applications, use the permissions indicated as follows with the subtype applications.myOrganization. For example, microsoft.directory/applications.myOrganization/basic/update.

Zapoznaj się z omówieniem ról niestandardowych, aby uzyskać wyjaśnienie podtypu terminów, uprawnienia i zestawu właściwości. Poniższe informacje są specyficzne dla rejestracji aplikacji.

Tworzenie i usuwanie

Istnieją dwa uprawnienia umożliwiające przyznawanie możliwości tworzenia rejestracji aplikacji, z których każdy ma inne zachowanie:

microsoft.directory/applications/createAsOwner

Przypisanie tego uprawnienia powoduje dodanie twórcy jako pierwszego właściciela utworzonej rejestracji aplikacji. The created app registration counts towards the creator's 250 created objects quota.

microsoft.directory/applications/create

Granting this permission prevents the creator from being added as the first owner of the app registration and excludes the app registration from the creator's 250-object quota. Use this permission carefully as there's nothing preventing the assignee from creating app registrations until the directory-level quota is reached.

Jeśli przypisano oba uprawnienia, uprawnienie /create ma pierwszeństwo. Mimo że uprawnienie /createAsOwner nie powoduje automatycznego dodania twórcy jako pierwszego właściciela, właściciele mogą być określeni podczas tworzenia rejestracji aplikacji podczas korzystania z interfejsów API programu Graph lub poleceń cmdlet programu PowerShell.

Aby uzyskać dostęp do polecenia Nowa rejestracja, utwórz odpowiednie uprawnienia.

Screenshot of permissions to grant access to the New Registration portal command.

Istnieją dwa uprawnienia umożliwiające przyznanie możliwości usuwania rejestracji aplikacji:

microsoft.directory/applications/delete

Przyznaje możliwość usuwania rejestracji aplikacji niezależnie od podtypu, w tym zarówno aplikacji jednodostępnych, jak i wielodostępnych.

microsoft.directory/applications.myOrganization/delete

Umożliwia usuwanie rejestracji aplikacji, które są ograniczone do tych dostępnych tylko dla kont w Twojej organizacji lub aplikacji jednostanowych (podtyp myOrganization).

Screenshot of permissions to grant access to the Delete app registration command.

Uwaga

Podczas przypisywania roli, która zawiera uprawnienia do tworzenia, rola musi być przypisana na poziomie katalogu. Uprawnienie do tworzenia przypisane na poziomie zasobów nie daje możliwości tworzenia rejestracji aplikacji.

Przeczytaj

Wszyscy użytkownicy będący członkami w organizacji mogą domyślnie odczytywać informacje o rejestracji aplikacji. However, guest users and application service principals can't. Jeśli planujesz przypisać rolę do użytkownika-gościa lub aplikacji, musisz uwzględnić odpowiednie uprawnienia do odczytu.

microsoft.directory/applications/allProperties/read

Grants the ability to read all properties of single-tenant and multitenant applications outside of properties that can't be read in any situation like credentials.

microsoft.directory/applications.myOrganization/allProperties/read

Grants the same permissions as microsoft.directory/applications/allProperties/read, but only for single-tenant applications.

microsoft.directory/applications/owners/read

Grants the ability to read owners property on single-tenant and multitenant applications. Udziela dostępu do wszystkich pól na stronie rejestracji właścicieli aplikacji.

Screenshot of permissions to grant access to the app registration owners page.

microsoft.directory/applications/standard/read

Udziela dostępu do odczytu standardowych właściwości rejestracji aplikacji. This includes properties across application registration pages.

microsoft.directory/applications.myOrganization/standard/read

Grants the same permissions as microsoft.directory/applications/standard/read, but for only single-tenant applications.

Zaktualizuj

Uprawnienia "Aktualizuj" w identyfikatorze Entra firmy Microsoft umożliwiają administratorom modyfikowanie różnych właściwości rejestracji aplikacji. Te uprawnienia są niezbędne do obsługi aplikacji jednodostępnych i wielodostępnych oraz zarządzania nimi. W zależności od przyznanego uprawnienia administratorzy mogą aktualizować właściwości, takie jak obsługiwane typy kont, ustawienia uwierzytelniania, szczegóły znakowania i inne. Poniżej znajduje się szczegółowa lista dostępnych uprawnień aktualizacji i ich określonych możliwości.

microsoft.directory/applications/allProperties/update

Allows the ability to update all properties on single-tenant and multitenant applications.

microsoft.directory/applications.myOrganization/allProperties/update

Grants the same permissions as microsoft.directory/applications/allProperties/update, but only for single-tenant applications.

microsoft.directory/applications/audience/update

Allows the ability to update the supported account type (signInAudience) property on single-tenant and multitenant applications.

Screenshot of permission to grant access to app registration supported account type property on authentication page.

microsoft.directory/applications.myOrganization/audience/update

Grants the same permissions as microsoft.directory/applications/audience/update, but only for single-tenant applications.

microsoft.directory/applications/authentication/update

Allows the ability to update the reply URL, sign-out URL, implicit flow, and publisher domain properties on single-tenant and multitenant applications. Przyznaje dostęp do wszystkich pól na stronie uwierzytelniania rejestracji aplikacji z wyjątkiem obsługiwanych typów kont:

Screenshot of permissions to grant access to app registration authentication, but not supported account types.

microsoft.directory/applications.myOrganization/authentication/update

Grants the same permissions as microsoft.directory/applications/authentication/update, but only for single-tenant applications.

microsoft.directory/applications/basic/update

Umożliwia aktualizację nazwy, logo, adresu URL strony głównej, adresu URL warunków usługi oraz adresu URL oświadczenia o ochronie prywatności w aplikacjach jednotenantowych i wielotenantowych. Grants access to all fields on the application registration branding page:

Screenshot of permission to grant access to the app registration branding page.

microsoft.directory/applications.myOrganization/basic/update

Przyznaje te same uprawnienia co microsoft.directory/applications/basic/update, ale tylko w przypadku aplikacji o pojedynczym dzierżawcy.

microsoft.directory/applications/credentials/update

Allows the ability to update the certificates and client secrets properties on single-tenant and multitenant applications. Udziela dostępu do wszystkich pól na stronie certyfikatów i tajemnic rejestracji aplikacji:

Screenshot of permission to grant access to the app registration certificates & secrets page.

microsoft.directory/applications.myOrganization/credentials/update

Grants the same permissions as microsoft.directory/applications/credentials/update, but only for single-tenant applications.

microsoft.directory/applications/owners/update

Allows the ability to update the owner property on single-tenant and multitenant. Udziela dostępu do wszystkich pól na stronie rejestracji właścicieli aplikacji.

Screenshot of permissions to grant access to the app registration owners page.

microsoft.directory/applications.myOrganization/owners/update

Grants the same permissions as microsoft.directory/applications/owners/update, but only for single-tenant applications.

microsoft.directory/applications/permissions/update

To uprawnienie umożliwia aktualizowanie różnych właściwości w aplikacjach z pojedynczymi i wieloma dzierżawcami, w tym uprawnienia delegowane, uprawnienia aplikacji, zatwierdzone aplikacje klienckie, wymagane uprawnienia i właściwości związane ze zgodą. Nie udziela możliwości wyrażania zgody. Grants access to all fields on the application registration API permissions and Expose an API pages:

Screenshot of permissions to grant access to the app registration API permissions page.

Screenshot of permissions to grant access to the app registration Expose an API page.

microsoft.directory/applications.myOrganization/permissions/update

Grants the same permissions as microsoft.directory/applications/permissions/update, but only for single-tenant applications.

Następne kroki