Microsoft.Graph servicePrincipals
Permissões
Escolha a permissão ou permissões marcadas como menos privilegiadas para essa API. Use uma permissão ou permissões com privilégios mais altos somente se o aplicativo exigir. Para obter detalhes sobre permissões delegadas e de aplicativo, consulte Tipos de permissão. Para saber mais sobre essas permissões, consulte a referência de permissões.
Observação
As permissões para contas pessoais da Microsoft não podem ser usadas para implantar recursos do Microsoft Graph declarados em arquivos Bicep.
| Tipo de permissão | Permissões com privilégios mínimos | Permissões com privilégios mais altos |
|---|---|---|
| Delegado (conta corporativa ou de estudante) | Application.ReadWrite.All | Directory.ReadWrite.All |
| Delegado (conta pessoal da Microsoft) | Não há suporte. | Não há suporte. |
| Aplicativo | Application.ReadWrite.OwnedBy | Application.ReadWrite.All, Directory.ReadWrite.All |
Formato de recurso
Para criar um recurso Microsoft.Graph/servicePrincipals, adicione o seguinte Bicep ao seu modelo.
resource symbolicname 'Microsoft.Graph/servicePrincipals@v1.0' = {
accountEnabled: bool
addIns: [
{
id: 'string'
properties: [
{
key: 'string'
value: 'string'
}
]
type: 'string'
}
]
alternativeNames: [
'string'
]
appDescription: 'string'
appDisplayName: 'string'
appId: 'string'
appRoleAssignmentRequired: bool
appRoles: [
{
allowedMemberTypes: [
'string'
]
description: 'string'
displayName: 'string'
id: 'string'
isEnabled: bool
value: 'string'
}
]
customSecurityAttributes: any
description: 'string'
disabledByMicrosoftStatus: 'string'
displayName: 'string'
homepage: 'string'
info: {
marketingUrl: 'string'
privacyStatementUrl: 'string'
supportUrl: 'string'
termsOfServiceUrl: 'string'
}
keyCredentials: [
{
customKeyIdentifier: 'string'
displayName: 'string'
endDateTime: 'string'
key: 'string'
keyId: 'string'
startDateTime: 'string'
type: 'string'
usage: 'string'
}
]
loginUrl: 'string'
logoutUrl: 'string'
notes: 'string'
notificationEmailAddresses: [
'string'
]
oauth2PermissionScopes: [
{
adminConsentDescription: 'string'
adminConsentDisplayName: 'string'
id: 'string'
isEnabled: bool
type: 'string'
userConsentDescription: 'string'
userConsentDisplayName: 'string'
value: 'string'
}
]
passwordCredentials: [
{
displayName: 'string'
endDateTime: 'string'
keyId: 'string'
startDateTime: 'string'
}
]
preferredSingleSignOnMode: 'string'
preferredTokenSigningKeyThumbprint: 'string'
replyUrls: [
'string'
]
samlSingleSignOnSettings: {
relayState: 'string'
}
servicePrincipalNames: [
'string'
]
servicePrincipalType: 'string'
tags: [
'string'
]
tokenEncryptionKeyId: 'string'
verifiedPublisher: {
addedDateTime: 'string'
displayName: 'string'
verifiedPublisherId: 'string'
}
}
Valores de propriedade
servicePrincipals
| Nome | Descrição | Valor |
|---|---|---|
| accountEnabled | true se a conta da entidade de serviço estiver habilitada; caso contrário, false. Se definido como false, nenhum usuário poderá entrar neste aplicativo, mesmo que esteja atribuído a ele | bool |
| addIns | Define o comportamento personalizado que um serviço de consumo pode usar para chamar um aplicativo em contextos específicos. Por exemplo, aplicativos que podem renderizar fluxos de arquivos podem definir a propriedade addIns para sua funcionalidade 'FileHandler'. Isso permite que serviços como o Microsoft 365 chamem o aplicativo no contexto de um documento no qual o usuário está trabalhando. | MicrosoftGraphAddIn |
| nomes alternativos | Usado para recuperar entidades de serviço por assinatura, identificar o grupo de recursos e IDs de recursos completos para identidades gerenciadas | string[] |
| apiVersion | A versão da API de recursos | 'v1.0' (somente leitura) |
| appDescription | A descrição exposta pelo aplicativo associado. | string |
| appDisplayName | O nome de exibição exposto pelo aplicativo associado. | string |
| appId | O identificador exclusivo do aplicativo associado (sua propriedade appId). Chave alternativa | string (Obrigatório) |
| applicationTemplateId | Identificador exclusivo do applicationTemplate. Somente leitura. null se a entidade de serviço não tiver sido criada a partir de um modelo de aplicativo. | cadeia de caracteres (somente leitura) |
| appOwnerOrganizationId | Contém a ID do locatário em que o aplicativo está registrado. Isso é aplicável somente a entidades de serviço com suporte de aplicativos | cadeia de caracteres (somente leitura) Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| appRoleAssignmentRequired | Especifica se os usuários ou outras entidades de serviço precisam receber uma atribuição de função de aplicativo para essa entidade de serviço antes que os usuários possam entrar ou os aplicativos possam obter tokens. O valor padrão é falso. Não permite valor nulo | bool |
| appRoles | As funções expostas pelo aplicativo vinculado a essa entidade de serviço. Para obter mais informações, consulte a definição da propriedade appRoles na entidade do aplicativo. Não permite valor nulo. | MicrosoftGraphAppRole[] |
| customSecurityAttributes | Um tipo complexo aberto que contém o valor de um atributo de segurança personalizado atribuído a um objeto de diretório. Anulável. O valor do filtro diferencia maiúsculas de minúsculas. | any |
| deletedDateTime | Data e hora em que esse objeto foi excluído. Sempre nulo quando o objeto não tiver sido excluído. | cadeia de caracteres (somente leitura) |
| descrição | Campo de texto livre para fornecer uma descrição interna voltada para o usuário final da entidade de serviço. Portais de usuários finais, como MyApps, exibem a descrição do aplicativo neste campo. O tamanho máximo permitido é de 1.024 caracteres | string |
| disabledByMicrosoftStatus | Especifica se a Microsoft desabilitou o aplicativo registrado. Os valores possíveis são: null (valor padrão), NotDisabled e DisabledDueToViolationOfServicesAgreement (os motivos incluem atividades suspeitas, abusivas ou mal-intencionadas ou uma violação do Contrato de Serviços Microsoft) | string |
| displayName | O nome de exibição da entidade de serviço | string |
| homepage | Página inicial ou página inicial do aplicativo. | string |
| ID | O identificador exclusivo de uma entidade. Somente leitura. | cadeia de caracteres (somente leitura) |
| informações | Informações básicas de perfil do aplicativo adquirido, como marketing, suporte, termos de serviço e URLs de política de privacidade do aplicativo. Os termos de serviço e a declaração de privacidade são revelados aos usuários por meio da experiência de consentimento do usuário. Para obter mais informações, consulte Como adicionar termos de serviço e política de privacidade para aplicativos registrados do Microsoft Entra | MicrosoftGraphInformationalUrl |
| keyCredentials | A coleção de credenciais de chave associadas à entidade de serviço. Não permite valor nulo | MicrosoftGraphKeyCredential |
| loginUrl | Especifica a URL em que o provedor de serviços redireciona o usuário para a ID do Microsoft Entra para autenticação. A ID do Microsoft Entra usa a URL para iniciar o aplicativo do Microsoft 365 ou do Microsoft Entra Meus Aplicativos. Quando em branco, a ID do Microsoft Entra executa o logon iniciado pelo IdP para aplicativos configurados com logon único baseado em SAML. O usuário inicia o aplicativo do Microsoft 365, do Microsoft Entra Meus Aplicativos ou da URL SSO do Microsoft Entra. | string |
| logoutUrl | Especifica a URL que o serviço de autorização da Microsoft usa para desconectar um usuário usando os protocolos de canal frontal, canal traseiro ou saída SAML do OpenID Connect. | string |
| HDInsight | Campo de texto livre para capturar informações sobre a entidade de serviço, normalmente usado para fins operacionais. O tamanho máximo permitido é de 1.024 caracteres. | string |
| notificationEmailAddresses | Especifica a lista de endereços de email para os quais a ID do Microsoft Entra envia uma notificação quando o certificado ativo está próximo da data de expiração. Isso é apenas para os certificados usados para assinar o token SAML emitido para aplicativos da Galeria do Microsoft Entra. | string[] |
| oauth2PermissionScopes | As permissões delegadas expostas pelo aplicativo. Para obter mais informações, consulte a propriedade oauth2PermissionScopes na propriedade api da entidade do aplicativo. Não permite valor nulo. | MicrosoftGraphPermissionScope[] |
| passwordCredentials | A coleção de credenciais de senha associadas ao aplicativo. Não permite valor nulo. | MicrosoftGraphPasswordCredential[] |
| preferredSingleSignOnMode | Especifica o modo de logon único configurado para este aplicativo. A ID do Microsoft Entra usa o modo de logon único preferencial para iniciar o aplicativo do Microsoft 365 ou do portal Meus Aplicativos. Os valores suportados são password, saml, notSupported e oidc. | string |
| preferredTokenSigningKeyThumbprint | Essa propriedade pode ser usada em aplicativos SAML (aplicativos que têm preferredSingleSignOnMode definido como saml) para controlar qual certificado é usado para assinar as respostas SAML. Para aplicativos que não são SAML, não escreva ou dependa dessa propriedade. | string |
| replyUrls | As URLs para as quais os tokens de usuário são enviados para entrar com o aplicativo associado ou os URIs de redirecionamento para os quais os códigos de autorização e tokens de acesso do OAuth 2.0 são enviados para o aplicativo associado. Não permite valor nulo. | string[] |
| resourceSpecificApplicationPermissions | As permissões de aplicativo específicas do recurso expostas por esse aplicativo. Atualmente, as permissões específicas do recurso só têm suporte para aplicativos do Teams que acessam chats e equipes específicos usando o Microsoft Graph. Somente leitura. | MicrosoftGraphResourceSpecificPermission[] (Somente leitura) |
| samlSingleSignOnSettings | A coleção de configurações relacionadas ao logon único saml. | MicrosoftGraphSamlSingleSignOnSettings |
| servicePrincipalNames | Contém a lista de identifiersUris, copiada do aplicativo associado. Valores adicionais podem ser adicionados a aplicativos híbridos. Esses valores podem ser usados para identificar as permissões expostas por esse aplicativo na ID do Microsoft Entra. Por exemplo, os aplicativos cliente podem especificar um URI de recurso baseado nos valores dessa propriedade para adquirir um token de acesso, que é o URI retornado na declaração 'aud'. O operador any é necessário para expressões de filtro em propriedades de vários valores. Não permite valor nulo | string[] |
| servicePrincipalType | Identifica se a entidade de serviço representa um aplicativo, uma identidade gerenciada ou um aplicativo herdado. Isso é definido internamente pela ID do Microsoft Entra. A propriedade servicePrincipalType pode ser definida como três valores diferentes: Aplicativo – uma entidade de serviço que representa um aplicativo ou serviço. A propriedade appId identifica o registro do aplicativo associado e corresponde ao appId de um aplicativo, possivelmente de um locatário diferente. Se o registro do aplicativo associado estiver ausente, os tokens não serão emitidos para a entidade de serviço. ManagedIdentity - Uma entidade de serviço que representa uma identidade gerenciada. As entidades de serviço que representam identidades gerenciadas podem receber acesso e permissões, mas não podem ser atualizadas ou modificadas diretamente. Herdado – uma entidade de serviço que representa um aplicativo criado antes dos registros do aplicativo ou por meio de experiências herdadas. Uma entidade de serviço herdada pode ter credenciais, nomes de entidade de serviço, URLs de resposta e outras propriedades que podem ser editadas por um usuário autorizado, mas não tem um registro de aplicativo associado. O valor appId não associa a entidade de serviço a um registro de aplicativo. A entidade de serviço só pode ser usada no locatário em que foi criada. SocialIdp - Para uso interno. | string |
| signInAudience | Especifica as contas da Microsoft com suporte para o aplicativo atual. Somente leitura. Os valores com suporte são:AzureADMyOrg: usuários com uma conta corporativa ou de estudante da Microsoft no locatário do Microsoft Entra da minha organização (locatário único). AzureADMultipleOrgs: usuários com uma conta corporativa ou de estudante da Microsoft no locatário do Microsoft Entra de qualquer organização (multilocatário). AzureADandPersonalMicrosoftAccount: usuários com uma conta pessoal da Microsoft ou uma conta corporativa ou de estudante no locatário do Microsoft Entra de qualquer organização. PersonalMicrosoftAccount: usuários com apenas uma conta pessoal da Microsoft. | cadeia de caracteres (somente leitura) |
| tags | Cadeias de caracteres personalizadas que podem ser usadas para categorizar e identificar a entidade de serviço. Não permite valor nulo | string[] |
| tokenEncryptionKeyId | Especifica o keyId de uma chave pública da coleção keyCredentials. Quando configurada, a ID do Microsoft Entra emite tokens para esse aplicativo criptografado usando a chave especificada por essa propriedade. O código de aplicativo que recebe o token criptografado deve usar a chave privada correspondente para descriptografar o token antes que ele possa ser usado para o usuário conectado. | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| tipo | O tipo de recurso | 'Microsoft.Graph/servicePrincipals' (somente leitura) |
| editor verificado | Especifica o editor verificado do aplicativo vinculado a essa entidade de serviço. | MicrosoftGraphVerifiedPublisher |
MicrosoftGraphKeyValue
| Nome | Descrição | Valor |
|---|---|---|
| chave | Chave para o par chave-valor. | string |
| value | Valor para o par chave-valor. | string |
MicrosoftGraphAddIn
| Nome | Descrição | Valor |
|---|---|---|
| ID | O identificador exclusivo do objeto addIn. | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| properties | A coleção de pares chave-valor que definem parâmetros que o serviço de consumo pode usar ou chamar. Você deve especificar essa propriedade ao executar uma operação POST ou PATCH na coleção addIns. Obrigatória. | MicrosoftGraphKeyValue |
| tipo | O nome exclusivo da funcionalidade exposta pelo aplicativo. | string |
MicrosoftGraphAppRole
| Nome | Descrição | Valor |
|---|---|---|
| allowedMemberTypes | Especifica se essa função de aplicativo pode ser atribuída a usuários e grupos (definindo como ['Usuário']), a outros aplicativos (definindo como ['Aplicativo'] ou ambos (definindo como ['Usuário', 'Aplicativo']). As funções de aplicativo que dão suporte à atribuição a entidades de serviço de outros aplicativos também são conhecidas como permissões de aplicativo. O valor 'Aplicativo' só tem suporte para funções de aplicativo definidas em entidades de aplicativo. | string[] |
| descrição | A descrição da função de aplicativo. Isso é exibido quando a função de aplicativo está sendo atribuída e, se a função de aplicativo funcionar como uma permissão de aplicativo, durante as experiências de consentimento. | string |
| displayName | Nome de exibição para a permissão que aparece na atribuição de função de aplicativo e experiências de consentimento. | string |
| ID | Identificador de função exclusivo dentro da coleção appRoles. Ao criar uma nova função de aplicativo, um novo identificador GUID deve ser fornecido. | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | Ao criar ou atualizar uma função de aplicativo, isso deve ser definido como true (que é o padrão). Para excluir uma função, isso deve primeiro ser definido como false. Nesse ponto, em uma chamada subsequente, essa função pode ser removida. | bool |
| origin | Especifica se a função de aplicativo é definida no objeto de aplicativo ou na entidade servicePrincipal. Não deve ser incluído em nenhuma solicitação POST ou PATCH. Somente leitura. | cadeia de caracteres (somente leitura) |
| value | Especifica o valor a ser incluído na declaração roles em tokens de ID e tokens de acesso que autenticam um usuário ou entidade de serviço atribuído. Não deve exceder 120 caracteres. Os caracteres permitidos são: ! # $ % & ' ( ) * + , -. / : ; = ? @ [ ] ^ + _ { } ~ e caracteres nos intervalos de 0 a 9, A-Z e a-z. Qualquer outro caractere, incluindo o caractere de espaço, não é permitido. Pode não começar com .. | string |
MicrosoftGraphInformationalUrl
| Nome | Descrição | Valor |
|---|---|---|
| logoUrl | URL da CDN para o logotipo do aplicativo, somente leitura. | cadeia de caracteres (somente leitura) |
| marketingUrl | Link para a página de marketing do aplicativo. Por exemplo, https://www.contoso.com/app/marketing | string |
| privacyStatementUrl | Link para a declaração de privacidade do aplicativo. Por exemplo, https://www.contoso.com/app/privacy | string |
| URL de suporte | Link para a página de suporte do aplicativo. Por exemplo, https://www.contoso.com/app/support | string |
| termsOfServiceUrl (em inglês) | Link para a declaração de termos de serviço do aplicativo. Por exemplo, https://www.contoso.com/app/termsofservice | string |
MicrosoftGraphKeyCredential
| Nome | Descrição | Valor |
|---|---|---|
| customKeyIdentifier | Um tipo binário de 40 caracteres que pode ser usado para identificar a credencial. Opcional. Quando não é fornecido na carga, o padrão é a impressão digital do certificado. | string |
| displayName | Nome amigável para a chave. Opcional. | string |
| endDateTime | A data e a hora em que a credencial expira. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1º de janeiro de 2014 é 2014-01-01T00:00:00Z. | string |
| chave | Os dados brutos do certificado na matriz de bytes convertidos em cadeia de caracteres Base64. Em um certificado .cer, você pode ler a chave usando o método Convert.ToBase64String(). Para obter mais informações, consulte Obter a chave de certificado. | string |
| keyId | O identificador exclusivo (GUID) da chave. | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| startDateTime | A data e a hora em que a credencial se torna válida. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1º de janeiro de 2014 é 2014-01-01T00:00:00Z. | string |
| tipo | O tipo de credencial de chave; por exemplo, Symmetric, AsymmetricX509Cert. | string |
| uso | Uma cadeia de caracteres que descreve a finalidade para a qual a chave pode ser usada; por exemplo, Verificar. | string |
MicrosoftGraphPermissionScope
| Nome | Descrição | Valor |
|---|---|---|
| adminConsentDescription | Uma descrição das permissões delegadas, destinada a ser lida por um administrador que concede a permissão em nome de todos os usuários. Esse texto aparece em experiências de consentimento de administrador em todo o locatário. | string |
| adminConsentDisplayName | O título da permissão, destinado a ser lido por um administrador que concede a permissão em nome de todos os usuários. | string |
| ID | Identificador de permissão delegada exclusivo dentro da coleção de permissões delegadas definidas para um aplicativo de recurso. | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | Quando você cria ou atualiza uma permissão, essa propriedade deve ser definida como true (que é o padrão). Para excluir uma permissão, essa propriedade deve primeiro ser definida como false. Nesse ponto, em uma chamada subsequente, a permissão pode ser removida. | bool |
| tipo | Os valores possíveis são: Usuário e Administrador. Especifica se essa permissão delegada deve ser considerada segura para usuários não administradores consentirem em nome de si mesmos ou se um consentimento de administrador deve ser sempre necessário. Embora o Microsoft Graph defina o requisito de consentimento padrão para cada permissão, o administrador do locatário pode substituir o comportamento em sua organização (permitindo, restringindo ou limitando o consentimento do usuário a essa permissão delegada). Para obter mais informações, confira Configurar como os usuários dão consentimento aos aplicativos. | string |
| userConsentDescription | Uma descrição das permissões delegadas, destinada a ser lida por um usuário que concede a permissão em seu próprio nome. Esse texto aparece em experiências de consentimento em que o usuário está consentindo apenas em nome de si mesmo. | string |
| userConsentDisplayName | Um título para a permissão, destinado a ser lido por um usuário que concede a permissão em seu próprio nome. Esse texto aparece em experiências de consentimento em que o usuário está consentindo apenas em nome de si mesmo. | string |
| value | Especifica o valor a ser incluído na declaração scp (escopo) em tokens de acesso. Não deve exceder 120 caracteres. Os caracteres permitidos são: ! # $ % & ' ( ) * + , -. / : ; = ? @ [ ] ^ + _ { } ~ e caracteres nos intervalos de 0 a 9, A-Z e a-z. Qualquer outro caractere, incluindo o caractere de espaço, não é permitido. Pode não começar com .. | string |
MicrosoftGraphPasswordCredential
| Nome | Descrição | Valor |
|---|---|---|
| displayName | Nome amigável para a senha. Opcional. | string |
| endDateTime | A data e a hora em que a senha expira são representadas usando o formato ISO 8601 e estão sempre no horário UTC. Por exemplo, meia-noite UTC em 1º de janeiro de 2014 é 2014-01-01T00:00:00Z. Opcional. | string |
| hint | Contém os três primeiros caracteres da senha. Somente leitura. | cadeia de caracteres (somente leitura) |
| keyId | O identificador exclusivo da senha. | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| Texto secreto | Somente leitura; Contém as senhas fortes geradas pela ID do Microsoft Entra com 16 a 64 caracteres. O valor da senha gerada só é retornado durante a solicitação POST inicial para addPassword. Não há como recuperar essa senha no futuro. | cadeia de caracteres (somente leitura) |
| startDateTime | A data e a hora em que a senha se torna válida. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1º de janeiro de 2014 é 2014-01-01T00:00:00Z. Opcional. | string |
MicrosoftGraphResourceSpecificPermission
| Nome | Descrição | Valor |
|---|---|---|
| descrição | Descreve o nível de acesso que a permissão específica do recurso representa. | string |
| displayName | O nome de exibição da permissão específica do recurso. | string |
| ID | O identificador exclusivo para a permissão de aplicativo específico do recurso. | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | Indica se a permissão está habilitada. | bool |
| value | O valor da permissão. | string |
MicrosoftGraphSamlSingleSignOnSettings
| Nome | Descrição | Valor |
|---|---|---|
| estado do relé | O URI relativo para o qual o provedor de serviços redirecionaria após a conclusão do fluxo de logon único. | string |
MicrosoftGraphVerifiedPublisher
| Nome | Descrição | Valor |
|---|---|---|
| DateTime adicionado | O carimbo de data/hora em que o editor verificado foi adicionado pela primeira vez ou atualizado mais recentemente. | string |
| displayName | O nome do editor verificado da conta do Partner Center do editor do aplicativo. | string |
| verifiedPublisherId | A ID do editor verificado da conta do Partner Center do editor do aplicativo. | string |