Разрешения на регистрацию приложений для пользовательских ролей в идентификаторе Microsoft Entra
В этой статье содержатся доступные в настоящее время разрешения на регистрацию приложений для пользовательских определений ролей в идентификаторе Microsoft Entra.
Требования к лицензиям
Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.
Разрешения для управления приложениями с одним клиентом
При выборе разрешений для настраиваемой роли вы можете предоставить доступ для управления только приложениями с одним клиентом. Приложения с одним клиентом доступны только пользователям в организации Microsoft Entra, где зарегистрировано приложение. У приложений с одним клиентом для параметра Поддерживаемые типы учетных записей установлено значение "Учетные записи только в этом каталоге организации". В API Graph для приложений с одним клиентом свойство signInAudience имеет значение AzureADMyOrg.
Чтобы предоставить доступ для управления только приложениями с одним клиентом, используйте приведенные ниже разрешения с подтипом applications.myOrganization. Например, microsoft.directory/applications.myOrganization/basic/update.
В обзоре настраиваемых ролей объясняется, что такое подтип, разрешения и набор свойств. Следующие сведения относятся к регистрации приложений.
Создание и удаление
Создавать регистрации приложений можно при наличии по крайней мере одного из двух разрешений, отличающихся принципом действия:
microsoft.directory/applications/createAsOwner
При назначении этого разрешения создатель добавляется в качестве первого владельца созданной регистрации приложения, которая учитывается при оценке соблюдения квоты создателя в 250 созданных объектах.
microsoft.directory/applications/create
При назначении этого разрешения создатель не добавляется в качестве первого владельца созданной регистрации приложения и она не учитывается при оценке соблюдения квоты создателя в 250 созданных объектах. Используйте это разрешение с осторожностью, так как в случае его применения ничто не мешает создавать регистрации приложений до тех пор, пока не будет исчерпана квота на уровне каталога.
Если назначены оба разрешения, разрешение /create будет иметь приоритет. Хотя разрешение /createAsOwner не добавляет создателя в качестве первого владельца автоматически, владельцы могут быть указаны во время создания регистрации приложения с помощью API Graph или командлетов PowerShell.
Разрешения на создание предоставляют доступ к команде создания регистрации.
Существует два разрешения для предоставления возможности удалять регистрации приложений:
microsoft.directory/applications/delete
Предоставляет возможность удалять регистрации приложений независимо от подтипа (с одним и несколькими клиентами).
microsoft.directory/applications.myOrganization/delete
Предоставляет возможность удалять регистрации приложений, которые доступны только для учетных записей в организации, или приложений с одним клиентом (подтип myOrganization).
Примечание.
При назначении роли, содержащей разрешения create, назначение роли должно быть выполнено в области каталога. Разрешение create, назначенное в области действия ресурса, не дает возможность создавать регистрации приложений.
Читать
Все пользователи, входящие в организацию, могут читать сведения о регистрации приложения по умолчанию. Однако гостевые пользователи и субъекты-службы приложений не могут этого делать. Если вы планируете назначить роль гостевому пользователю или приложению, необходимо включить соответствующие разрешения на чтение.
microsoft.directory/applications/allProperties/read
Возможность чтения всех свойств приложений с одним и несколькими клиентами, кроме свойств, которые не могут быть считаны ни при каких обстоятельствах, например учетные данные.
microsoft.directory/applications.myOrganization/allProperties/read
Предоставляет те же разрешения, что и microsoft.directory/applications/allProperties/read, но только для приложений с одним клиентом.
microsoft.directory/applications/owners/read
Предоставляет возможность чтения свойств владельцев в приложениях с одним и несколькими клиентами. Предоставляет доступ ко всем полям на странице владельцев регистрации приложений:
microsoft.directory/applications/standard/read
Предоставляет доступ на чтение стандартных свойств регистрации приложения. К ним относятся свойства на страницах регистрации приложений.
microsoft.directory/applications.myOrganization/standard/read
Предоставляет те же разрешения, что и microsoft.directory/applications/standard/read, но только для приложений с одним клиентом.
Обновить
microsoft.directory/applications/allProperties/update
Возможность обновления всех свойств в приложениях с одним или несколькими клиентами.
microsoft.directory/applications.myOrganization/allProperties/update
Предоставляет те же разрешения, что и microsoft.directory/applications/allProperties/update, но только для приложений с одним клиентом.
microsoft.directory/applications/audience/update
Возможность обновления свойства поддерживаемого типа учетной записи (signInAudience) в приложениях с одним или несколькими клиентами.
microsoft.directory/applications.myOrganization/audience/update
Предоставляет те же разрешения, что и microsoft.directory/applications/audience/update, но только для приложений с одним клиентом.
microsoft.directory/applications/authentication/update
Возможность обновления URL-адреса ответа, URL-адреса выхода, неявного потока и свойств домена издателя в приложениях с одним или несколькими клиентами. Предоставляет доступ ко всем полям на странице проверки подлинности регистрации приложения, за исключением поддерживаемых типов учетных записей:
microsoft.directory/applications.myOrganization/authentication/update
Предоставляет те же разрешения, что и microsoft.directory/applications/authentication/update, но только для приложений с одним клиентом.
microsoft.directory/applications/basic/update
Возможность обновления свойств имени, логотипа, URL-адреса домашней страницы, URL-адреса условий предоставления услуг и URL-адреса заявления о конфиденциальности в приложениях с одним или несколькими клиентами. Предоставляет доступ ко всем полям на странице фирменной символики регистрации приложений:
microsoft.directory/applications.myOrganization/basic/update
Предоставляет те же разрешения, что и microsoft.directory/applications/basic/update, но только для приложений с одним клиентом.
microsoft.directory/applications/credentials/update
Возможность обновления свойств сертификатов и секретов клиента в приложениях с одним или несколькими клиентами. Предоставляет доступ ко всем полям на странице сертификатов и секретов регистрации приложений:
microsoft.directory/applications.myOrganization/credentials/update
Предоставляет те же разрешения, что и microsoft.directory/applications/credentials/update, но только для приложений с одним клиентом.
microsoft.directory/applications/owners/update
Возможность обновления свойства владельца в приложениях с одним или несколькими клиентами. Предоставляет доступ ко всем полям на странице владельцев регистрации приложений:
microsoft.directory/applications.myOrganization/owners/update
Предоставляет те же разрешения, что и microsoft.directory/applications/owners/update, но только для приложений с одним клиентом.
microsoft.directory/applications/permissions/update
Возможность обновления делегированных разрешений, разрешений приложения, авторизованных клиентских приложений, необходимых разрешений и предоставления свойств согласия в приложениях с одним или несколькими клиентами. Не предоставляет возможность выполнения согласия. Предоставляет доступ ко всем полям в разрешениях API регистрации приложения и страницам предоставления API:
microsoft.directory/applications.myOrganization/permissions/update
Предоставляет те же разрешения, что и microsoft.directory/applications/permissions/update, но только для приложений с одним клиентом.