Тип ресурса application
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Представляет приложение. Любое приложение, которое передает проверку подлинности в Microsoft Entra ID, должно быть зарегистрировано на платформе удостоверений Майкрософт. Регистрация приложения включает в себя указание идентификатора Microsoft Entra о вашем приложении, включая URL-адрес, в котором оно находится, URL-адрес для отправки ответов после проверки подлинности, универсальный код ресурса (URI) для идентификации приложения и многое другое.
Наследуется от directoryObject.
Этот ресурс относится к открытому типу, который позволяет передавать другие свойства.
Этот ресурс поддерживает:
- добавление собственных данных к настраиваемым свойствам в виде расширений;
- отслеживание дополнений, удалений и обновлений с помощью запроса изменений (функция delta).
- Синтаксис альтернативного ключа. Свойство
appIdявляется поддерживаемым альтернативным ключом. Дополнительные сведения см. в разделе Получение приложения.
Методы
| Метод | Возвращаемый тип | Описание |
|---|---|---|
| Список | Коллекция application | Получение списка приложений в организации. |
| Создание | application | Создает (регистрирует) новое приложение. |
| Получение | application | Считывание свойств и связей объекта application. |
| Обновление | Нет | Обновление объекта application. |
| Upsert | application | Создайте новое приложение, если оно не существует, или обновите свойства существующего приложения. |
| удаление; | Нет | Удаление объекта application. |
| Получение дельты | Коллекция application | Получение добавочных изменений для приложений. |
| Удаленные элементы | ||
| List | Коллекция directoryObject | Получение списка недавно удаленных приложений. |
| получение; | directoryObject | Получение свойств недавно удаленного приложения. |
| Восстановление | directoryObject | Восстановление недавно удаленного приложения. |
| Удалить без возможности восстановления | Нет | Окончательное удаление приложения. |
| Перечисление удаленных элементов, принадлежащих пользователю | Коллекция directoryObject | Получение приложений, принадлежащих пользователю, которые удалены в клиенте за последние 30 дней. |
| Сертификаты и секреты | ||
| Добавление пароля | passwordCredential | Добавление надежного пароля или секрета в приложение. |
| Удаление пароля | passwordCredential | Удаление пароля или секрета из приложения. |
| Добавление ключа | keyCredential | Добавление учетных данных ключа в приложение. |
| Удаление ключа | Нет | Удаление учетных данных ключа из приложения. |
| Владельцы | ||
| List | Коллекция directoryObject | Получение владельцев приложения. |
| Добавление | directoryObject | Назначение владельца приложению. Владельцами приложений могут быть пользователи или субъекты-службы. |
| Remove | Нет | Удаление владельца приложения. Рекомендуется, чтобы у приложений было по крайней мере два владельца. |
| Проверенный издатель | ||
| Set | Нет | Установка проверенного издателя приложения. |
| Отмена установки | Нет | Удаление проверенного издателя приложения. |
Свойства
Важно!
Определенное использование $filter и параметра запроса $search поддерживается только при применении заголовка ConsistencyLevel с присвоенным значением eventual и $count. Дополнительные сведения см. в разделе Расширенные возможности запросов к объектам каталогов.
| Свойство | Тип | Описание |
|---|---|---|
| addIns | Коллекция addIn | Определяет пользовательское поведение, которое служба может использовать для вызова приложения в определенных контекстах. Например, приложения, которые могут визуализировать потоки файлов , могут задать свойство addIns для функции FileHandler. Это позволяет таким службам, как Office 365, вызывать приложение в контексте документа, над которым работает пользователь. |
| api | apiApplication | Задает параметры приложения, реализующего веб-API. |
| appId | String | Уникальный идентификатор приложения, который назначается идентификатором Microsoft Entra. Значение null не допускается. Только для чтения. Альтернативный ключ. Поддерживает $filter (eq). |
| applicationTemplateId | Строка | Уникальный идентификатор applicationTemplate. Поддерживает $filter (eq, not, ne). Только для чтения.
null Значение , если приложение не было создано на основе шаблона приложения. |
| appRoles | Коллекция appRole | Коллекция ролей, определенных для приложения. С помощью команды назначения ролей приложений эти роли можно назначать пользователям, группам или субъектам-службам, связанным с другими приложениями. Значение null не допускается. |
| authenticationBehaviors | authenticationBehaviors | Коллекция критических изменений, связанных с выдачей маркеров, настроенных для приложения. Поведение проверки подлинности не задано по умолчанию (null) и должно быть явно включено или отключено. Допускается значение null. Возвращается только с помощью оператора $select. Дополнительные сведения о поведении проверки подлинности см. в разделе Управление проверкой подлинности приложенийОбзоры, чтобы избежать непроверенного использования утверждений электронной почты для идентификации или авторизации пользователя. |
| certification | certification | Указывает состояние сертификации приложения. |
| createdDateTime | DateTimeOffset | Дата и время регистрации приложения. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда указывает время в формате UTC. Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. Только для чтения. Поддерживает $filter (eq, ne, not, ge, le, in и eq для значений null) и $orderby. |
| defaultRedirectUri | String | URI перенаправления по умолчанию. Если указан параметр и нет явного URI перенаправления в запросе на вход для потоков SAML и OIDC, идентификатор Microsoft Entra отправляет маркер в этот URI перенаправления. Идентификатор Microsoft Entra также отправляет маркер в этот URI по умолчанию в едином входе, инициированном поставщиком удостоверений SAML. Значение должно соответствовать одному из настроенных URI перенаправления для приложения. |
| deletedDateTime | DateTimeOffset | Дата и время удаления приложения. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда указывает время в формате UTC. Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. Только для чтения. |
| description | Строка | Произвольное текстовое поле для описания объекта приложения конечным пользователям. Максимальный допустимый размер — 1024 символа. Возвращается по умолчанию. Поддерживает $filter (eq, ne, not, ge, le, startsWith) и $search. |
| disabledByMicrosoftStatus | Строка | Указывает, отключила ли корпорация Майкрософт зарегистрированное приложение. Возможные значения: null (значение по умолчанию), NotDisabled и DisabledDueToViolationOfServicesAgreement (возможные причины: подозрительные, оскорбительные или вредоносные действия, а также нарушение соглашения об использовании служб Майкрософт). Поддерживает $filter (eq, ne, not). |
| displayName | String | Отображаемое имя приложения. Поддерживает $filter (eq, ne, not, ge, le, in, startsWith и eq для значений null), $search и $orderby. |
| groupMembershipClaims | String | Настраивает утверждение groups, выданное в маркере пользователя или маркере доступа OAuth 2.0, которого ожидает приложение. Чтобы задать этот атрибут, используйте одно из следующих строковых значений: None, SecurityGroup (для групп безопасности и ролей Microsoft Entra), All (при этом получаются все группы безопасности, группы рассылки и роли каталога Microsoft Entra, в которые входит вошедшего пользователя). |
| id | String | Уникальный идентификатор объекта приложения. Это свойство называется идентификатором объекта в Центре администрирования Microsoft Entra. Наследуется от directoryObject. Ключ. Значение null не допускается. Только для чтения. Поддерживает $filter (eq, ne, not, in). |
| identifierUris | Коллекция String | Это значение, также известное как URI идентификатора приложения, задается, когда приложение используется в качестве приложения-ресурса. ИдентификаторUris выступает в качестве префикса для областей, на которые вы ссылаетесь в коде API, и он должен быть глобально уникальным. Можно использовать предоставленное по умолчанию значение, которое находится в форме api://<appId>, или указать более читаемый URI, например https://contoso.com/api. Дополнительные сведения о допустимых шаблонах идентификаторовUris и рекомендациях см. в статье Рекомендации по безопасности регистрации приложений Microsoft Entra. Значение null не допускается. Поддерживает $filter (eq, ne, ge, le, startsWith). |
| info | informationalUrl | Базовые данные профиля для приложения, такие как URL-адреса маркетинга, поддержки, условий обслуживания и заявления о конфиденциальности. Условия обслуживания и заявление о конфиденциальности отображаются в окне запроса согласия пользователя. Дополнительные сведения см. в разделе Практическое руководство. Добавление условий обслуживания и заявления о конфиденциальности для зарегистрированных приложений Microsoft Entra. Поддерживает $filter (eq, ne, not, ge, le и eq для значений null). |
| isDeviceOnlyAuthSupported | Логический | Указывает, поддерживает ли приложение проверку подлинности устройства без пользователя. Значение по умолчанию: false. |
| isFallbackPublicClient | Boolean | Указывает резервный тип приложения как общедоступный клиент, например установленное приложение, запущенное на мобильном устройстве. Значение по умолчанию — false, что означает, что резервный тип приложения является конфиденциальным клиентом, например веб-приложением. Существуют определенные сценарии, в которых идентификатор Microsoft Entra не может определить тип клиентского приложения. Например, при потоке ROPC, когда приложение настроено без указания URI перенаправления. В таких случаях идентификатор Microsoft Entra интерпретирует тип приложения на основе значения этого свойства. |
| keyCredentials | Коллекция keyCredential | Коллекция ключевых учетных данных, связанных с приложением. Значение null не допускается. Поддерживает $filter (eq, not, ge, le). |
| logo | Stream | Основной логотип для приложения. Значение null не допускается. |
| nativeAuthenticationApisEnabled | nativeAuthenticationApisEnabled | Указывает, включены ли api собственной проверки подлинности для приложения. Возможные значения: noneи all. Значение по умолчанию: none. Дополнительные сведения см. в статье Собственная проверка подлинности. |
| notes | String | Заметки, важные для управления приложением. |
| oauth2RequiredPostResponse | Boolean | Указывает, разрешает ли в составе запросов маркеров OAuth 2.0 идентификатор Microsoft Entra запросы POST, а не запросы GET. Значение по умолчанию — false. В таком случае позволяются только запросы GET. |
| onPremisesPublishing | onPremisesPublishing | Представляет набор свойств, необходимых для настройки прокси-сервера приложений для этого приложения. Настройка этих свойств позволяет опубликовать локальное приложение для безопасного удаленного доступа. |
| optionalClaims | optionalClaims | Разработчики приложений могут настроить необязательные утверждения в своих приложениях Microsoft Entra, чтобы указать утверждения, которые отправляются в приложение службой маркеров безопасности Майкрософт. Дополнительные сведения см. в статье Инструкции: предоставление необязательных утверждений для приложения. |
| parentalControlSettings | parentalControlSettings | Указывает параметры родительского контроля для приложения. |
| passwordCredentials | Коллекция passwordCredential | Коллекция учетных данных паролей, связанных с приложением. Значение null не допускается. |
| publicClient | publicClientApplication | Указывает параметры для установленных клиентов, например классических или мобильных устройств. |
| publisherDomain | String | Проверенный домен издателя для приложения. Только для чтения. Поддерживает $filter (eq, ne, ge, le, startsWith). |
| requestSignatureVerification | requestSignatureVerification | Указывает, требуется ли этому приложению идентификатор Microsoft Entra для проверки подписанных запросов проверки подлинности. |
| requiredResourceAccess | Коллекция requiredResourceAccess | Указывает ресурсы, к которым приложению необходимо получить доступ. В этом свойстве также указывается набор делегированных разрешений и ролей приложения, необходимых для каждого из этих ресурсов. Эта настройка доступа к необходимым ресурсам определяет порядок предоставления согласия. Можно настроить не более 50 служб ресурсов (API). С середины октября 2021 г. общее количество необходимых разрешений не должно превышать 400. Дополнительные сведения см. в разделе Ограничения запрашиваемых разрешений для каждого приложения. Значение null не допускается. Поддерживает $filter (eq, not, ge, le). |
| samlMetadataUrl | Строка | URL-адрес, по которому служба предоставляет метаданные SAML для федерации. Это свойство допустимо только для приложений с одним клиентом. Допускается значение null. |
| serviceManagementReference | Строка | Ссылается на контактные данные приложения или службы из базы данных службы или управления активами. Допускается значение null. |
| signInAudience | String | Указывает, учетные записи Майкрософт, которые поддерживаются для текущего приложения. Возможные значения: AzureADMyOrg (по умолчанию), AzureADMultipleOrgs, AzureADandPersonalMicrosoftAccount, и PersonalMicrosoftAccount. Дополнительные сведения см. в таблице. Значение этого объекта также ограничивает количество разрешений, которые приложение может запрашивать. Дополнительные сведения см. в разделе Ограничения запрашиваемых разрешений для каждого приложения. Значение этого свойства влияет на другие свойства объекта приложения. В результате при изменении этого свойства может потребоваться сначала изменить другие свойства. Дополнительные сведения см. в разделе Различия в проверке для signInAudience. Поддерживает $filter (eq, ne, not). |
| servicePrincipalLockConfiguration | servicePrincipalLockConfiguration | Указывает, должны ли конфиденциальные свойства мультитенантного приложения быть заблокированы для редактирования после подготовки приложения в клиенте. Допускается значение null.
null по умолчанию. |
| spa | spaApplication | Указывает параметры для одностраничного приложения, в том числе URL-адреса выхода и URI перенаправления для кодов авторизации и маркеров доступа. |
| tags | Коллекция String | Настраиваемые строки, которые можно использовать для классификации и определения приложения. Значение null не допускается. Строки, добавленные здесь, также отображаются в свойстве tags всех связанных субъектов-служб. Поддерживает $filter (eq, , genot, le, startsWith) и $search. |
| tokenEncryptionKeyId | Guid | Задает значение открытого ключа keyId из коллекции keyCredentials. При настройке Идентификатор Microsoft Entra шифрует все маркеры, которые он выдает, используя ключ, на который указывает это свойство. Код приложения, получающий зашифрованный маркер, должен использовать соответствующий закрытый ключ для расшифровки маркера, прежде чем его можно будет применить для пользователя, выполнившего вход. |
| uniqueName | Строка | Уникальный идентификатор, который можно назначить приложению и использовать в качестве альтернативного ключа. Неизменяемый. Только для чтения. |
| verifiedPublisher | verifiedPublisher | Указывает проверенного издателя приложения. Дополнительные сведения о том, как проверка издателя помогает поддерживать безопасность приложений, надежность и соответствие требованиям, см. в разделе Проверка издателя. |
| web | webApplication | Указывает параметры для веб-приложения. |
| windows | windowsApplication | Указывает параметры приложений для устройств под управлением Microsoft Windows, опубликованных в Microsoft Store или магазине игр Xbox. |
Значения signInAudience
| Значение | Описание |
|---|---|
| AzureADMyOrg | Пользователи с рабочей или учебной учетной записью Майкрософт в клиенте Microsoft Entra организации (с одним клиентом). Это значение по умолчанию для свойства signInAudience. |
| AzureADMultipleOrgs | Пользователи с рабочей или учебной учетной записью Майкрософт в клиенте Microsoft Entra (мультитенантном) любой организации. |
| AzureADandPersonalMicrosoftAccount | Пользователи с личной учетной записью Майкрософт или рабочей или учебной учетной записью в клиенте Microsoft Entra любой организации. Для проверки подлинности пользователей с помощью пользовательских потоков Azure AD B2C используйте AzureADandPersonalMicrosoftAccount. Это значение позволяет использовать самый широкий набор удостоверений пользователей, включая локальные учетные записи и удостоверения пользователей из Microsoft, Facebook, Google, Twitter или любого поставщика OpenID Connect. |
| PersonalMicrosoftAccount | Пользователи только с личной учетной записью Майкрософт. |
Ограничения на запрашиваемые разрешения на приложение
Идентификатор Microsoft Entra ограничивает количество разрешений, которые могут быть запрошены и разрешены клиентским приложением. Эти ограничения зависят signInAudience от значения приложения, которое отображается в манифесте приложения.
| signInAudience | Разрешенные пользователи | Максимальное количество разрешений, которое может запросить приложение | Максимальное количество разрешений Microsoft Graph, которые может запросить приложение | Максимальное количество разрешений, которые можно дать в одном запросе |
|---|---|---|---|---|
| AzureADMyOrg | Пользователи из организации, в которой зарегистрировано приложение | 400 | 400 | Около 155 делегированных разрешений и около 300 разрешений приложения |
| AzureADMultipleOrgs | Пользователи из любой организации Microsoft Entra | 400 | 400 | Около 155 делегированных разрешений и около 300 разрешений приложения |
| PersonalMicrosoftAccount | Пользователи-потребители (например, учетные записи Outlook.com или Live.com) | 30 | 30 | 30 |
| AzureADandPersonalMicrosoftAccount | Пользователи-потребители и пользователи из любой организации Microsoft Entra | 30 | 30 | 30 |
Связи
Важно!
Конкретное $filter использование параметра запроса поддерживается только при использовании заголовка ConsistencyLevel и eventual$count. Дополнительные сведения см. в разделе Расширенные возможности запросов к объектам каталогов.
| Связь | Тип | Описание |
|---|---|---|
| appManagementPolicies | Коллекция appManagementPolicy | Параметр appManagementPolicy, примененный к этому приложению. |
| calls | Коллекция call | Только для чтения. Допускается значение null. |
| connectorGroup | connectorGroup | СоединительГруппа, используемая приложением, с прокси-сервером приложения Microsoft Entra. Допускается значение null. |
| createdOnBehalfOf | directoryObject | Поддерживает $filter (/$count eq 0, /$count ne 0). Только для чтения. |
| extensionProperties | Коллекция extensionProperty | Только для чтения. Допускается значение null. Поддерживает $expand и $filter (/$count eq 0, /$count ne 0). |
| federatedIdentityCredentials | Коллекция federatedIdentityCredential | Федеративные удостоверения для приложений. Поддерживает $expand и $filter (startsWith, /$count eq 0, /$count ne 0). |
| onlineMeetings | Коллекция onlineMeeting | Только для чтения. Допускается значение null. |
| owners | Коллекция directoryObject | Объекты каталогов, владеющие приложением. Только для чтения. Допускается значение null. Поддерживает $expand, $filter (/$count eq 0, /$count ne 0, /$count eq 1, /$count ne 1), и $select , вложенные в $expand. |
| синхронизация | синхронизация | Представляет возможность синхронизации удостоверений Microsoft Entra с помощью API Microsoft Graph. |
| tokenLifetimePolicies | Коллекция tokenLifetimePolicy | Типы ресурсов tokenLifetimePolicy, назначенные приложению. Поддерживает $expand. |
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"addIns": [{"@odata.type": "microsoft.graph.addIn"}],
"api": {"@odata.type": "microsoft.graph.apiApplication"},
"appId": "String",
"applicationTemplateId": "String",
"appRoles": [{"@odata.type": "microsoft.graph.appRole"}],
"authenticationBehaviors": {"@odata.type": "microsoft.graph.authenticationBehaviors"},
"certification": {"@odata.type": "microsoft.graph.certification"},
"createdDateTime": "String (timestamp)",
"deletedDateTime": "String (timestamp)",
"disabledByMicrosoftStatus": "String",
"displayName": "String",
"groupMembershipClaims": "String",
"id": "String (identifier)",
"identifierUris": ["String"],
"info": {"@odata.type": "microsoft.graph.informationalUrl"},
"isDeviceOnlyAuthSupported": false,
"isFallbackPublicClient": false,
"keyCredentials": [{"@odata.type": "microsoft.graph.keyCredential"}],
"logo": "Stream",
"nativeAuthenticationApisEnabled": "String",
"notes": "String",
"oauth2RequiredPostResponse": false,
"optionalClaims": {"@odata.type": "microsoft.graph.optionalClaims"},
"parentalControlSettings": {"@odata.type": "microsoft.graph.parentalControlSettings"},
"passwordCredentials": [{"@odata.type": "microsoft.graph.passwordCredential"}],
"publicClient": {"@odata.type": "microsoft.graph.publicClientApplication"},
"publisherDomain": "String",
"requestSignatureVerification": {"@odata.type": "microsoft.graph.requestSignatureVerification"},
"requiredResourceAccess": [{"@odata.type": "microsoft.graph.requiredResourceAccess"}],
"servicePrincipalLockConfiguration": {"@odata.type": "microsoft.graph.servicePrincipalLockConfiguration"},
"serviceManagementReference": "String",
"signInAudience": "String",
"spa": {"@odata.type": "microsoft.graph.spaApplication"},
"tags": ["String"],
"tokenEncryptionKeyId": "String",
"uniqueName": "String",
"verifiedPublisher": {"@odata.type": "microsoft.graph.verifiedPublisher"},
"web": {"@odata.type": "microsoft.graph.webApplication"},
"windows": {"@odata.type": "microsoft.graph.windowsApplication"}
}