Microsoft.Graph servicePrincipals
Внимание
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Разрешения
Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более высокий уровень привилегий или разрешений только в том случае, если приложение требует его. Дополнительные сведения о делегированных и разрешениях приложений см. в разделе "Типы разрешений". Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.
Примечание.
Разрешения для личных учетных записей Майкрософт нельзя использовать для развертывания ресурсов Microsoft Graph, объявленных в файлах Bicep.
| Тип разрешения | Минимальные привилегированные разрешения | Более высокие привилегированные разрешения |
|---|---|---|
| Делегированные (рабочая или учебная учетная запись) | Application.ReadWrite.All | Directory.ReadWrite.All |
| Делегированные (личная учетная запись Майкрософт) | Не поддерживается. | Не поддерживается. |
| Приложение | Application.ReadWrite.OwnedBy | Application.ReadWrite.All, Directory.ReadWrite.All |
Формат ресурсов
Чтобы создать ресурс Microsoft.Graph/servicePrincipals, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.Graph/servicePrincipals@beta' = {
accountEnabled: bool
addIns: [
{
id: 'string'
properties: [
{
key: 'string'
value: 'string'
}
]
type: 'string'
}
]
alternativeNames: [
'string'
]
appDescription: 'string'
appDisplayName: 'string'
appId: 'string'
appRoleAssignmentRequired: bool
appRoles: [
{
allowedMemberTypes: [
'string'
]
description: 'string'
displayName: 'string'
id: 'string'
isEnabled: bool
value: 'string'
}
]
description: 'string'
disabledByMicrosoftStatus: 'string'
displayName: 'string'
homepage: 'string'
info: {
marketingUrl: 'string'
privacyStatementUrl: 'string'
supportUrl: 'string'
termsOfServiceUrl: 'string'
}
keyCredentials: [
{
customKeyIdentifier: 'string'
displayName: 'string'
endDateTime: 'string'
key: 'string'
keyId: 'string'
startDateTime: 'string'
type: 'string'
usage: 'string'
}
]
loginUrl: 'string'
logoutUrl: 'string'
notes: 'string'
notificationEmailAddresses: [
'string'
]
passwordCredentials: [
{
displayName: 'string'
endDateTime: 'string'
keyId: 'string'
startDateTime: 'string'
}
]
preferredSingleSignOnMode: 'string'
preferredTokenSigningKeyEndDateTime: 'string'
preferredTokenSigningKeyThumbprint: 'string'
publishedPermissionScopes: [
{
adminConsentDescription: 'string'
adminConsentDisplayName: 'string'
id: 'string'
isEnabled: bool
type: 'string'
userConsentDescription: 'string'
userConsentDisplayName: 'string'
value: 'string'
}
]
publisherName: 'string'
replyUrls: [
'string'
]
samlMetadataUrl: 'string'
samlSingleSignOnSettings: {
relayState: 'string'
}
servicePrincipalNames: [
'string'
]
servicePrincipalType: 'string'
tags: [
'string'
]
tokenEncryptionKeyId: 'string'
verifiedPublisher: {
addedDateTime: 'string'
displayName: 'string'
verifiedPublisherId: 'string'
}
}
Значения свойств
servicePrincipals
| Имя | Описание | Значение |
|---|---|---|
| AccountEnabled | Значение true, если учетная запись субъекта-службы включена; в противном случае значение false. Если задано значение false, пользователи не смогут войти в это приложение, даже если им назначено значение false. | bool |
| addIns | Определяет пользовательское поведение, которое может использоваться службой для вызова приложения в конкретных контекстах. Например, приложения, которые могут отображать потоки файлов, могут задать свойство addIns для его функциональных возможностей FileHandler. Это позволяет службам, таким как Microsoft 365, вызывать приложение в контексте документа, над которым работает пользователь. | MicrosoftGraphAddIn[] |
| alternativeNames | Используется для получения субъектов-служб по подписке, идентификации группы ресурсов и полных идентификаторов ресурсов для управляемых удостоверений | string[] |
| версия_API | Версия API ресурсов | "beta" (ReadOnly) |
| appDescription | Описание, предоставляемое соответствующим приложением. | строка |
| appDisplayName | Отображаемое имя, предоставляемое соответствующим приложением. | строка |
| appId | Уникальный идентификатор связанного приложения (его свойство appId). Альтернативный ключ | строка (обязательный) |
| applicationTemplateId | Уникальный идентификатор applicationTemplate. Только чтение. Значение NULL, если приложение не было создано из шаблона приложения. | string (ReadOnly) |
| appOwnerOrganizationId | Содержит идентификатор клиента, в котором зарегистрировано приложение. Это применимо только к субъектам-службам, поддерживаемым приложениями | string (ReadOnly) Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| appRoleAssignmentRequired | Указывает, должны ли пользователи или другие субъекты-службы предоставлять назначение роли приложения для этого субъекта-службы, прежде чем пользователи смогут войти в систему или приложения могут получить маркеры. По умолчанию используется значение false. Недопустимое значение NULL | bool |
| appRoles | Роли, предоставляемые приложением, которые представляет этот субъект-служба. Дополнительные сведения см. в определении свойства appRoles для сущности приложения. Не допускает значения NULL. | MicrosoftGraphAppRole[] |
| deletedDateTime | Дата и время удаления этого объекта. Всегда значение NULL, если объект не был удален. | string (ReadOnly) |
| описание | Свободное текстовое поле для предоставления внутреннего пользовательского описания субъекта-службы. Порталы конечных пользователей, такие как MyApps, отображают описание приложения в этом поле. Максимальный допустимый размер — 1024 символов | строка |
| disabledByMicrosoftStatus | Указывает, отключила ли корпорация Майкрософт зарегистрированное приложение. Возможные значения: null (значение по умолчанию), NotDisabled и DisabledDueToViolationOfServicesAgreement (причины могут включать подозрительные, оскорбительные или вредоносные действия или нарушение соглашения о службах Майкрософт) | строка |
| displayName | Отображаемое имя субъекта-службы | строка |
| homepage | Домашняя страница или целевая страница приложения. | строка |
| id | Уникальный идентификатор сущности. Только чтение. | string (ReadOnly) |
| info | Основные сведения о профиле приобретенного приложения, такие как маркетинг приложения, поддержка, условия обслуживания и URL-адреса заявления о конфиденциальности. Условия обслуживания и заявление о конфиденциальности отображаются в окне запроса согласия пользователя. Дополнительные сведения см. в разделе "Практическое руководство. Добавление условий обслуживания и заявления о конфиденциальности для зарегистрированных приложений Microsoft Entra" | MicrosoftGraphInformationalUrl |
| keyCredentials | Коллекция ключевых учетных данных, связанных с субъектом-службой. Недопустимое значение NULL | MicrosoftGraphKeyCredential[] |
| loginUrl | Указывает URL-адрес, в котором поставщик услуг перенаправляет пользователя на идентификатор Microsoft Entra для проверки подлинности. Идентификатор Microsoft Entra использует URL-адрес для запуска приложения из Microsoft 365 или Мои приложения Microsoft Entra. При пустом идентификаторе Microsoft Entra ida выполняет вход, инициированный поставщиком удостоверений для приложений, настроенных с использованием единого входа на основе SAML. Пользователь запускает приложение из Microsoft 365, Мои приложения Microsoft Entra или URL-адрес единого входа Microsoft Entra. | строка |
| logoutUrl | Указывает URL-адрес, используемый службой авторизации Майкрософт для выхода пользователя с помощью интерфейсного канала OpenId Connect, серверного канала или протокола выхода SAML. | строка |
| примечаниями | Свободное текстовое поле для записи сведений о субъекте-службе, обычно используемом в операционных целях. Максимальный допустимый размер — 1024 символов. | строка |
| notificationEmailAddresses | Указывает список адресов электронной почты, в которых идентификатор Microsoft Entra отправляет уведомление, когда активный сертификат близок к дате окончания срока действия. Это касается только сертификатов, используемых для подписи токена SAML, выданного для приложений коллекции Microsoft Entra. | string[] |
| passwordCredentials | Коллекция учетных данных паролей, связанных с субъектом-службой. Не допускает значения NULL. | MicrosoftGraphPasswordCredential[] |
| preferredSingleSignOnMode | Указывает режим единого входа, настроенный для этого приложения. Идентификатор Microsoft Entra использует предпочтительный режим единого входа для запуска приложения из Microsoft 365 или microsoft Entra Мои приложения. Поддерживаемые значения : password, saml, notSupported и oidc. | строка |
| preferredTokenSigningKeyEndDateTime | Указывает дату окончания срока действия ключаCredential, используемого для подписи маркера, помеченную предпочтительным методом preferredTokenSigningKeyThumbprint. Обновление этого атрибута в настоящее время не поддерживается. Дополнительные сведения см. в разделе "Различия свойств ServicePrincipal". | строка |
| preferredTokenSigningKeyThumbprint | Это свойство можно использовать в приложениях SAML (приложениях, которые предпочтительнее, чтобы задать для saml значение SamL), чтобы контролировать, какой сертификат используется для подписывания ответов SAML. Для приложений, которые не являются SAML, не записывайте или иначе полагаться на это свойство. | строка |
| publishedPermissionScopes | Делегированные разрешения, предоставляемые приложением. Дополнительные сведения см. в свойстве api сущности приложения oauth2PermissionScopes. Не допускает значения NULL. Примечание. Это свойство называется oauth2PermissionScopes в версии 1.0. | MicrosoftGraphPermissionScope[] |
| publisherName | Имя клиента Microsoft Entra, опубликованного приложением. | строка |
| replyUrls | URL-адреса, на которые отправляются маркеры пользователей для входа в связанное приложение, или URI перенаправления, на которые отправляются коды авторизации OAuth 2.0 и маркеры доступа для связанного приложения. Не допускает значения NULL. | string[] |
| samlMetadataUrl | URL-адрес, в котором служба предоставляет метаданные SAML для федерации. | строка |
| samlSingleSignOnSettings | Коллекция параметров, связанных с единым входом saml. | MicrosoftGraphSamlSingleSignOnSettings |
| servicePrincipalNames | Содержит список идентификаторовUris, скопированный из связанного приложения. Дополнительные значения можно добавить в гибридные приложения. Эти значения можно использовать для идентификации разрешений, предоставляемых этим приложением в идентификаторе Microsoft Entra. Например, клиентские приложения могут указать URI ресурса, основанный на значениях этого свойства для получения маркера доступа, который является URI, возвращенным в утверждении aud. Любой оператор необходим для выражений фильтра в многозначных свойствах. Недопустимое значение NULL | string[] |
| servicePrincipalType | Определяет, представляет ли субъект-службу приложение или управляемое удостоверение. Это определяется идентификатором Microsoft Entra ID внутри системы. Для субъекта-службы, представляющего приложение, для этого задано значение Application. Для субъекта-службы, представляющего управляемое удостоверение, задается значение ManagedIdentity. Тип SocialIdp предназначен для внутреннего использования. | строка |
| signInAudience | Указывает учетные записи Майкрософт, поддерживаемые для текущего приложения. Только чтение. Поддерживаемые значения: AzureADMyOrg: пользователи с рабочей или учебной учетной записью Майкрософт в клиенте Microsoft Entra организации (один клиент). AzureADMultipleOrgs: пользователи с рабочей или учебной учетной записью Майкрософт в клиенте Microsoft Entra любой организации (мультитенант). AzureADandPersonalMicrosoftAccount: пользователи с личной учетной записью Майкрософт или рабочей или учебной учетной записью в клиенте Microsoft Entra любой организации. PersonalMicrosoftAccount: пользователи только с личной учетной записью Майкрософт. | string (ReadOnly) |
| tags | Пользовательские строки, которые можно использовать для классификации и идентификации субъекта-службы. Недопустимое значение NULL | string[] |
| tokenEncryptionKeyId | Указывает идентификатор ключа открытого ключа из коллекции keyCredentials. При настройке идентификатор Microsoft Entra id выдает маркеры для этого приложения, зашифрованные с помощью ключа, указанного этим свойством. Код приложения, получающий зашифрованный маркер, должен использовать соответствующий закрытый ключ для расшифровки маркера, прежде чем его можно будет использовать для вошедшего пользователя. | строка Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| type | Тип ресурса | "Microsoft.Graph/servicePrincipals" (ReadOnly) |
| verifiedPublisher | Указывает проверяемого издателя приложения, связанного с этим субъектом-службой. | MicrosoftGraphVerifiedPublisher |
MicrosoftGraphKeyValue
| Имя | Описание | Значение |
|---|---|---|
| key | Содержит имя поля, с которым связано значение. | строка |
| значение | Содержит соответствующее значение для указанного ключа. | строка |
MicrosoftGraphAddIn
| Имя | Описание | Значение |
|---|---|---|
| id | Уникальный идентификатор объекта addIn. | строка Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| свойства | Коллекция пар "ключ-значение", определяющих параметры, которые потребляющая служба может использовать или вызывать. Это свойство необходимо указать при выполнении операции POST или PATCH в коллекции addIns. Обязательный. | MicrosoftGraphKeyValue[] |
| type | Уникальное имя функциональных возможностей, предоставляемых приложением. | строка |
MicrosoftGraphAppRole
| Имя | Описание | Значение |
|---|---|---|
| allowedMemberTypes | Указывает, может ли эта роль приложения назначаться пользователям и группам (задав значение ['User']), другим приложениям (задав значение ['Application'], или оба (задав значение ['User', 'Application']). Роли приложений, поддерживающие назначение субъектам-службам других приложений, также называются разрешениями приложения. Значение Application поддерживается только для ролей приложений, определенных в сущностях приложений. | string[] |
| описание | Описание роли приложения. Это отображается при назначении роли приложения и, если роль приложения работает в качестве разрешения приложения во время предоставления согласия. | строка |
| displayName | Отображаемое имя разрешения, которое отображается в интерфейсе назначения ролей приложения и согласия. | строка |
| id | Уникальный идентификатор роли в коллекции appRoles. При создании роли приложения необходимо указать новый идентификатор GUID. | строка Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | При создании или обновлении роли приложения необходимо задать значение true (это значение по умолчанию). Чтобы удалить роль, сначала необходимо задать значение false. На этом этапе в последующем вызове эта роль может быть удалена. | bool |
| origin | Указывает, определена ли роль приложения в объекте приложения или в сущности servicePrincipal. Не следует включать в запросы POST или PATCH. Только чтение. | string (ReadOnly) |
| значение | Указывает значение, которое необходимо включить в утверждение ролей в маркерах идентификатора и маркерах доступа для проверки подлинности назначенного пользователя или субъекта-службы. Не должно превышать 120 символов длиной. Допустимые символы: ! # $ % & ' ( ) * + , -. / : ; = ? @ [ ^ + _ { } ~ и символы в диапазонах 0-9, A-Z и a-z. Любые другие символы, включая символ пробела, не допускаются. Может не начинаться с .. | строка |
MicrosoftGraphInformationalUrl
| Имя | Описание | Значение |
|---|---|---|
| logoUrl | URL-адрес CDN для логотипа приложения только для чтения. | string (ReadOnly) |
| marketingUrl | Ссылка на маркетинговую страницу приложения. Например: https://www.contoso.com/app/marketing | строка |
| privacyStatementUrl | Ссылка на заявление о конфиденциальности приложения. Например: https://www.contoso.com/app/privacy | строка |
| supportUrl | Ссылка на страницу поддержки приложения. Например: https://www.contoso.com/app/support | строка |
| termsOfServiceUrl | Ссылка на условия обслуживания приложения. Например: https://www.contoso.com/app/termsofservice | строка |
MicrosoftGraphKeyCredential
| Имя | Описание | Значение |
|---|---|---|
| customKeyIdentifier | 40-символьный двоичный тип, который можно использовать для идентификации учетных данных. Необязательно. Если он не указан в полезных данных, по умолчанию используется отпечаток сертификата. | строка |
| displayName | Понятное имя ключа. Необязательно. | строка |
| endDateTime | Дата и время истечения срока действия учетных данных. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда находится в формате UTC. Например, полночь UTC 1 января 2014 г. — 2014-01-01T00:00:00Z. | строка |
| key | Значение для учетных данных ключа. Должно быть закодированным значением Base64. Из сертификата .cer можно считывать ключ с помощью метода Convert.ToBase64String(). Дополнительные сведения см. в разделе "Получение ключа сертификата". | строка |
| keyId | Уникальный идентификатор ключа. | строка Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| startDateTime | Дата и время, в течение которого учетные данные становятся допустимыми. Тип метки времени представляет сведения о дате и времени с использованием формата ISO 8601 и всегда находится в формате UTC. Например, полночь UTC 1 января 2014 г. — 2014-01-01T00:00:00Z. | строка |
| type | Тип учетных данных ключа; например, Symmetric, AsymmetricX509Cert или X509CertAndPassword. | строка |
| использование | Строка, описывающая назначение, для которого можно использовать ключ; например, None, Verify, PairwiseIdentifier, Delegation, Decrypt, Encrypt, HashedIdentifier, SelfSignedTls или Sign. Если используется значение Sign, тип должен быть X509CertAndPassword, а парольCredentials для подписи должен быть определен. | строка |
MicrosoftGraphPasswordCredential
| Имя | Описание | Значение |
|---|---|---|
| displayName | Понятное имя пароля. Необязательно. | строка |
| endDateTime | Дата и время истечения срока действия пароля с использованием формата ISO 8601 и всегда находится в формате UTC. Например, полночь UTC 1 января 2014 г. — 2014-01-01T00:00:00Z. Необязательно. | строка |
| hint | Содержит первые три символа пароля. Только чтение. | string (ReadOnly) |
| keyId | Уникальный идентификатор пароля. | строка Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| secretText | Только для чтения; Содержит надежные пароли, созданные идентификатором Microsoft Entra, длиной 16–64 символов. Созданное значение пароля возвращается только во время первоначального запроса POST для добавленияPassword. В будущем невозможно получить этот пароль. | string (ReadOnly) |
| startDateTime | Дата и время, в течение которого пароль становится допустимым. Тип метки времени представляет сведения о дате и времени с использованием формата ISO 8601 и всегда находится в формате UTC. Например, полночь UTC 1 января 2014 г. — 2014-01-01T00:00:00Z. Необязательно. | строка |
MicrosoftGraphPermissionScope
| Имя | Описание | Значение |
|---|---|---|
| adminConsentDescription | Описание делегированных разрешений, предназначенных для чтения администратором, предоставляющим разрешение от имени всех пользователей. Этот текст отображается в интерфейсах согласия администратора на уровне клиента. | строка |
| adminConsentDisplayName | Заголовок разрешения, предназначенный для чтения администратором, предоставляющим разрешение от имени всех пользователей. | строка |
| id | Уникальный идентификатор делегированного разрешения внутри коллекции делегированных разрешений, определенных для приложения ресурсов. | строка Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | При создании или обновлении разрешения это свойство должно иметь значение true (которое является значением по умолчанию). Чтобы удалить разрешение, это свойство сначала должно иметь значение false. На этом этапе при последующем вызове разрешение может быть удалено. | bool |
| type | Возможные значения: пользователь и администратор. Указывает, следует ли считать это делегированное разрешение безопасным для пользователей, не являющихся администраторами, для предоставления согласия от имени себя или обязательного согласия администратора. Хотя Microsoft Graph определяет требование согласия по умолчанию для каждого разрешения, администратор клиента может переопределить поведение в своей организации (разрешая, ограничивать или ограничивать согласие пользователя на это делегированное разрешение). Дополнительные сведения см. в статье Настройка способа согласия пользователей на использование приложений. | строка |
| userConsentDescription | Описание делегированных разрешений, предназначенных для чтения пользователем, предоставляющим разрешение от собственного имени. Этот текст отображается в интерфейсах согласия, когда пользователь дает согласие только от имени себя. | строка |
| userConsentDisplayName | Заголовок разрешения, предназначенный для чтения пользователем, предоставляющим разрешение от своего имени. Этот текст отображается в интерфейсах согласия, когда пользователь дает согласие только от имени себя. | строка |
| значение | Указывает значение для включения в утверждение scp (scope) в маркеры доступа. Не должно превышать 120 символов длиной. Допустимые символы: ! # $ % & ' ( ) * + , -. / : ; = ? @ [ ^ + _ { } ~ и символы в диапазонах 0-9, A-Z и a-z. Любые другие символы, включая символ пробела, не допускаются. Может не начинаться с .. | строка |
MicrosoftGraphSamlSingleSignOnSettings
| Имя | Описание | Значение |
|---|---|---|
| relayState | Относительный универсальный код ресурса (URI), на который поставщик услуг перенаправляется после завершения потока единого входа. | строка |
MicrosoftGraphVerifiedPublisher
| Имя | Описание | Значение |
|---|---|---|
| addedDateTime | Метка времени при первом добавлении или обновлении проверенного издателя. | строка |
| displayName | Проверенное имя издателя из учетной записи Microsoft Partner Network (MPN) издателя приложения. | строка |
| verifiedPublisherId | Идентификатор проверенного издателя из учетной записи Центра партнеров издателя приложения. | строка |