Programregistreringsbehörigheter för anpassade roller i Microsoft Entra-ID
Den här artikeln innehåller de appregistreringsbehörigheter som är tillgängliga för anpassade rolldefinitioner i Microsoft Entra-ID.
Licenskrav
För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.
Behörigheter för att hantera program med en enda klientorganisation
När du väljer behörigheter för din anpassade roll har du möjlighet att bevilja åtkomst för att endast hantera program med en enda klientorganisation. Program med en enda klientorganisation är endast tillgängliga för användare i Den Microsoft Entra-organisation där programmet är registrerat. Program med en enda klientorganisation definieras som att kontotyper som stöds är inställda på "Endast konton i den här organisationskatalogen". I Graph API har program med en enda klientorganisation egenskapen signInAudience inställd på "AzureADMyOrg".
Om du bara vill bevilja åtkomst för att hantera program med en enda klientorganisation använder du behörigheterna nedan med undertypen applications.myOrganization. Till exempel microsoft.directory/applications.myOrganization/basic/update.
Se översikten över anpassade roller för en förklaring av vad de allmänna termerna undertyp, behörighet och egenskapsuppsättning betyder. Följande information är specifik för programregistreringar.
Skapa och ta bort tabeller
Det finns två behörigheter för att ge möjlighet att skapa programregistreringar, var och en med olika beteende:
microsoft.directory/applications/createAsOwner
När den här behörigheten tilldelas läggs skaparen till som den första ägaren till den skapade appregistreringen, och den skapade appregistreringen räknas mot skaparens kvot på 250 skapade objekt.
microsoft.directory/applications/create
Om du tilldelar den här behörigheten kommer skaparen inte att läggas till som den första ägaren av den skapade appregistreringen, och den skapade appregistreringen räknas inte mot skaparens kvot på 250 skapade objekt. Använd den här behörigheten noggrant eftersom det inte finns något som hindrar den tilldelade från att skapa appregistreringar förrän kvoten på katalognivå har nåtts.
Om båda behörigheterna tilldelas har behörigheten /create företräde. Även om behörigheten /createAsOwner inte automatiskt lägger till skaparen som den första ägaren, kan ägare anges när appregistreringen skapas när graph-API:er eller PowerShell-cmdletar används.
Skapa behörigheter bevilja åtkomst till kommandot Ny registrering .
Det finns två behörigheter för att ge möjlighet att ta bort appregistreringar:
microsoft.directory/applications/delete
Ger möjlighet att ta bort appregistreringar oavsett undertyp. det vill: både program med en klientorganisation och flera klientorganisationer.
microsoft.directory/applications.myOrganization/delete
Ger möjlighet att ta bort appregistreringar som är begränsade till dem som endast är tillgängliga för konton i din organisation eller program med en enda klientorganisation (myOrganization-undertyp).
Kommentar
När du tilldelar en roll som innehåller skapa-behörigheter måste rolltilldelningen göras i katalogomfånget. En skapa-behörighet som tilldelats ett resursomfång ger inte möjlighet att skapa appregistreringar.
Lästa
Alla medlemsanvändare i organisationen kan läsa appregistreringsinformation som standard. Gästanvändare och programtjänsthuvudnamn kan dock inte göra det. Om du planerar att tilldela en roll till en gästanvändare eller ett program måste du inkludera lämpliga läsbehörigheter.
microsoft.directory/applications/allProperties/read
Möjlighet att läsa alla egenskaper för program med en klientorganisation och flera klientorganisationer utanför egenskaper som inte kan läsas i någon situation som autentiseringsuppgifter.
microsoft.directory/applications.myOrganization/allProperties/read
Ger samma behörigheter som microsoft.directory/applications/allProperties/read, men endast för program med en enda klientorganisation.
microsoft.directory/applications/owners/read
Ger möjlighet att läsa ägaregenskap i program med en enda klientorganisation och flera klientorganisationer. Ger åtkomst till alla fält på sidan för programregistreringsägare:
microsoft.directory/applications/standard/read
Ger åtkomst till läsegenskaper för standardprogramregistrering. Detta omfattar egenskaper på programregistreringssidor.
microsoft.directory/applications.myOrganization/standard/read
Ger samma behörigheter som microsoft.directory/applications/standard/read, men endast för program med en enda klientorganisation.
Uppdatera
microsoft.directory/applications/allProperties/update
Möjlighet att uppdatera alla egenskaper för program med en enda klientorganisation och flera klientorganisationer.
microsoft.directory/applications.myOrganization/allProperties/update
Ger samma behörigheter som microsoft.directory/applications/allProperties/update, men endast för program med en enda klientorganisation.
microsoft.directory/applications/audience/update
Möjlighet att uppdatera den kontotypsegenskap som stöds (signInAudience) för program med en klientorganisation och flera klientorganisationer.
microsoft.directory/applications.myOrganization/audience/update
Ger samma behörigheter som microsoft.directory/applications/audience/update, men endast för program med en enda klientorganisation.
microsoft.directory/applications/authentication/update
Möjlighet att uppdatera egenskaperna för svars-URL, utloggnings-URL, implicit flöde och utgivardomän i program med en klientorganisation och flera klientorganisationer. Ger åtkomst till alla fält på autentiseringssidan för programregistrering förutom kontotyper som stöds:
microsoft.directory/applications.myOrganization/authentication/update
Ger samma behörigheter som microsoft.directory/applications/authentication/update, men endast för program med en enda klientorganisation.
microsoft.directory/applications/basic/update
Möjlighet att uppdatera egenskaperna för namn, logotyp, webbadress till startsidan, villkor för tjänst-URL och url för sekretesspolicy för program med en enda klientorganisation och flera klientorganisationer. Ger åtkomst till alla fält på varumärkessidan för programregistrering:
microsoft.directory/applications.myOrganization/basic/update
Ger samma behörigheter som microsoft.directory/applications/basic/update, men endast för program med en enda klientorganisation.
microsoft.directory/applications/credentials/update
Möjlighet att uppdatera egenskaperna för certifikat och klienthemligheter i program med en klientorganisation och flera klientorganisationer. Ger åtkomst till alla fält på sidan programregistreringscertifikat och hemligheter:
microsoft.directory/applications.myOrganization/credentials/update
Ger samma behörigheter som microsoft.directory/applications/credentials/update, men endast för program med en enda klientorganisation.
microsoft.directory/applications/owners/update
Möjlighet att uppdatera ägaregenskapen för enskild klientorganisation och flera klientorganisationer. Ger åtkomst till alla fält på sidan för programregistreringsägare:
microsoft.directory/applications.myOrganization/owners/update
Ger samma behörigheter som microsoft.directory/applications/owners/update, men endast för program med en enda klientorganisation.
microsoft.directory/applications/permissions/update
Möjlighet att uppdatera delegerade behörigheter, programbehörigheter, auktoriserade klientprogram, nödvändiga behörigheter och bevilja medgivandeegenskaper för program med en klientorganisation och flera klientorganisationer. Ger inte möjlighet att utföra medgivande. Ger åtkomst till alla fält på api-behörigheterna för programregistrering och Exponera en API-sida:
microsoft.directory/applications.myOrganization/permissions/update
Ger samma behörigheter som microsoft.directory/applications/permissions/update, men endast för program med en enda klientorganisation.