Microsoft Entra Id'de özel roller için uygulama kayıt izinleri

  • Makale

Bu makale, Microsoft Entra Id'deki özel rol tanımları için şu anda kullanılabilir olan uygulama kayıt izinlerini içerir.

Lisans gereksinimleri

Bu özelliği kullanmak için Microsoft Entra ID P1 lisansları gerekir. Gereksinimlerinize uygun lisansı bulmak için bkz. Microsoft Entra Kimliğin genel olarak sağlanan özelliklerini karşılaştırma.

Tek kiracılı uygulamaları yönetme izinleri

Özel rolünüz için izinleri seçerken, yalnızca tek kiracılı uygulamaları yönetme erişimi verme seçeneğiniz vardır. tek kiracılı uygulamalar yalnızca uygulamanın kayıtlı olduğu Microsoft Entra kuruluşundaki kullanıcılar tarafından kullanılabilir. tek kiracılı uygulamalar, Desteklenen hesap türlerinin "Yalnızca bu kuruluş dizinindeki hesaplar" olarak ayarlanmış olması olarak tanımlanır. Graph API'sinde, tek kiracılı uygulamalarda signInAudience özelliği "AzureADMyOrg" olarak ayarlanmıştır.

Yalnızca tek kiracılı uygulamaları yönetme erişimi vermek için aşağıdaki izinleri applications.myOrganization alt türüyle kullanın. Örneğin, microsoft.directory/applications.myOrganization/basic/update.

Genel terimlerin alt türü, izni ve özellik kümesinin ne anlama gelir açıklaması için özel rollere genel bakış bölümüne bakın. Aşağıdaki bilgiler uygulama kayıtlarına özgüdür.

Oluşturma ve silme

Uygulama kayıtları oluşturma yeteneği vermek için her birinin farklı davranışlara sahip iki izni vardır:

microsoft.directory/applications/createAsOwner

Bu iznin atanması, oluşturucunun, oluşturulan uygulama kaydının ilk sahibi olarak eklenmesine ve oluşturulan uygulama kaydının oluşturucunun 250 oluşturulan nesne kotasında sayılmasıyla sonuçlanır.

microsoft.directory/applications/create

Bu iznin atanması, oluşturucunun oluşturulan uygulama kaydının ilk sahibi olarak eklenmemesiyle sonuçlanır ve oluşturulan uygulama kaydı oluşturucunun 250 oluşturulan nesne kotasına göre sayılmaz. Dizin düzeyi kotaya ulaşmadan atananın uygulama kayıtları oluşturmasını engelleyen bir şey olmadığından bu izni dikkatle kullanın.

Her iki izin de atanırsa , /create izni öncelikli olur. /createAsOwner izni oluşturucuyu otomatik olarak ilk sahip olarak eklemese de, Graph API'leri veya PowerShell cmdlet'leri kullanılırken uygulama kaydı oluşturulurken sahipler belirtilebilir.

Yeni kayıt komutuna erişim izni veren izinler oluşturun.

These permissions grant access to the New Registration portal command

Uygulama kayıtlarını silme izni vermek için kullanılabilecek iki izin vardır:

microsoft.directory/applications/delete

Alt türe bakılmaksızın uygulama kayıtlarını silme olanağı verir; yani hem tek kiracılı hem de çok kiracılı uygulamalar.

microsoft.directory/applications.myOrganization/delete

Yalnızca kuruluşunuzdaki veya tek kiracılı uygulamalardaki (myOrganization alt türü) hesapların erişebildiği uygulama kayıtlarını silme olanağı verir.

These permissions grant access to the Delete app registration command

Dekont

Oluşturma izinleri içeren bir rol atarken, rol atamasının dizin kapsamında yapılması gerekir. Kaynak kapsamında atanan oluşturma izni, uygulama kayıtları oluşturma olanağı vermez.

Oku

Kuruluştaki tüm üye kullanıcılar varsayılan olarak uygulama kayıt bilgilerini okuyabilir. Ancak konuk kullanıcılar ve uygulama hizmeti sorumluları bunu yapamaz. Konuk kullanıcıya veya uygulamaya rol atamayı planlıyorsanız, uygun okuma izinlerini eklemeniz gerekir.

microsoft.directory/applications/allProperties/read

Kimlik bilgileri gibi herhangi bir durumda okunamayan özelliklerin dışında tek kiracılı ve çok kiracılı uygulamaların tüm özelliklerini okuma olanağı.

microsoft.directory/applications.myOrganization/allProperties/read

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/allProperties/read ile aynı izinleri verir.

microsoft.directory/applications/owners/read

Tek kiracılı ve çok kiracılı uygulamalarda sahipler özelliğini okuma olanağı verir. Uygulama kayıt sahipleri sayfasındaki tüm alanlara erişim verir:

This permissions grants access to the app registration owners page

microsoft.directory/applications/standard/read

Standart uygulama kayıt özelliklerini okuma erişimi verir. Bu, uygulama kayıt sayfaları genelindeki özellikleri içerir.

microsoft.directory/applications.myOrganization/standard/read

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/standard/read ile aynı izinleri verir.

Güncelleştir

microsoft.directory/applications/allProperties/update

Tek kiracılı ve çok kiracılı uygulamalarda tüm özellikleri güncelleştirme olanağı.

microsoft.directory/applications.myOrganization/allProperties/update

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/allProperties/update ile aynı izinleri verir.

microsoft.directory/applications/audience/update

Tek kiracılı ve çok kiracılı uygulamalarda desteklenen hesap türü (signInAudience) özelliğini güncelleştirme olanağı.

This permission grants access to app registration supported account type property on authentication page

microsoft.directory/applications.myOrganization/audience/update

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/audience/update ile aynı izinleri verir.

microsoft.directory/applications/authentication/update

Tek kiracılı ve çok kiracılı uygulamalarda yanıt URL'sini, oturumu kapatma URL'sini, örtük akışı ve yayımcı etki alanı özelliklerini güncelleştirme olanağı. Desteklenen hesap türleri dışında uygulama kaydı kimlik doğrulaması sayfasındaki tüm alanlara erişim verir:

Grants access to app registration authentication but not supported account types

microsoft.directory/applications.myOrganization/authentication/update

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/authentication/update ile aynı izinleri verir.

microsoft.directory/applications/basic/update

Tek kiracılı ve çok kiracılı uygulamalarda ad, logo, giriş sayfası URL'si, hizmet koşulları URL'si ve gizlilik bildirimi URL'si özelliklerini güncelleştirme olanağı. Uygulama kaydı markalama sayfasındaki tüm alanlara erişim verir:

This permission grants access to the app registration branding page

microsoft.directory/applications.myOrganization/basic/update

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/basic/update ile aynı izinleri verir.

microsoft.directory/applications/credentials/update

Tek kiracılı ve çok kiracılı uygulamalarda sertifikaları ve istemci gizli dizi özelliklerini güncelleştirme olanağı. Uygulama kayıt sertifikaları ve gizli diziler sayfasındaki tüm alanlara erişim verir:

This permission grants access to the app registration certificates & secrets page

microsoft.directory/applications.myOrganization/credentials/update

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/credentials/update ile aynı izinleri verir.

microsoft.directory/applications/owners/update

Tek kiracılı ve çok kiracılı sahip özelliğini güncelleştirme olanağı. Uygulama kayıt sahipleri sayfasındaki tüm alanlara erişim verir:

This permissions grants access to the app registration owners page

microsoft.directory/applications.myOrganization/owners/update

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/owners/update ile aynı izinleri verir.

microsoft.directory/applications/permissions/update

Tek kiracılı ve çok kiracılı uygulamalarda temsilci izinlerini, uygulama izinlerini, yetkili istemci uygulamalarını, gerekli izinleri güncelleştirme ve onay özellikleri verme olanağı. Onay gerçekleştirme olanağı vermez. Uygulama kayıt API'sinin izinlerindeki tüm alanlara erişim verir ve API sayfalarını kullanıma sunar:

This permissions grants access to the app registration API permissions page

This permissions grants access to the app registration Expose an API page

microsoft.directory/applications.myOrganization/permissions/update

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/permissions/update ile aynı izinleri verir.

Sonraki adımlar