Microsoft Entra Id'de özel roller için uygulama kayıt izinleri

2025-06-26

Bu makalede, Microsoft Entra Id'deki özel rol tanımları için kullanılabilen uygulama kayıt izinleri özetlenmiştir. Bu izinler, yöneticilerin uygulama kayıtlarını belirli erişim düzeyleriyle yönetmesine olanak tanıyarak kuruluş içindeki uygulamaların güvenli ve verimli bir şekilde yönetilmesini sağlar.

Lisans gereksinimleri

Bu özelliği kullanmak için Microsoft Entra ID P1 lisansları gerekir. Gereksinimlerinize uygun lisansı bulmak için bkz. Microsoft Entra Kimliğin genel olarak sağlanan özelliklerini karşılaştırma.

Tek kiracılı uygulamaları yönetme izinleri

Özel rolünüz için izinleri seçerken, yalnızca tek kiracılı uygulamaları yönetme erişimi vermeyi seçebilirsiniz. Tek kiracılı uygulamalar yalnızca uygulamanın kayıtlı olduğu Microsoft Entra kuruluşundaki kullanıcılar tarafından kullanılabilir.

Tek kiracılı uygulamalar, Desteklenen hesap türlerinin "Yalnızca bu kuruluş dizinindeki hesaplar" olarak ayarlanmış olması olarak tanımlanır. Graph API'sinde, tek kiracılı uygulamalarda signInAudience özelliği "AzureADMyOrg" olarak ayarlanmıştır.

Yalnızca tek kiracılı uygulamaları yönetme erişimi vermek için applications.myOrganization alt türüyle aşağıdaki gibi belirtilen izinleri kullanın. Örneğin, microsoft.directory/applications.myOrganization/basic/update.

Bu terimlerin açıklaması için alt tür, izin ve özellik kümesiyle ilgili özel rollere genel bakış bölümüne bakın. Aşağıdaki bilgiler uygulama kayıtlarına özgüdür.

Oluşturma ve silme

Uygulama kayıtları oluşturma yeteneği vermek için her birinin farklı davranışlara sahip iki izni vardır:

microsoft.directory/applications/createAsOwner

Bu iznin atanması, oluşturucunun oluşturulan uygulama kaydının ilk sahibi olarak eklenmesine neden olur. Oluşturulan uygulama kaydı, oluşturucunun 250 oluşturulan nesne kotasına göre sayılır.

microsoft.directory/applications/create

Bu iznin verilmesi, oluşturucunun uygulama kaydının ilk sahibi olarak eklenmesini engeller ve uygulama kaydını oluşturucunun 250 nesnelik kotasından dışlar. Dizin düzeyi kotaya ulaşılana kadar atananın uygulama kayıtları oluşturmasını engelleyen bir şey olmadığından bu izni dikkatle kullanın.

Her iki izin de atanırsa , /create izni önceliklidir. /createAsOwner izni oluşturucuyu otomatik olarak ilk sahip olarak eklemese de, Graph API'leri veya PowerShell cmdlet'leri kullanılırken uygulama kaydı oluşturulurken sahipler belirtilebilir.

Yeni kayıt komutuna erişim izni veren izinler oluşturun.

Uygulama kayıtlarını silme izni vermek için kullanılabilecek iki izin vardır:

microsoft.directory/applications/delete

Hem tek kiracılı hem de çok kiracılı uygulamalar dahil olmak üzere alt türe bakılmaksızın uygulama kayıtlarını silme olanağı verir.

microsoft.directory/applications.myOrganization/delete

Yalnızca kuruluşunuzdaki veya tek kiracılı uygulamalardaki (myOrganization alt türü) hesapların erişebildiği uygulama kayıtlarını silme olanağı verir.

Uyarı

Oluşturma izinleri içeren bir rol atarken, rol atamasının dizin kapsamında yapılması gerekir. Bir kaynak kapsamında atanan oluşturma izni, uygulama kaydı oluşturma olanağını vermez.

Okundu

Kuruluştaki tüm üye kullanıcılar varsayılan olarak uygulama kayıt bilgilerini okuyabilir. Ancak konuk kullanıcılar ve uygulama hizmeti sorumluları bunu yapamaz. Konuk kullanıcıya veya uygulamaya rol atamayı planlıyorsanız, uygun okuma izinlerini eklemeniz gerekir.

microsoft.directory/applications/allProperties/read

Tek kiracılı ve çok kiracılı uygulamaların tüm özelliklerini, kimlik bilgileri gibi herhangi bir durumda okunamaz özellikler dışında okuma olanağı verir.

microsoft.directory/applications.myOrganization/allProperties/read

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/allProperties/read ile aynı izinleri verir.

microsoft.directory/applications/owners/read

Tek kiracılı ve çok kiracılı uygulamalarda mülk sahibi özelliklerini okuma yeteneği verir. Uygulama kayıt sahipleri sayfasındaki tüm alanlara erişim verir:

microsoft.directory/applications/standard/read

Standart uygulama kayıt özelliklerini okuma erişimi verir. Bu, uygulama kayıt sayfaları genelindeki özellikleri içerir.

microsoft.directory/applications.myOrganization/standard/read

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/standard/read ile aynı izinleri verir.

Güncelleştir

Microsoft Entra ID'deki "Güncelleştirme" izinleri, yöneticilerin uygulama kayıtlarının çeşitli özelliklerini değiştirmesine olanak sağlar. Bu izinler hem tek kiracılı hem de çok kiracılı uygulamaları korumak ve yönetmek için gereklidir. Verilen belirli izinlere bağlı olarak, yöneticiler desteklenen hesap türleri, kimlik doğrulama ayarları, marka ayrıntıları ve daha fazlası gibi özellikleri güncelleştirebilir. Aşağıda, kullanılabilir güncelleştirme izinlerinin ve bunların belirli özelliklerinin ayrıntılı bir listesi yer alır.

microsoft.directory/applications/allProperties/update

Tek kiracılı ve çok kiracılı uygulamalarda tüm özellikleri güncelleştirme olanağı sağlar.

microsoft.directory/applications.myOrganization/allProperties/update

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/allProperties/update ile aynı izinleri verir.

microsoft.directory/applications/audience/update

Tek kiracılı ve çok kiracılı uygulamalarda desteklenen hesap türü (signInAudience) özelliğini güncelleştirme olanağı sağlar.

microsoft.directory/applications.myOrganization/audience/update (Bu bir API yolunu temsil eder.)

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/audience/update ile aynı izinleri verir.

microsoft.dizin/uygulamalar/kimlik-doğrulama/güncelleştirme

Tek kiracılı ve çok kiracılı uygulamalarda yanıt URL'sini, oturumu kapatma URL'sini, örtük akışı ve yayımcı etki alanı özelliklerini güncelleştirme olanağı sağlar. Desteklenen hesap türleri dışında uygulama kaydı kimlik doğrulaması sayfasındaki tüm alanlara erişim verir:

microsoft.directory/applications.myOrganization/doğrulama/güncelleştirme

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/authentication/update ile aynı izinleri verir.

microsoft.directory/applications/basic/güncelleme

Tek kiracılı ve çok kiracılı uygulamalarda ad, logo, giriş sayfası URL'si, hizmet koşulları URL'si ve gizlilik bildirimi URL'si özelliklerini güncelleştirme olanağı sağlar. Uygulama kaydı markalama sayfasındaki tüm alanlara erişim verir:

microsoft.directory/applications.myOrganization/basic/update

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/basic/update ile aynı izinleri verir.

microsoft.directory/uygulamalar/kimlik bilgileri/güncelleme

Tek kiracılı ve çok kiracılı uygulamalarda sertifikaları ve istemci sırları özelliklerini güncellemeye olanak tanır. Uygulama kayıt belgeleri ve gizli bilgiler sayfasındaki tüm alanlara erişim izni verir.

microsoft.directory/applications.myOrganization/credentials/update

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/credentials/update ile aynı izinleri verir.

microsoft.directory/applications/owners/update

Tek ve çok kiracılı sistemlerde sahiplik özelliğini güncellemeye imkân tanır. Uygulama kayıt sahipleri sayfasındaki tüm alanlara erişim verir:

microsoft.directory/applications.myOrganization/owners/update

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/owners/update ile aynı izinleri verir.

microsoft.directory/applications/permissions/update

Bu izin, tek kiracılı ve çok kiracılı uygulamalarda temsilci izinleri, uygulama izinleri, yetkili istemci uygulamaları, gerekli izinler ve onay özellikleri gibi çeşitli özellikler için güncelleştirmeler yapılmasına olanak tanır. Onay gerçekleştirme olanağı vermez. Uygulama kayıt API'sinin izinlerindeki tüm alanlara erişim verir ve API sayfalarını kullanıma sunar:

microsoft.directory/applications.myOrganization/permissions/güncelleme

Yalnızca tek kiracılı uygulamalar için microsoft.directory/applications/permissions/update ile aynı izinleri verir.

Sonraki adımlar

Microsoft Entra ID'da özel rol oluşturma
Rol atamalarını listeleme