Microsoft Entra ID 中自定義角色的應用程式註冊許可權

文章
01/10/2024

本文包含 Microsoft Entra ID 中自定義角色定義的目前可用的應用程式註冊許可權。

授權需求

使用此功能需要 Microsoft Entra ID P1 授權。若要尋找適合您需求的授權，請參閱比較 Microsoft Entra ID 正式推出的功能。

管理單一租使用者應用程式的許可權

選擇自訂角色的許可權時，您可以選擇授與僅管理單一租使用者應用程式的存取權。單一租使用者應用程式僅適用於註冊應用程式的 Microsoft Entra 組織中使用者。單一租使用者應用程式定義為將支援的帳戶類型設定為「僅限此組織目錄中的帳戶」。在圖形 API 中，單一租使用者應用程式將 signInAudience 屬性設定為 “AzureADMyOrg”。

若要授與只管理單一租使用者應用程式的存取權，請使用下列許可權搭配子類型 applications.myOrganization。例如，microsoft.directory/applications.myOrganization/basic/update。

如需一般詞彙子類型、許可權和屬性集平均值的說明，請參閱自定義角色概觀。下列資訊專屬於應用程式註冊。

建立與刪除

有兩個許可權可用來授與建立應用程式註冊的能力，每個許可權都有不同的行為：

microsoft.directory/applications/createAsOwner

指派此權限會使建立者新增為已建立之應用程式註冊的第一個擁有者，且已建立的應用程式註冊將計入建立者 250 個的物件建立配額中。

microsoft.directory/applications/create

指派此許可權會導致建立者未新增為所建立應用程式註冊的第一個擁有者，而建立的應用程式註冊不會計入建立者的250個建立物件配額。請小心使用此許可權，因為沒有任何阻礙被指派者建立應用程式註冊，直到達到目錄層級配額為止。

如果指派這兩個許可權，則 /create 許可權會優先。雖然 /createAsOwner 許可權不會自動將建立者新增為第一個擁有者，但在使用 Graph API 或 PowerShell Cmdlet 時，可以在建立應用程式註冊期間指定擁有者。

建立許可權可授與 [新增註冊] 命令的存取權。

These permissions grant access to the New Registration portal command

有兩個許可權可用來授與刪除應用程式註冊的能力：

microsoft.directory/applications/delete

授與刪除應用程式註冊的能力，不論子類型為何;也就是說，單一租使用者和多租用戶應用程式。

microsoft.directory/applications.myOrganization/delete

授與刪除僅限貴組織帳戶或單一租使用者應用程式之帳戶存取的應用程式註冊的能力（myOrganization 子類型）。

These permissions grant access to the Delete app registration command

注意

指派包含建立許可權的角色時，必須在目錄範圍進行角色指派。在資源範圍指派的建立許可權不會授與建立應用程式註冊的能力。

參閱

組織中的所有成員用戶預設都可以讀取應用程式註冊資訊。不過，來賓用戶和應用程式服務主體無法。如果您打算將角色指派給來賓使用者或應用程式，則必須包含適當的讀取許可權。

microsoft.directory/applications/allProperties/read

能夠在認證等任何情況下讀取屬性以外的單一租使用者和多租使用者應用程式的所有屬性。

microsoft.directory/applications.myOrganization/allProperties/read

授與與 microsoft.directory/applications/allProperties/read 相同的許可權，但僅適用於單一租用戶應用程式。

microsoft.directory/applications/owners/read

授與讀取單一租使用者和多租使用者應用程式擁有者屬性的能力。授與應用程式註冊擁有者頁面上所有欄位的存取權：

This permissions grants access to the app registration owners page

microsoft.directory/applications/standard/read

授與讀取標準應用程式註冊屬性的存取權。這包括跨應用程式註冊頁面的屬性。

microsoft.directory/applications.myOrganization/standard/read

授與與 microsoft.directory/applications/standard/read 相同的許可權，但只授與單一租使用者應用程式的許可權。

更新

microsoft.directory/applications/allProperties/update

能夠在單一租使用者和多租用戶應用程式上更新所有屬性。

microsoft.directory/applications.myOrganization/allProperties/update

授與與 microsoft.directory/applications/allProperties/update 相同的許可權，但僅適用於單一租用戶應用程式。

microsoft.directory/applications/audience/update

能夠在單一租使用者和多租使用者應用程式上更新支援的帳戶類型（signInAudience）屬性。

This permission grants access to app registration supported account type property on authentication page

microsoft.directory/applications.myOrganization/audience/update

授與與 microsoft.directory/applications/audience/update 相同的許可權，但僅適用於單一租用戶應用程式。

microsoft.directory/applications/authentication/update

能夠在單一租使用者和多租使用者應用程式上更新回復 URL、註銷 URL、隱含流程和發行者網域屬性。授與應用程式註冊驗證頁面上所有字段的存取權，但支援帳戶類型除外：

Grants access to app registration authentication but not supported account types

microsoft.directory/applications.myOrganization/authentication/update

授與與 microsoft.directory/applications/authentication/update 相同的許可權，但僅適用於單一租用戶應用程式。

microsoft.directory/applications/basic/update

能夠在單一租使用者和多租使用者應用程式上更新名稱、標誌、首頁 URL、服務條款 URL 和隱私聲明 URL 屬性。授與應用程式註冊商標頁面上所有欄位的存取權：

This permission grants access to the app registration branding page

microsoft.directory/applications.myOrganization/basic/update

授與與 microsoft.directory/applications/basic/update 相同的許可權，但僅適用於單一租用戶應用程式。

microsoft.directory/applications/credentials/update

能夠在單一租使用者和多租使用者應用程式上更新憑證和用戶端秘密屬性。授與應用程式註冊憑證和秘密頁面上所有欄位的存取權：

This permission grants access to the app registration certificates & secrets page

microsoft.directory/applications.myOrganization/credentials/update

授與與 microsoft.directory/applications/credentials/update 相同的許可權，但僅適用於單一租用戶應用程式。

microsoft.directory/applications/owners/update

能夠更新單一租使用者和多租使用者上的擁有者屬性。授與應用程式註冊擁有者頁面上所有欄位的存取權：