Microsoft Entra ID 中自訂角色的應用程式註冊權限
本文包含 Microsoft Entra ID 中的自訂角色定義目前可用的應用程式註冊權限。
授權需求
使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
管理單一租用戶應用程式的權限
為自訂角色選擇權限時,可以選擇授與只限於管理單一租用戶應用程式的存取權。 單一租用戶應用程式僅適用於註冊了該應用程式之 Microsoft Entra 組織中的使用者。 單一租用戶應用程式定義為支援的帳戶類型設定為「僅限此組織目錄中的帳戶」。在圖形 API 中,單一租用戶應用程式將 signInAudience 屬性設定為 "AzureADMyOrg"。
若要授與只限於管理單一租用戶應用程式的存取權,請使用下列權限且將子類型設為 myOrganization。 例如,microsoft.directory/applications.myOrganization/basic/update。
請參閱自訂角色概觀,以了解像是子類型、權限與屬性集等一般詞彙的的意義。 以下是專屬於應用程式註冊的資訊。
建立與刪除
有兩種權限可用於授與建立應用程式註冊的能力,兩者各有其不同的行為:
microsoft.directory/applications/createAsOwner
指派此權限會使建立者新增為已建立之應用程式註冊的第一個擁有者,且已建立的應用程式註冊將計入建立者 250 個的物件建立配額中。
microsoft.directory/applications/create
指派此權限會使建立者不被新增為已建立之應用程式註冊的第一個擁有者,且已建立的應用程式註冊將不會計入建立者 250 個的物件建立配額中。 請謹慎使用此權限,因為在達到目錄層級配額之前,受託人將可不受限地建立應用程式註冊。
如果同時指派這兩種權限,會優先使用 /create 權限。 雖然 /createAsOwner 權限不會自動將建立者新增為第一位擁有者,但可以在使用圖形 API 或 PowerShell Cmdlet 時,於建立應用程式註冊期間指定擁有者。
建立權限,授與對新增註冊命令的存取權。
有兩種權限可授與刪除應用程式註冊的能力:
microsoft.directory/applications/delete
授與不考慮子類型即可刪除應用程式註冊的能力,也就是適用於單一租用戶和多重租用戶應用程式。
microsoft.directory/applications.myOrganization/delete
授與刪除應用程式註冊的能力,範圍限於僅可從您組織或單一租用戶應用程式 (子類型為 myOrganization ) 中之帳戶,進行存取的應用程式。
注意
指派包含「建立」權限的角色時,必須對目錄範圍建立該角色指派。 對資源範圍指派「建立」權限,並不會授與建立應用程式註冊的能力。
參閱
組織中的所有成員使用者,預設皆可讀取應用程式註冊資訊。 但來賓使用者和應用程式服務主體,則無法讀取。 如果計劃要對來賓使用者或應用程式指派角色,則必須包含適當的讀取權限。
microsoft.directory/applications/allProperties/read
能在任何情況皆無法讀取屬性 (例如,認證) 的狀況下,讀取單一租用戶和多重租用戶應用程式之所有屬性的能力。
microsoft.directory/applications.myOrganization/allProperties/read
授與和 microsoft.directory/applications/allProperties/read 相同的權限,但僅於單一租用戶應用程式。
microsoft.directory/applications/owners/read
授與讀取單一租用戶和多重租用戶應用程式上擁有者屬性的能力。 授與 [應用程式註冊擁有者] 頁面上所有欄位的存取權:
microsoft.directory/applications/standard/read
授與讀取標準應用程式註冊屬性的存取權。 此包括應用程式註冊頁面之間的屬性。
microsoft.directory/applications.myOrganization/standard/read
授與和 microsoft.directory/applications/standard/read 相同的權限,但僅於單一租用戶應用程式。
更新
microsoft.directory/applications/allProperties/update
可更新單一租用戶和多重租用戶應用程式上所有屬性的能力。
microsoft.directory/applications.myOrganization/allProperties/update
授與和 microsoft.directory/applications/allProperties/update 相同的權限,但僅於單一租用戶應用程式。
microsoft.directory/applications/audience/update
可更新單一租用戶和多重租用戶應用程式上受支援帳戶類型 (signInAudience) 屬性的能力。
microsoft.directory/applications.myOrganization/audience/update
授與和 microsoft.directory/applications/audience/update 相同的權限,但僅於單一租用戶應用程式。
microsoft.directory/applications/authentication/update
可更新單一租用戶和多重租用戶應用程式上回覆 URL、登出 URL、隱含流程和發行者網域屬性的能力。 授與 [應用程式註冊驗證] 頁面上所有欄位的存取權,但受支援帳戶類型除外:
microsoft.directory/applications.myOrganization/authentication/update
授與和 microsoft.directory/applications/authentication/update 相同的權限,但僅於單一租用戶應用程式。
microsoft.directory/applications/basic/update
可更新單一租用戶和多重租用戶應用程式上名稱、標誌、首頁 URL、服務條款 URL 以及隱私權聲明 URL 屬性的能力。 授與 [應用程式註冊商標] 頁面上所有欄位的存取權:
microsoft.directory/applications.myOrganization/basic/update
授與和 microsoft.directory/applications/basic/update 相同的權限,但僅於單一租用戶應用程式。
microsoft.directory/applications/credentials/update
可更新單一租用戶和多重租用戶應用程式上憑證和用戶端密碼屬性的能力。 授與 [應用程式註冊憑證和密碼] 頁面上所有欄位的存取權:
microsoft.directory/applications.myOrganization/credentials/update
授與和 microsoft.directory/applications/credentials/update 相同的權限,但僅於單一租用戶應用程式。
microsoft.directory/applications/owners/update
可更新單一租用戶和多重租用戶上擁有者屬性的能力。 授與 [應用程式註冊擁有者] 頁面上所有欄位的存取權:
microsoft.directory/applications.myOrganization/owners/update
授與和 microsoft.directory/applications/owners/update 相同的權限,但僅於單一租用戶應用程式。
microsoft.directory/applications/permissions/update
可更新單一租用戶和多重租用戶應用程式上委派的權限、應用程式權限、授權的用戶端應用程式、必要權限以及授與同意屬性的能力。 不授與執行同意的能力。 授與 [應用程式註冊 API 權限] 與 [公開 API] 頁面上所有欄位的存取權:
![此權限會授與應用程式註冊 [公開 API] 頁面的存取權](media/custom-available-permissions/app-registration-expose-api.png)
microsoft.directory/applications.myOrganization/permissions/update
授與和 microsoft.directory/applications/permissions/update 相同的權限,但僅於單一租用戶應用程式。
下一步
- 在 Microsoft Entra ID 中建立和指派自訂角色 (部分機器翻譯)
- 列出角色指派