Oprávnění registrace aplikace pro vlastní role v Microsoft Entra ID
Tento článek popisuje oprávnění registrace aplikace dostupná pro vlastní definice rolí v MICROSOFT Entra ID. Tato oprávnění umožňují správcům spravovat registrace aplikací s konkrétní úrovní přístupu, což zajišťuje bezpečnou a efektivní správu aplikací v rámci organizace.
Požadavky na licenci
Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.
Oprávnění ke správě aplikací s jedním tenantem
Při výběru oprávnění pro vlastní roli můžete udělit přístup ke správě pouze aplikací s jedním tenantem. Aplikace s jedním tenantem jsou k dispozici pouze uživatelům v organizaci Microsoft Entra, ve které je aplikace zaregistrovaná.
Aplikace s jedním tenantem jsou definované jako podporované typy účtů nastavené na Účty pouze v tomto organizačním adresáři. V rozhraní Graph API mají aplikace s jedním tenantem vlastnost signInAudience nastavenou na AzureADMyOrg.
Pokud chcete udělit přístup ke správě pouze aplikací s jedním tenantem, použijte následující oprávnění s podtypem applications.myOrganization. Například microsoft.directory/applications.myOrganization/basic/update.
Vysvětlení podtypu termínů, oprávnění a sady vlastností najdete v přehledu vlastních rolí. Následující informace jsou specifické pro registrace aplikací.
Vytváření a odstraňování
K dispozici jsou dvě oprávnění pro udělení možnosti vytvářet registrace aplikací, z nichž každá má jiné chování:
microsoft.directory/applications/createAsOwner
Přiřazením tohoto oprávnění se autor přidá jako první vlastník registrace vytvořené aplikace. Vytvořená registrace aplikace se počítá do kvóty 250 vytvořených objektů autora.
microsoft.directory/applications/create
Udělení tohoto oprávnění zabrání přidání autora jako prvního vlastníka registrace aplikace a vyloučení registrace aplikace z kvóty 250 objektů tvůrce. Toto oprávnění používejte pečlivě, protože přiřazení nijak nebrání v vytváření registrací aplikací, dokud nedosáhnete kvóty na úrovni adresáře.
Pokud jsou přiřazena obě oprávnění, má přednost oprávnění /create. I když oprávnění /createAsOwner automaticky nepřidává tvůrce jako prvního vlastníka, je možné vlastníky zadat při vytváření registrace aplikace při použití rozhraní Graph API nebo rutin PowerShellu.
Vytvoření oprávnění uděluje přístup k příkazu Nová registrace .
K dispozici jsou dvě oprávnění pro udělení možnosti odstranit registrace aplikací:
microsoft.directory/applications/delete
Uděluje možnost odstraňovat registrace aplikací bez ohledu na podtyp včetně jednoklientských i víceklientských aplikací.
microsoft.directory/applications.myOrganization/delete
Uděluje možnost odstranit registrace aplikací omezené na ty, které jsou přístupné jenom pro účty ve vaší organizaci nebo jednoklientských aplikacích (podtyp myOrganization).
Poznámka:
Při přiřazování role, která obsahuje oprávnění k vytvoření, musí být přiřazení role provedeno v oboru adresáře. Oprávnění k vytvoření přiřazené v oboru prostředků neuděluje možnost vytvářet registrace aplikací.
Čteno
Všichni členové v organizaci můžou ve výchozím nastavení číst informace o registraci aplikací. Uživatelé typu host a instanční objekty aplikací ale nemůžou. Pokud chcete přiřadit roli uživateli nebo aplikaci typu host, musíte zahrnout příslušná oprávnění ke čtení.
microsoft.directory/applications/allProperties/read
Uděluje možnost číst všechny vlastnosti jednoklientských a víceklientských aplikací mimo vlastnosti, které nelze číst v žádné situaci, jako jsou přihlašovací údaje.
microsoft.directory/applications.myOrganization/allProperties/read
Uděluje stejná oprávnění jako microsoft.directory/applications/allProperties/read, ale pouze pro aplikace s jedním tenantem.
microsoft.directory/applications/owners/read
Uděluje možnost číst vlastnosti vlastníků v jednoklientských a víceklientských aplikacích. Udělí přístup ke všem polím na stránce vlastníci registrace aplikace:
microsoft.directory/applications/standard/read
Uděluje přístup ke standardním vlastnostem registrace aplikace pro čtení. To zahrnuje vlastnosti na stránkách registrace aplikace.
microsoft.directory/applications.myOrganization/standard/read
Uděluje stejná oprávnění jako microsoft.directory/applications/standard/read, ale pouze pro aplikace s jedním tenantem.
Aktualizovat
Oprávnění Aktualizovat v Microsoft Entra ID umožňují správcům upravovat různé vlastnosti registrace aplikací. Tato oprávnění jsou nezbytná pro údržbu a správu jednoklientských i víceklientských aplikací. V závislosti na konkrétním udělených oprávněních můžou správci aktualizovat vlastnosti, jako jsou podporované typy účtů, nastavení ověřování, podrobnosti o značce a další. Následuje podrobný seznam dostupných oprávnění k aktualizacím a jejich konkrétních funkcí.
microsoft.directory/applications/allProperties/update
Umožňuje aktualizovat všechny vlastnosti v jednoklientských a víceklientských aplikacích.
microsoft.directory/applications.myOrganization/allProperties/update
Uděluje stejná oprávnění jako microsoft.directory/applications/allProperties/update, ale pouze pro aplikace s jedním tenantem.
microsoft.directory/applications/audience/update
Umožňuje aktualizovat podporovanou vlastnost typu účtu (signInAudience) u jednoklientských a víceklientských aplikací.
microsoft.directory/applications.myOrganization/audience/update
Uděluje stejná oprávnění jako microsoft.directory/applications/audience/update, ale pouze pro aplikace s jedním tenantem.
microsoft.directory/applications/authentication/update
Umožňuje aktualizovat adresu URL odpovědi, přihlašovací adresu URL, implicitní tok a vlastnosti domény vydavatele v jednoklientských a víceklientských aplikacích. Uděluje přístup ke všem polím na stránce ověřování registrace aplikace s výjimkou podporovaných typů účtů:
microsoft.directory/applications.myOrganization/authentication/update
Uděluje stejná oprávnění jako microsoft.directory/applications/authentication/update, ale pouze pro aplikace s jedním tenantem.
microsoft.directory/applications/basic/update
Umožňuje aktualizovat název, logo, adresu URL domovské stránky, podmínky adresy URL služby a vlastnosti adresy URL prohlášení o zásadách ochrany osobních údajů v jednoklientských a víceklientských aplikacích. Udělí přístup ke všem polím na stránce brandingu registrace aplikace:
microsoft.directory/applications.myOrganization/basic/update
Uděluje stejná oprávnění jako microsoft.directory/applications/basic/update, ale pouze pro aplikace s jedním tenantem.
microsoft.directory/applications/credentials/update
Umožňuje aktualizovat certifikáty a vlastnosti tajných klíčů klienta v jednoklientských a víceklientských aplikacích. Udělí přístup ke všem polím na stránce certifikátů pro registraci aplikací a tajných kódů:
microsoft.directory/applications.myOrganization/credentials/update
Uděluje stejná oprávnění jako microsoft.directory/applications/credentials/update, ale pouze pro aplikace s jedním tenantem.
microsoft.directory/applications/owners/update
Umožňuje aktualizovat vlastnost vlastníka v jednom tenantovi a víceklientovi. Udělí přístup ke všem polím na stránce vlastníci registrace aplikace:
microsoft.directory/applications.myOrganization/owners/update
Uděluje stejná oprávnění jako microsoft.directory/applications/owners/update, ale pouze pro aplikace s jedním tenantem.
microsoft.directory/applications/permissions/update
Toto oprávnění umožňuje aktualizace různých vlastností u jednoklientských a víceklientských aplikací, včetně delegovaných oprávnění, oprávnění aplikace, autorizovaných klientských aplikací, požadovaných oprávnění a vlastností souhlasu. Neuděluje možnost udělit souhlas. Udělí přístup ke všem polím na oprávněních rozhraní API pro registraci aplikací a zpřístupní stránky rozhraní API:
microsoft.directory/applications.myOrganization/permissions/update
Uděluje stejná oprávnění jako microsoft.directory/applications/permissions/update, ale pouze pro aplikace s jedním tenantem.