Freigeben über


Unternehmensanwendungsberechtigungen für benutzerdefinierte Rollen in Microsoft Entra ID

In diesem Artikel werden die App-Registrierungsberechtigungen beschrieben, die für benutzerdefinierte Rollendefinitionen in Microsoft Entra ID verfügbar sind. Mit diesen Berechtigungen können Administratoren Anwendungsregistrierungen mit bestimmten Zugriffsebenen verwalten, um eine sichere und effiziente Verwaltung von Anwendungen innerhalb der Organisation sicherzustellen.

Lizenzanforderungen

Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.

Berechtigungen zum Verwalten von Anwendungen mit einem Mandanten

Beim Auswählen der Berechtigungen für Ihre benutzerdefinierte Rolle haben Sie die Möglichkeit, Zugriff nur zum Verwalten von Einzelmandantenanwendungen zu gewähren. Einzelmandantenanwendungen sind nur für Benutzer in der Microsoft Entra-Organisation verfügbar, in der die Anwendung registriert ist.

Per Definition ist bei Einzelmandantenanwendungen Unterstützte Kontotypen auf „Nur Konten in diesem Organisationsverzeichnis“ festgelegt. In der Graph-API ist für Einzelmandantenanwendungen die signInAudience-Eigenschaft auf „AzureADMyOrg“ festgelegt.

Verwenden Sie zum Gewähren des Zugriffs nur zum Verwalten von Einzelmandantenanwendungen die unten aufgeführten Berechtigungen mit dem Untertyp applications.myOrganization. Beispiel: microsoft.directory/applications.myOrganization/basic/update.

Eine Erläuterung der Begriffe „Untertyp“, „Berechtigung“ und „Eigenschaftensatz“ finden Sie in der Übersicht über benutzerdefinierte Rollen. Die folgenden Informationen gelten speziell für Anwendungsregistrierungen.

Erstellen und Löschen

Für die Erstellung von Anwendungsregistrierungen stehen zwei Berechtigungen zur Verfügung, die jeweils ein anderes Verhalten aufweisen:

microsoft.directory/applications/createAsOwner

Wenn Sie diese Berechtigung zuweisen, wird der Ersteller als erster Besitzer der erstellten App-Registrierung hinzugefügt. Die erstellte App-Registrierung zählt zum Kontingent von 250 erstellten Objekten des Erstellers.

microsoft.directory/applications/create

Durch die Erteilung dieser Berechtigung wird verhindert, dass der Ersteller als erster Besitzer der App-Registrierung hinzugefügt wird, und schließt die App-Registrierung vom 250-Objekte-Kontingent des Erstellers aus. Verwenden Sie diese Berechtigung mit Bedacht, da der zugewiesene Benutzer in diesem Fall so viele App-Registrierungen erstellen kann, bis das Kontingent auf der Verzeichnisebene erreicht ist.

Sind beide Berechtigungen zugewiesen, hat die Berechtigung „/create“ Vorrang. Obwohl mit der Berechtigung „/createAsOwner“ der Ersteller nicht automatisch als erster Besitzer hinzufügt wird, können Besitzer bei der Erstellung der App-Registrierung angegeben werden, wenn Graph-APIs oder PowerShell-Cmdlets verwendet werden.

Berechtigungen zum Erstellen gewähren Zugriff auf den Befehl Neue Registrierung.

Diese Berechtigungen gewähren Zugriff auf den Befehl „Neue Registrierung“ im Portal.

Für die Erteilung der Möglichkeit zum Löschen von Anwendungsregistrierungen stehen zwei Berechtigungen zur Verfügung:

microsoft.directory/applications/delete

Erteilt die Berechtigung zum Löschen von App-Registrierungen unabhängig vom Untertyp, z. B. für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen.

microsoft.directory/applications.myOrganization/delete

Erteilt die Möglichkeit zum Löschen von Anwendungsregistrierungen mit Beschränkung auf die Registrierungen, die nur für Konten in Ihrer Organisation oder Einzelmandantenanwendungen zugänglich sind (Untertyp myOrganization).

Diese Berechtigungen gewähren Zugriff auf den Befehl „App-Registrierung löschen“.

Hinweis

Beim Zuweisen einer Rolle, die Berechtigungen zum Erstellen enthält, muss die Rollenzuweisung im Verzeichnisbereich vorgenommen werden. Eine Berechtigung zum Erstellen, die in einem Ressourcenbereich zugewiesen wird, erteilt nicht die Möglichkeit zum Erstellen von App-Registrierungen.

Lesen Sie

Alle Mitgliedsbenutzer in der Organisation können standardmäßig App-Registrierungsinformationen lesen. Gastbenutzer und Anwendungsdienstprinzipale können dies dagegen nicht. Wenn Sie einem Gastbenutzer oder einer Anwendung eine Rolle zuweisen möchten, müssen Sie die entsprechenden Leseberechtigungen einfügen.

microsoft.directory/applications/allProperties/read

Erteilt die Berechtigung zum Lesen aller Eigenschaften von Einzelmandantenanwendungen und mehrinstanzenfähigen Anwendungen, mit Ausnahme von Eigenschaften (wie Anmeldeinformationen), die nicht in allen Situationen gelesen werden können.

microsoft.directory/applications.myOrganization/allProperties/read

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/allProperties/read, jedoch nur für Einzelmandantenanwendungen.

microsoft.directory/applications/owners/read

Erteilt die Berechtigung zum Lesen der Eigenschaft „Besitzer“ für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Besitzer“ der Anwendungsregistrierung:

Diese Berechtigung gewährt Zugriff auf die Seite „Besitzer“ der Anwendungsregistrierung.

microsoft.directory/applications/standard/read

Gewährt Zugriff zum Lesen von Standardeigenschaften für die Anwendungsregistrierung. Dies schließt Eigenschaften über Anwendungsregistrierungsseiten ein.

microsoft.directory/applications.myOrganization/standard/read

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/standard/read, jedoch nur für Einzelmandantenanwendungen.

Aktualisieren

Mit der Berechtigung „Aktualisieren“ in Microsoft Entra ID können Administratoren verschiedene Eigenschaften von Anwendungsregistrierungen ändern. Diese Berechtigungen sind für die Pflege und Verwaltung von Einzelmandanten- und Mehrinstanzenanwendungen unerlässlich. Je nach erteilter Berechtigung können Administratoren Eigenschaften wie unterstützte Kontotypen, Authentifizierungseinstellungen, Brandingdetails und vieles mehr aktualisieren. Im Folgenden finden Sie eine detaillierte Liste der verfügbaren Updateberechtigungen und was damit jeweils möglich ist.

microsoft.directory/applications/allProperties/update

Berechtigung zum Aktualisieren aller Eigenschaften von Einzelmandantenanwendungen und mehrinstanzenfähigen Anwendungen.

microsoft.directory/applications.myOrganization/allProperties/update

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/allProperties/update, jedoch nur für Einzelmandantenanwendungen.

microsoft.directory/applications/audience/update

Berechtigung zum Aktualisieren der (signInAudience)-Eigenschaft des unterstützten Kontotyps von Einzelmandantenanwendungen und mehrinstanzenfähigen Anwendungen.

Diese Berechtigung gewährt Zugriff auf die Eigenschaft des unterstützten Kontotyps der App-Registrierung auf der Authentifizierungsseite.

microsoft.directory/applications.myOrganization/audience/update

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/audience/update, jedoch nur für Einzelmandantenanwendungen.

microsoft.directory/applications/authentication/update

Berechtigung zum Aktualisieren der Eigenschaften der Antwort-URL, der Abmelde-URL, des impliziten Ablaufs und der Herausgeberdomäne für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Authentifizierung“ der Anwendungsregistrierung, außer auf „Unterstützte Kontotypen“:

Gewährt Zugriff auf die Authentifizierung der Anwendungsregistrierung, jedoch nicht auf unterstützte Kontotypen.

microsoft.directory/applications.myOrganization/authentication/update

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/authentication/update, jedoch nur für Einzelmandantenanwendungen.

microsoft.directory/applications/basic/update

Berechtigung zum Aktualisieren der Eigenschaften des Namens, des Logos, der URL der Startseite, der URL zu den Vertragsbedingungen und der URL zur Datenschutzerklärung für Einzelmandantenanwendungen oder mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Branding“ der Anwendungsregistrierung:

Diese Berechtigung gewährt Zugriff auf die Seite „Branding“ der Anwendungsregistrierung.

microsoft.directory/applications.myOrganization/basic/update

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/basic/update, jedoch nur für Einzelmandantenanwendungen.

microsoft.directory/applications/credentials/update

Berechtigung zum Aktualisieren der Eigenschaften der Zertifikate und der geheimen Clientschlüssel für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Zertifikate & Geheimnisse“ der Anwendungsregistrierung:

Diese Berechtigung gewährt Zugriff auf die Seite „Zertifikate & Geheimnisse“ der Anwendungsregistrierung.

microsoft.directory/applications.myOrganization/credentials/update

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/credentials/update, jedoch nur für Anwendungen mit einem Mandanten.

microsoft.directory/applications/owners/update

Berechtigung zum Aktualisieren der Eigenschaft „Besitzer“ für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Besitzer“ der Anwendungsregistrierung:

Diese Berechtigung gewährt Zugriff auf die Seite „Besitzer“ der Anwendungsregistrierung.

microsoft.directory/applications.myOrganization/owners/update

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/owners/update, jedoch nur für Einzelmandantenanwendungen.

microsoft.directory/applications/permissions/update

Diese Berechtigung ermöglicht die Änderung verschiedener Eigenschaften für Einzelmandanten- und mehrinstanzenfähige Anwendungen, einschließlich delegierter Berechtigungen, Anwendungsberechtigungen, autorisierter Clientanwendungen, erforderlicher Berechtigungen und Einwilligungseigenschaften. Sie erteilt nicht die Berechtigung zum Durchführen der Einwilligung. Gewährt Zugriff auf alle Felder auf den Seiten „API-Berechtigungen“ und „Eine API verfügbar machen“ der Anwendungsregistrierung:

Diese Berechtigung gewährt Zugriff auf die Seite „API-Berechtigungen“ der Anwendungsregistrierung.

Diese Berechtigung gewährt Zugriff auf die Seite „Eine API verfügbar machen“ der Anwendungsregistrierung.

microsoft.directory/applications.myOrganization/permissions/update

Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/permissions/update, jedoch nur für Einzelmandantenanwendungen.

Nächste Schritte