Unternehmensanwendungsberechtigungen für benutzerdefinierte Rollen in Microsoft Entra ID
In diesem Artikel werden die App-Registrierungsberechtigungen beschrieben, die für benutzerdefinierte Rollendefinitionen in Microsoft Entra ID verfügbar sind. Mit diesen Berechtigungen können Administratoren Anwendungsregistrierungen mit bestimmten Zugriffsebenen verwalten, um eine sichere und effiziente Verwaltung von Anwendungen innerhalb der Organisation sicherzustellen.
Lizenzanforderungen
Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.
Berechtigungen zum Verwalten von Anwendungen mit einem Mandanten
Beim Auswählen der Berechtigungen für Ihre benutzerdefinierte Rolle haben Sie die Möglichkeit, Zugriff nur zum Verwalten von Einzelmandantenanwendungen zu gewähren. Einzelmandantenanwendungen sind nur für Benutzer in der Microsoft Entra-Organisation verfügbar, in der die Anwendung registriert ist.
Per Definition ist bei Einzelmandantenanwendungen Unterstützte Kontotypen auf „Nur Konten in diesem Organisationsverzeichnis“ festgelegt. In der Graph-API ist für Einzelmandantenanwendungen die signInAudience-Eigenschaft auf „AzureADMyOrg“ festgelegt.
Verwenden Sie zum Gewähren des Zugriffs nur zum Verwalten von Einzelmandantenanwendungen die unten aufgeführten Berechtigungen mit dem Untertyp applications.myOrganization. Beispiel: microsoft.directory/applications.myOrganization/basic/update.
Eine Erläuterung der Begriffe „Untertyp“, „Berechtigung“ und „Eigenschaftensatz“ finden Sie in der Übersicht über benutzerdefinierte Rollen. Die folgenden Informationen gelten speziell für Anwendungsregistrierungen.
Erstellen und Löschen
Für die Erstellung von Anwendungsregistrierungen stehen zwei Berechtigungen zur Verfügung, die jeweils ein anderes Verhalten aufweisen:
microsoft.directory/applications/createAsOwner
Wenn Sie diese Berechtigung zuweisen, wird der Ersteller als erster Besitzer der erstellten App-Registrierung hinzugefügt. Die erstellte App-Registrierung zählt zum Kontingent von 250 erstellten Objekten des Erstellers.
microsoft.directory/applications/create
Durch die Erteilung dieser Berechtigung wird verhindert, dass der Ersteller als erster Besitzer der App-Registrierung hinzugefügt wird, und schließt die App-Registrierung vom 250-Objekte-Kontingent des Erstellers aus. Verwenden Sie diese Berechtigung mit Bedacht, da der zugewiesene Benutzer in diesem Fall so viele App-Registrierungen erstellen kann, bis das Kontingent auf der Verzeichnisebene erreicht ist.
Sind beide Berechtigungen zugewiesen, hat die Berechtigung „/create“ Vorrang. Obwohl mit der Berechtigung „/createAsOwner“ der Ersteller nicht automatisch als erster Besitzer hinzufügt wird, können Besitzer bei der Erstellung der App-Registrierung angegeben werden, wenn Graph-APIs oder PowerShell-Cmdlets verwendet werden.
Berechtigungen zum Erstellen gewähren Zugriff auf den Befehl Neue Registrierung.
Für die Erteilung der Möglichkeit zum Löschen von Anwendungsregistrierungen stehen zwei Berechtigungen zur Verfügung:
microsoft.directory/applications/delete
Erteilt die Berechtigung zum Löschen von App-Registrierungen unabhängig vom Untertyp, z. B. für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen.
microsoft.directory/applications.myOrganization/delete
Erteilt die Möglichkeit zum Löschen von Anwendungsregistrierungen mit Beschränkung auf die Registrierungen, die nur für Konten in Ihrer Organisation oder Einzelmandantenanwendungen zugänglich sind (Untertyp myOrganization).
Hinweis
Beim Zuweisen einer Rolle, die Berechtigungen zum Erstellen enthält, muss die Rollenzuweisung im Verzeichnisbereich vorgenommen werden. Eine Berechtigung zum Erstellen, die in einem Ressourcenbereich zugewiesen wird, erteilt nicht die Möglichkeit zum Erstellen von App-Registrierungen.
Lesen Sie
Alle Mitgliedsbenutzer in der Organisation können standardmäßig App-Registrierungsinformationen lesen. Gastbenutzer und Anwendungsdienstprinzipale können dies dagegen nicht. Wenn Sie einem Gastbenutzer oder einer Anwendung eine Rolle zuweisen möchten, müssen Sie die entsprechenden Leseberechtigungen einfügen.
microsoft.directory/applications/allProperties/read
Erteilt die Berechtigung zum Lesen aller Eigenschaften von Einzelmandantenanwendungen und mehrinstanzenfähigen Anwendungen, mit Ausnahme von Eigenschaften (wie Anmeldeinformationen), die nicht in allen Situationen gelesen werden können.
microsoft.directory/applications.myOrganization/allProperties/read
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/allProperties/read, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/applications/owners/read
Erteilt die Berechtigung zum Lesen der Eigenschaft „Besitzer“ für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Besitzer“ der Anwendungsregistrierung:
microsoft.directory/applications/standard/read
Gewährt Zugriff zum Lesen von Standardeigenschaften für die Anwendungsregistrierung. Dies schließt Eigenschaften über Anwendungsregistrierungsseiten ein.
microsoft.directory/applications.myOrganization/standard/read
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/standard/read, jedoch nur für Einzelmandantenanwendungen.
Aktualisieren
Mit der Berechtigung „Aktualisieren“ in Microsoft Entra ID können Administratoren verschiedene Eigenschaften von Anwendungsregistrierungen ändern. Diese Berechtigungen sind für die Pflege und Verwaltung von Einzelmandanten- und Mehrinstanzenanwendungen unerlässlich. Je nach erteilter Berechtigung können Administratoren Eigenschaften wie unterstützte Kontotypen, Authentifizierungseinstellungen, Brandingdetails und vieles mehr aktualisieren. Im Folgenden finden Sie eine detaillierte Liste der verfügbaren Updateberechtigungen und was damit jeweils möglich ist.
microsoft.directory/applications/allProperties/update
Berechtigung zum Aktualisieren aller Eigenschaften von Einzelmandantenanwendungen und mehrinstanzenfähigen Anwendungen.
microsoft.directory/applications.myOrganization/allProperties/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/allProperties/update, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/applications/audience/update
Berechtigung zum Aktualisieren der (signInAudience)-Eigenschaft des unterstützten Kontotyps von Einzelmandantenanwendungen und mehrinstanzenfähigen Anwendungen.
microsoft.directory/applications.myOrganization/audience/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/audience/update, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/applications/authentication/update
Berechtigung zum Aktualisieren der Eigenschaften der Antwort-URL, der Abmelde-URL, des impliziten Ablaufs und der Herausgeberdomäne für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Authentifizierung“ der Anwendungsregistrierung, außer auf „Unterstützte Kontotypen“:
microsoft.directory/applications.myOrganization/authentication/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/authentication/update, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/applications/basic/update
Berechtigung zum Aktualisieren der Eigenschaften des Namens, des Logos, der URL der Startseite, der URL zu den Vertragsbedingungen und der URL zur Datenschutzerklärung für Einzelmandantenanwendungen oder mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Branding“ der Anwendungsregistrierung:
microsoft.directory/applications.myOrganization/basic/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/basic/update, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/applications/credentials/update
Berechtigung zum Aktualisieren der Eigenschaften der Zertifikate und der geheimen Clientschlüssel für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Zertifikate & Geheimnisse“ der Anwendungsregistrierung:
microsoft.directory/applications.myOrganization/credentials/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/credentials/update, jedoch nur für Anwendungen mit einem Mandanten.
microsoft.directory/applications/owners/update
Berechtigung zum Aktualisieren der Eigenschaft „Besitzer“ für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Besitzer“ der Anwendungsregistrierung:
microsoft.directory/applications.myOrganization/owners/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/owners/update, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/applications/permissions/update
Diese Berechtigung ermöglicht die Änderung verschiedener Eigenschaften für Einzelmandanten- und mehrinstanzenfähige Anwendungen, einschließlich delegierter Berechtigungen, Anwendungsberechtigungen, autorisierter Clientanwendungen, erforderlicher Berechtigungen und Einwilligungseigenschaften. Sie erteilt nicht die Berechtigung zum Durchführen der Einwilligung. Gewährt Zugriff auf alle Felder auf den Seiten „API-Berechtigungen“ und „Eine API verfügbar machen“ der Anwendungsregistrierung:
microsoft.directory/applications.myOrganization/permissions/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/permissions/update, jedoch nur für Einzelmandantenanwendungen.