Unternehmensanwendungsberechtigungen für benutzerdefinierte Rollen in Microsoft Entra ID
Dieser Artikel enthält die derzeit verfügbaren Anwendungsregistrierungsberechtigungen für benutzerdefinierte Rollendefinitionen in Microsoft Entra ID.
Lizenzanforderungen
Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.
Berechtigungen zum Verwalten von Anwendungen mit einem Mandanten
Beim Auswählen der Berechtigungen für Ihre benutzerdefinierte Rolle haben Sie die Möglichkeit, Zugriff nur zum Verwalten von Anwendungen mit einem Mandanten zu gewähren. Anwendungen mit einem Mandanten sind nur für Benutzer in der Microsoft Entra-Organisation verfügbar, in der die Anwendung registriert ist. Anwendungen mit nur einem Mandanten sind so definiert, dass unterstützte Kontotypen auf "Nur Konten in diesem Organisationsverzeichnis" festgelegt sind. In der Graph-API ist für Anwendungen mit nur einem Mandanten die signInAudience-Eigenschaft auf "AzureADMyOrg." festgelegt
Verwenden Sie zum Gewähren des Zugriffs nur zum Verwalten von Anwendungen mit einem Mandanten die unten aufgeführten Berechtigungen mit dem Untertyp applications.myOrganization. Beispiel: microsoft.directory/applications.myOrganization/basic/update.
Eine Erläuterung der allgemeinen Begriffe „Untertyp“, „Berechtigung“ und „Eigenschaftensatz“ finden Sie in der Übersicht über benutzerdefinierte Rollen. Die folgenden Informationen gelten speziell für Anwendungsregistrierungen.
Erstellen und Löschen
Für die Erstellung von Anwendungsregistrierungen stehen zwei Berechtigungen zur Verfügung, die jeweils ein anderes Verhalten aufweisen:
microsoft.directory/applications/createAsOwner
Wird diese Berechtigung zugewiesen, wird der Ersteller als erster Besitzer der erstellten App-Registrierung hinzugefügt, und die erstellte App-Registrierung zählt zum Objekterstellungskontingent des Erstellers (250 Objekte).
microsoft.directory/applications/create
Wird diese Berechtigung zugewiesen, wird der Ersteller nicht als erster Besitzer der erstellten App-Registrierung hinzugefügt, und die erstellte App-Registrierung zählt nicht zum Kontingent von 250 erstellten Objekten des Erstellers. Verwenden Sie diese Berechtigung mit Bedacht, da der zugewiesene Benutzer in diesem Fall so viele App-Registrierungen erstellen kann, bis das Kontingent auf der Verzeichnisebene erreicht ist.
Wenn beide Berechtigungen zugewiesen sind, hat die Berechtigung zum Erstellen („/create“) Vorrang. Obwohl mit der Berechtigung „/createAsOwner“ der Ersteller nicht automatisch als erster Besitzer hinzufügt wird, können Besitzer bei der Erstellung der App-Registrierung angegeben werden, wenn Graph-APIs oder PowerShell-Cmdlets verwendet werden.
Berechtigungen zum Erstellen gewähren Zugriff auf den Befehl Neue Registrierung.
Für die Erteilung der Möglichkeit zum Löschen von Anwendungsregistrierungen stehen zwei Berechtigungen zur Verfügung:
microsoft.directory/applications/delete
Erteilt die Möglichkeit zum Löschen von Anwendungsregistrierungen unabhängig vom Untertyp, d. h. für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen.
microsoft.directory/applications.myOrganization/delete
Erteilt die Möglichkeit zum Löschen von Anwendungsregistrierungen mit Beschränkung auf die Registrierungen, die nur für Konten in Ihrer Organisation oder Einzelmandantenanwendungen zugänglich sind (Untertyp myOrganization).
Hinweis
Beim Zuweisen einer Rolle, die Berechtigungen zum Erstellen enthält, muss die Rollenzuweisung im Verzeichnisbereich vorgenommen werden. Eine Berechtigung zum Erstellen, die in einem Ressourcenbereich zugewiesen wird, erteilt nicht die Möglichkeit zum Erstellen von Anwendungsregistrierungen.
Lesen
Alle Mitgliedsbenutzer in der Organisation können standardmäßig App-Registrierungsinformationen lesen. Gastbenutzer und Anwendungsdienstprinzipale können dies dagegen nicht. Wenn Sie einem Gastbenutzer oder einer Anwendung eine Rolle zuweisen möchten, müssen Sie die entsprechenden Leseberechtigungen einfügen.
microsoft.directory/applications/allProperties/read
Möglichkeit zum Lesen aller Eigenschaften von Einzelmandantenanwendungen und mehrinstanzenfähigen Anwendungen, mit Ausnahme von Eigenschaften (wie Anmeldeinformationen), die nicht in allen Situationen gelesen werden können.
microsoft.directory/applications.myOrganization/allProperties/read
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/allProperties/read, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/applications/owners/read
Erteilt die Berechtigung zum Lesen der Eigenschaft „Besitzer“ für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Besitzer“ der Anwendungsregistrierung:
microsoft.directory/applications/standard/read
Gewährt Zugriff zum Lesen von Standardeigenschaften für die Anwendungsregistrierung. Dies schließt Eigenschaften über Anwendungsregistrierungsseiten ein.
microsoft.directory/applications.myOrganization/standard/read
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/standard/read, jedoch nur für Einzelmandantenanwendungen.
Aktualisieren
microsoft.directory/applications/allProperties/update
Möglichkeit zum Aktualisieren aller Eigenschaften von Anwendungen mit einem Mandanten und mehrinstanzenfähigen Anwendungen.
microsoft.directory/applications.myOrganization/allProperties/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/allProperties/update, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/applications/audience/update
Möglichkeit zum Aktualisieren der (signInAudience)-Eigenschaft des unterstützten Kontotyps von Anwendungen mit einem Mandanten und mehrinstanzenfähigen Anwendungen.
microsoft.directory/applications.myOrganization/audience/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/audience/update, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/applications/authentication/update
Berechtigung zum Aktualisieren der Eigenschaften der Antwort-URL, der Abmelde-URL, des impliziten Ablaufs und der Herausgeberdomäne für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Authentifizierung“ der Anwendungsregistrierung, außer auf „Unterstützte Kontotypen“:
microsoft.directory/applications.myOrganization/authentication/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/authentication/update, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/applications/basic/update
Berechtigung zum Aktualisieren der Eigenschaften des Namens, des Logos, der URL der Startseite, der URL zu den Vertragsbedingungen und der URL zur Datenschutzerklärung für Einzelmandantenanwendungen oder mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Branding“ der Anwendungsregistrierung:
microsoft.directory/applications.myOrganization/basic/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/basic/update, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/applications/credentials/update
Berechtigung zum Aktualisieren der Eigenschaften der Zertifikate und der geheimen Clientschlüssel für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Zertifikate & Geheimnisse“ der Anwendungsregistrierung:
microsoft.directory/applications.myOrganization/credentials/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/credentials/update, jedoch nur für Anwendungen mit einem Mandanten.
microsoft.directory/applications/owners/update
Berechtigung zum Aktualisieren der Eigenschaft „Besitzer“ für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Besitzer“ der Anwendungsregistrierung:
microsoft.directory/applications.myOrganization/owners/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/owners/update, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/applications/permissions/update
Berechtigungen zum Aktualisieren der Eigenschaften der delegierten Berechtigungen, Anwendungsberechtigungen, autorisierten Clientanwendungen, erforderlichen Berechtigungen und der Erteilung der Einwilligung für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Erteilt nicht die Berechtigung zum Durchführen der Einwilligung. Gewährt Zugriff auf alle Felder auf den Seiten „API-Berechtigungen“ und „Eine API verfügbar machen“ der Anwendungsregistrierung:
microsoft.directory/applications.myOrganization/permissions/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/permissions/update, jedoch nur für Einzelmandantenanwendungen.