Permisos de registro de aplicación para roles personalizados en Microsoft Entra ID.

En este artículo se describen los permisos del registro de aplicaciones disponibles actualmente para las definiciones de rol personalizado en Microsoft Entra ID. Estos permisos permiten a los administradores administrar registros de aplicaciones con niveles de acceso específicos, lo que garantiza una administración segura y eficaz de las aplicaciones dentro de la organización.

Requisitos de licencia

El uso de esta característica requiere una licencia Microsoft Entra ID P1. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.

Permisos para administrar aplicaciones de un solo inquilino

Al elegir los permisos para el rol personalizado, puede conceder acceso para administrar únicamente las aplicaciones de un solo inquilino. Las aplicaciones de un solo inquilino solo están disponibles para los usuarios de la organización de Microsoft Entra en la que se registra la aplicación.

Las aplicaciones de un solo inquilino se definen como las que tienen Tipos de cuenta compatibles establecidos en "Solo las cuentas de este directorio organizativo". En Graph API, las aplicaciones de un solo inquilino tienen la propiedad signInAudience establecida en "AzureADMyOrg".

A fin de conceder acceso para administrar únicamente aplicaciones de un solo inquilino, use los permisos que se indican a continuación con el subtipo applications.myOrganization. Por ejemplo, microsoft.directory/applications.myOrganization/basic/update.

Vea la información general sobre roles personalizados para obtener una explicación de los términos subtipo, permiso y conjunto de propiedades. La siguiente información es específica de los registros de aplicaciones.

Creación y eliminación

Hay dos permisos disponibles para conceder la capacidad de crear registros de aplicaciones, cada uno con un comportamiento diferente.

microsoft.directory/applications/createAsOwner

La asignación de este permiso hace que el creador se agregue como el primer propietario del registro de aplicación creado. El registro de aplicación creado cuenta para la cuota de 250 objetos creados del creador.

microsoft.directory/applications/create

Al conceder este permiso se impide que el creador se agregue como primer propietario del registro de la aplicación y se excluye el registro de la aplicación de la cuota de 250 objetos del creador. Use este permiso con precaución, ya que no hay nada que impida que la persona asignada cree registros de aplicaciones hasta que se alcance la cuota de nivel de directorio.

Si se asignan los dos permisos, el permiso /create tiene prioridad. Aunque el permiso /createAsOwner no agrega automáticamente al creador como primer propietario, se pueden especificar propietarios durante la creación del registro de la aplicación al usar Graph API o cmdlets de PowerShell.

La creación de permisos concede acceso al comando Nuevo registro.

Hay dos permisos disponibles para conceder la capacidad de crear registros de aplicaciones:

microsoft.directory/applications/delete

Concede la capacidad de eliminar registros de aplicaciones independientemente del subtipo, lo que incluye tanto aplicaciones de un solo inquilino como de varios inquilinos.

microsoft.directory/applications.myOrganization/delete

Permite eliminar los registros de aplicaciones restringidos a aquellos a los que solo se puede acceder con las cuentas de la organización o con las aplicaciones de un solo inquilino (subtipo de myOrganization).

Nota

Al asignar un rol que contiene permisos de creación, la asignación de roles debe realizarse en el ámbito del directorio. Un permiso de creación asignado en un ámbito de recursos no concede la posibilidad de crear registros de aplicaciones.

Lectura

Todos los usuarios miembros de la organización pueden leer la información de registro de aplicaciones de forma predeterminada. Sin embargo, los usuarios invitados y las entidades de servicio de la aplicación no pueden. Si pretende asignar un rol a una aplicación o a un usuario invitado, debe incluir los permisos de lectura correspondientes.

microsoft.directory/applications/allProperties/read

Concede la capacidad de leer todas las propiedades de las aplicaciones de un solo inquilino y de varios inquilinos fuera de propiedades que no se pueden leer en ninguna situación, como las credenciales.

microsoft.directory/applications.myOrganization/allProperties/read

Concede los mismos permisos que microsoft.directory/applications/allProperties/read, pero solo para las aplicaciones de un solo inquilino.

microsoft.directory/applications/owners/read

Concede la capacidad de leer la propiedad de propietarios en aplicaciones de un solo inquilino y de varios inquilinos. Concede acceso a todos los campos de la página de propietarios del registro de aplicaciones:

microsoft.directory/applications/standard/read

Concede acceso para leer las propiedades de registro de aplicación estándar. Esto incluye las propiedades de las páginas de registro de aplicación.

microsoft.directory/applications.myOrganization/standard/read

Concede los mismos permisos que microsoft.directory/applications/standard/read, pero solo para las aplicaciones de un solo inquilino.

Actualizar

Los permisos "Actualizar" en Microsoft Entra ID permiten a los administradores modificar varias propiedades de los registros de aplicaciones. Estos permisos son esenciales para mantener y administrar aplicaciones de un solo inquilino y de varios. En función del permiso específico concedido, los administradores pueden actualizar propiedades como tipos de cuenta admitidos, configuración de autenticación, detalles de personalización de marca, etc. A continuación se muestra una lista detallada de los permisos de actualización disponibles y sus funcionalidades específicas.

microsoft.directory/applications/allProperties/update

Permite actualizar todas las propiedades de las aplicaciones de un solo inquilino y de varios inquilinos.

microsoft.directory/applications.myOrganization/allProperties/update

Concede los mismos permisos que microsoft.directory/applications/allProperties/update, pero solo para las aplicaciones de un solo inquilino.

microsoft.directory/applications/audience/update

Permite actualizar la propiedad de tipo de cuenta admitido (signInAudience) en aplicaciones de un solo inquilino y de varios inquilinos.

microsoft.directory/applications.myOrganization/audience/update

Concede los mismos permisos que microsoft.directory/applications/audience/update, pero solo para las aplicaciones de un solo inquilino.

microsoft.directory/applications/authentication/update

Permite actualizar la dirección URL de respuesta, la dirección URL de cierre de sesión, el flujo implícito y las propiedades de dominio del publicador en aplicaciones de un solo inquilino y de varios inquilinos. Concede acceso a todos los campos de la página de autenticación del registro de aplicaciones, excepto a los tipos de cuenta compatibles:

microsoft.directory/applications.myOrganization/authentication/update

Concede los mismos permisos que microsoft.directory/applications/authentication/update, pero solo para las aplicaciones de un solo inquilino.

microsoft.directory/applications/basic/update

Permite actualizar las propiedades del nombre, el logotipo, la dirección URL de la página principal, la dirección URL de los términos de servicio y la dirección URL de la declaración de privacidad en aplicaciones de un solo inquilino y de varios inquilinos. Concede acceso a todos los campos de la página de personalización de marca del registro de aplicaciones:

microsoft.directory/applications.myOrganization/basic/update

Concede los mismos permisos que microsoft.directory/applications/basic/update, pero solo para las aplicaciones de un solo inquilino.

microsoft.directory/applications/credentials/update

Permite actualizar las propiedades de certificados y secretos de cliente en aplicaciones de un solo inquilino y de varios inquilinos. Concede acceso a todos los campos de la página de certificados y secretos del registro de aplicaciones:

microsoft.directory/applications.myOrganization/credentials/update

Concede los mismos permisos que microsoft.directory/applications/credentials/update, pero solo para las aplicaciones de un solo inquilino.

microsoft.directory/applications/owners/update

Permite actualizar la propiedad de propietario en aplicaciones de un solo inquilino y de varios inquilinos. Concede acceso a todos los campos de la página de propietarios del registro de aplicaciones:

microsoft.directory/applications.myOrganization/owners/update

Concede los mismos permisos que microsoft.directory/applications/owners/update, pero solo para las aplicaciones de un solo inquilino.

microsoft.directory/applications/permissions/update

Este permiso permite actualizar varias propiedades en aplicaciones de un solo inquilino y de varios inquilinos, incluidos los permisos delegados, los permisos de aplicación, las aplicaciones cliente autorizadas, los permisos obligatorios y las propiedades de consentimiento. No concede la capacidad de realizar el consentimiento. Concede acceso a todos los campos de las páginas Permisos de API y Exponer una API del registro de aplicaciones:

microsoft.directory/applications.myOrganization/permissions/update

Concede los mismos permisos que microsoft.directory/applications/permissions/update, pero solo para las aplicaciones de un solo inquilino.

Pasos siguientes

• Creación y asignación de un rol personalizado en Microsoft Entra ID
• Lista de asignaciones de roles