Microsoft.Graph servicePrincipals
Permisos
Elija los permisos o permisos marcados como con privilegios mínimos para esta API. Use un permiso o permisos con privilegios más elevados solo si la aplicación lo requiere. Para obtener más información sobre los permisos delegados y de aplicación, consulte Tipos de permisos. Para más información sobre estos permisos, consulte la referencia de permisos.
Nota:
No se pueden usar permisos para cuentas personales de Microsoft para implementar recursos de Microsoft Graph declarados en archivos de Bicep.
| Tipo de permiso | Permisos con privilegios mínimos | Permisos con privilegios más altos |
|---|---|---|
| Delegado (cuenta profesional o educativa) | Application.ReadWrite.All | Directory.ReadWrite.All |
| Delegado (cuenta personal de Microsoft) | No admitida. | No admitida. |
| Application | Application.ReadWrite.OwnedBy | Application.ReadWrite.All, Directory.ReadWrite.All |
Formato de los recursos
Para crear un recurso Microsoft.Graph/servicePrincipals, agregue el siguiente bicep a la plantilla.
resource symbolicname 'Microsoft.Graph/servicePrincipals@v1.0' = {
accountEnabled: bool
addIns: [
{
id: 'string'
properties: [
{
key: 'string'
value: 'string'
}
]
type: 'string'
}
]
alternativeNames: [
'string'
]
appDescription: 'string'
appDisplayName: 'string'
appId: 'string'
appRoleAssignmentRequired: bool
appRoles: [
{
allowedMemberTypes: [
'string'
]
description: 'string'
displayName: 'string'
id: 'string'
isEnabled: bool
value: 'string'
}
]
customSecurityAttributes: any
description: 'string'
disabledByMicrosoftStatus: 'string'
displayName: 'string'
homepage: 'string'
info: {
marketingUrl: 'string'
privacyStatementUrl: 'string'
supportUrl: 'string'
termsOfServiceUrl: 'string'
}
keyCredentials: [
{
customKeyIdentifier: 'string'
displayName: 'string'
endDateTime: 'string'
key: 'string'
keyId: 'string'
startDateTime: 'string'
type: 'string'
usage: 'string'
}
]
loginUrl: 'string'
logoutUrl: 'string'
notes: 'string'
notificationEmailAddresses: [
'string'
]
oauth2PermissionScopes: [
{
adminConsentDescription: 'string'
adminConsentDisplayName: 'string'
id: 'string'
isEnabled: bool
type: 'string'
userConsentDescription: 'string'
userConsentDisplayName: 'string'
value: 'string'
}
]
passwordCredentials: [
{
displayName: 'string'
endDateTime: 'string'
keyId: 'string'
startDateTime: 'string'
}
]
preferredSingleSignOnMode: 'string'
preferredTokenSigningKeyThumbprint: 'string'
replyUrls: [
'string'
]
samlSingleSignOnSettings: {
relayState: 'string'
}
servicePrincipalNames: [
'string'
]
servicePrincipalType: 'string'
tags: [
'string'
]
tokenEncryptionKeyId: 'string'
verifiedPublisher: {
addedDateTime: 'string'
displayName: 'string'
verifiedPublisherId: 'string'
}
}
Valores de propiedad
servicePrincipals
| Nombre | Descripción | Valor |
|---|---|---|
| accountEnabled | true si la cuenta de entidad de servicio está habilitada; de lo contrario, false. Si se establece en false, no hay usuarios que puedan iniciar sesión en esta aplicación, incluso si se les asigna. | bool |
| addIns | Define el comportamiento personalizado que puede usar un servicio de consumo para llamar a una aplicación en contextos concretos. Por ejemplo, las aplicaciones que pueden representar flujos de archivos pueden establecer la propiedad addIns para su funcionalidad "FileHandler". Esto permite que los servicios como Microsoft 365 llamen a la aplicación en el contexto de un documento en el que el usuario está trabajando. | MicrosoftGraphAddIn[] |
| alternativeNames | Se usa para recuperar entidades de servicio por suscripción, identificar identificadores de recursos completos y grupos de recursos para identidades administradas | string[] |
| apiVersion | La versión de la API de recursos | 'v1.0' (ReadOnly) |
| appDescription | Descripción expuesta por la aplicación asociada. | string |
| appDisplayName | Nombre para mostrar expuesto por la aplicación asociada. | string |
| appId | Identificador único de la aplicación asociada (su propiedad appId). Clave alternativa | string (obligatorio) |
| applicationTemplateId | Identificador único de applicationTemplate. Solo lectura null si la entidad de servicio no se creó a partir de una plantilla de aplicación. | string (ReadOnly) |
| appOwnerOrganizationId | Contiene el identificador de inquilino donde se registra la aplicación. Esto solo es aplicable a las entidades de servicio respaldadas por las aplicaciones. | string (ReadOnly) Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| appRoleAssignmentRequired | Especifica si es necesario conceder a los usuarios u otras entidades de servicio una asignación de roles de aplicación para esta entidad de servicio antes de que los usuarios puedan iniciar sesión o las aplicaciones pueden obtener tokens. El valor predeterminado es falso. No acepta valores NULL | bool |
| appRoles | Los roles expuestos por la aplicación vinculada a esta entidad de servicio. Para obtener más información, consulte la definición de la propiedad appRoles en la entidad de aplicación. No acepta valores NULL. | MicrosoftGraphAppRole[] |
| customSecurityAttributes | Tipo complejo abierto que contiene el valor de un atributo de seguridad personalizado que se asigna a un objeto de directorio. Acepta valores NULL. El valor de filtro distingue mayúsculas de minúsculas. | cualquiera |
| deletedDateTime | Fecha y hora en que se eliminó este objeto. Siempre es NULL cuando el objeto no se ha eliminado. | string (ReadOnly) |
| descripción | Campo de texto libre para proporcionar una descripción interna orientada al usuario final de la entidad de servicio. Los portales de usuario final, como MyApps, muestran la descripción de la aplicación en este campo. El tamaño máximo permitido es de 1024 caracteres. | string |
| disabledByMicrosoftStatus | Especifica si Microsoft ha deshabilitado la aplicación registrada. Los valores posibles son: null (valor predeterminado), NotDisabled y DisabledDueToViolationOfServicesAgreement (los motivos incluyen actividades sospechosas, abusivas o malintencionadas, o una infracción del Contrato de servicios de Microsoft). | string |
| DisplayName | Nombre para mostrar de la entidad de servicio | string |
| Página principal | Página principal o página de aterrizaje de la aplicación. | string |
| id | Identificador único de una entidad. Solo lectura | string (ReadOnly) |
| info | Información básica del perfil de la aplicación adquirida, como marketing, soporte técnico, términos de servicio y direcciones URL de declaración de privacidad. Las condiciones del servicio y la declaración de privacidad se exponen a los usuarios mediante la experiencia de consentimiento del usuario. Para obtener más información, consulta How to: Add Terms of service and privacy statement for registered Microsoft Entra apps (Cómo: Agregar términos de servicio y declaración de privacidad para aplicaciones registradas de Microsoft Entra). | MicrosoftGraphInformationalUrl |
| keyCredentials | Colección de credenciales de clave asociadas a la entidad de servicio. No acepta valores NULL | MicrosoftGraphKeyCredential[] |
| loginUrl | Especifica la dirección URL en la que el proveedor de servicios redirige al usuario a Microsoft Entra ID para autenticarse. Microsoft Entra ID usa la dirección URL para iniciar la aplicación desde Microsoft 365 o Microsoft Entra Mis aplicaciones. Cuando está en blanco, Microsoft Entra ID realiza el inicio de sesión iniciado por IdP para las aplicaciones configuradas con el inicio de sesión único basado en SAML. El usuario inicia la aplicación desde Microsoft 365, Microsoft Entra Mis aplicaciones o la dirección URL del inicio de sesión único de Microsoft Entra. | string |
| logoutUrl | Especifica la dirección URL que usa el servicio de autorización de Microsoft para cerrar la sesión de un usuario mediante los protocolos de cierre de sesión de OpenID Connect front-channel, back-channel o SAML. | string |
| notas | Campo de texto libre para capturar información sobre la entidad de servicio, que normalmente se usa con fines operativos. El tamaño máximo permitido es de 1024 caracteres. | string |
| notificationEmailAddresses | Especifica la lista de direcciones de correo electrónico en las que Microsoft Entra ID envía una notificación cuando el certificado activo está cerca de la fecha de expiración. Esto solo es para los certificados usados para firmar el token SAML emitido para las aplicaciones de la Galería de Microsoft Entra. | string[] |
| oauth2PermissionScopes | Permisos delegados expuestos por la aplicación. Para obtener más información, consulte la propiedad oauth2PermissionScopes en la propiedad api de la entidad de aplicación. No acepta valores NULL. | MicrosoftGraphPermissionScope[] |
| passwordCredentials | Colección de credenciales de contraseña asociadas a la aplicación. No acepta valores NULL. | MicrosoftGraphPasswordCredential[] |
| preferredSingleSignOnMode | Especifica el modo de inicio de sesión único configurado para esta aplicación. Microsoft Entra ID usa el modo de inicio de sesión único preferido para iniciar la aplicación desde Microsoft 365 o el portal de Mis aplicaciones. Los valores admitidos son password, saml, notSupported y oidc. | string |
| preferredTokenSigningKeyThumbprint | Esta propiedad se puede usar en aplicaciones SAML (aplicaciones que tienen preferredSingleSignOnMode establecido en saml) para controlar qué certificado se usa para firmar las respuestas SAML. En el caso de las aplicaciones que no son SAML, no escriba ni dependa de esta propiedad. | string |
| replyUrls | Las direcciones URL a las que se envían tokens de usuario para iniciar sesión con la aplicación asociada, o los URI de redireccionamiento a los que se envían los códigos de autorización y los tokens de acceso de OAuth 2.0 para la aplicación asociada. No acepta valores NULL. | string[] |
| resourceSpecificApplicationPermissions | Los permisos de aplicación específicos del recurso expuestos por esta aplicación. Actualmente, los permisos específicos de los recursos solo se admiten para las aplicaciones de Teams que acceden a chats y equipos específicos mediante Microsoft Graph. Solo lectura | MicrosoftGraphResourceSpecificPermission[] (ReadOnly) |
| samlSingleSignOnSettings | Colección para la configuración relacionada con el inicio de sesión único de saml. | MicrosoftGraphSamlSingleSignOnSettings |
| servicePrincipalNames | Contiene la lista de identificadoresUris, copiados de la aplicación asociada. Se pueden agregar valores adicionales a las aplicaciones híbridas. Estos valores se pueden usar para identificar los permisos expuestos por esta aplicación dentro de Microsoft Entra ID. Por ejemplo, las aplicaciones cliente pueden especificar un URI de recurso basado en los valores de esta propiedad para adquirir un token de acceso, que es el URI devuelto en la notificación "aud". El operador any es necesario para las expresiones de filtro en propiedades multivalor. No acepta valores NULL | string[] |
| servicePrincipalType | Identifica si la entidad de servicio representa una aplicación, una identidad administrada o una aplicación heredada. Esto lo establece el identificador de Entra de Microsoft internamente. La propiedad servicePrincipalType se puede establecer en tres valores diferentes: Application: una entidad de servicio que representa una aplicación o servicio. La propiedad appId identifica el registro de aplicaciones asociado y coincide con el appId de una aplicación, posiblemente de un inquilino diferente. Si falta el registro de aplicación asociado, no se emiten tokens para la entidad de servicio. ManagedIdentity: una entidad de servicio que representa una identidad administrada. Las entidades de servicio que representan identidades administradas se pueden conceder acceso y permisos, pero no se pueden actualizar ni modificar directamente. Heredado: una entidad de servicio que representa una aplicación creada antes de los registros de aplicaciones o a través de experiencias heredadas. Una entidad de servicio heredada puede tener credenciales, nombres de entidad de servicio, direcciones URL de respuesta y otras propiedades editables por un usuario autorizado, pero no tiene un registro de aplicación asociado. El valor appId no asocia la entidad de servicio con un registro de aplicación. La entidad de servicio solo se puede usar en el inquilino donde se creó. SocialIdp: para uso interno. | string |
| signInAudience | Especifica las cuentas de Microsoft que se admiten para la aplicación actual. Solo lectura Los valores admitidos son:AzureADMyOrg: usuarios con una cuenta profesional o educativa de Microsoft en el inquilino de Microsoft Entra de mi organización (inquilino único). AzureADMultipleOrgs: usuarios con una cuenta profesional o educativa de Microsoft en el inquilino de Microsoft Entra (multiinquilino) de cualquier organización. AzureADandPersonalMicrosoftAccount: usuarios con una cuenta Microsoft personal o una cuenta profesional o educativa en el inquilino de Microsoft Entra de cualquier organización. PersonalMicrosoftAccount: solo usuarios con una cuenta microsoft personal. | string (ReadOnly) |
| etiquetas | Cadenas personalizadas que se pueden usar para clasificar e identificar la entidad de servicio. No acepta valores NULL | string[] |
| tokenEncryptionKeyId | Especifica el keyId de una clave pública de la colección keyCredentials. Cuando se configura, el identificador de Entra de Microsoft emite tokens para esta aplicación cifrada mediante la clave especificada por esta propiedad. El código de la aplicación que recibe el token cifrado debe usar la clave privada coincidente para descifrar el token antes de que se pueda usar para el usuario conectado. | string Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| type | El tipo de recurso | 'Microsoft.Graph/servicePrincipals' (ReadOnly) |
| verifiedPublisher | Especifica el publicador comprobado de la aplicación vinculada a esta entidad de servicio. | MicrosoftGraphVerifiedPublisher |
MicrosoftGraphKeyValue
| Nombre | Descripción | Valor |
|---|---|---|
| key | Clave para el par clave-valor. | string |
| value | Valor del par clave-valor. | string |
MicrosoftGraphAddIn
| Nombre | Descripción | Valor |
|---|---|---|
| id | Identificador único del objeto addIn. | string Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| properties | Colección de pares clave-valor que definen parámetros que el servicio de consumo puede usar o llamar. Debe especificar esta propiedad al realizar una operación POST o PATCH en la colección addIns. Necesario. | MicrosoftGraphKeyValue[] |
| type | Nombre único de la funcionalidad expuesta por la aplicación. | string |
MicrosoftGraphAppRole
| Nombre | Descripción | Valor |
|---|---|---|
| allowedMemberTypes | Especifica si este rol de aplicación se puede asignar a usuarios y grupos (estableciendo en ['Usuario']), en otra aplicación (estableciendo en ['Aplicación'], o ambos (estableciendo en ['Usuario', 'Aplicación']). Los roles de aplicación que admiten la asignación a las entidades de servicio de otras aplicaciones también se conocen como permisos de aplicación. El valor "Application" solo se admite para los roles de aplicación definidos en las entidades de aplicación. | string[] |
| descripción | Descripción del rol de aplicación. Esto se muestra cuando se asigna el rol de aplicación y, si el rol de aplicación funciona como permiso de aplicación, durante las experiencias de consentimiento. | string |
| DisplayName | Nombre para mostrar del permiso que aparece en las experiencias de consentimiento y asignación de roles de la aplicación. | string |
| id | Identificador de rol único dentro de la colección appRoles. Al crear un nuevo rol de aplicación, se debe proporcionar un nuevo identificador GUID. | string Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | Al crear o actualizar un rol de aplicación, debe establecerse en true (que es el valor predeterminado). Para eliminar un rol, primero debe establecerse en false. En ese momento, en una llamada posterior, este rol se puede quitar. | bool |
| origin | Especifica si el rol de aplicación se define en el objeto de aplicación o en la entidad servicePrincipal. No se debe incluir en ninguna solicitud POST o PATCH. Solo lectura | string (ReadOnly) |
| value | Especifica el valor que se va a incluir en la notificación de roles en tokens de identificador y tokens de acceso que autentican a un usuario o entidad de servicio asignados. No debe superar los 120 caracteres de longitud. Los caracteres permitidos son : ! # $ % & ' ( ) * + , -. / : ; = ? @ [ ] ^ + _ { } ~, y caracteres en los intervalos 0-9, A-Z y a-z. No se permite ningún otro carácter, incluido el carácter de espacio. Es posible que no comience por .. | string |
MicrosoftGraphInformationalUrl
| Nombre | Descripción | Valor |
|---|---|---|
| logoUrl | Dirección URL de la red CDN al logotipo de la aplicación, de solo lectura. | string (ReadOnly) |
| marketingUrl | Vínculo a la página de marketing de la aplicación. Por ejemplo: https://www.contoso.com/app/marketing | string |
| privacyStatementUrl | Vínculo a la declaración de privacidad de la aplicación. Por ejemplo: https://www.contoso.com/app/privacy | string |
| supportUrl | Vínculo a la página de soporte técnico de la aplicación. Por ejemplo: https://www.contoso.com/app/support | string |
| termsOfServiceUrl | Vincule a la instrucción de términos de servicio de la aplicación. Por ejemplo: https://www.contoso.com/app/termsofservice | string |
MicrosoftGraphKeyCredential
| Nombre | Descripción | Valor |
|---|---|---|
| customKeyIdentifier | Tipo binario de 40 caracteres que se puede usar para identificar la credencial. Opcional. Cuando no se proporciona en la carga, el valor predeterminado es la huella digital del certificado. | string |
| DisplayName | Nombre descriptivo de la clave. Opcional. | string |
| endDateTime | Fecha y hora en que expira la credencial. El tipo DateTimeOffset representa información de fecha y hora con el formato ISO 8601 y siempre está en hora UTC. Por ejemplo, medianoche UTC el 1 de enero de 2014 es 2014-01-01T00:00:00Z. | string |
| key | Los datos sin procesar del certificado en la matriz de bytes se convierten en cadena Base64. Desde un certificado .cer, puede leer la clave mediante el método Convert.ToBase64String(). Para obtener más información, consulte Obtención de la clave de certificado. | string |
| keyId | Identificador único (GUID) de la clave. | string Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| startDateTime | Fecha y hora en que la credencial es válida. El tipo timestamp representa información de fecha y hora con el formato ISO 8601 y siempre está en hora UTC. Por ejemplo, medianoche UTC el 1 de enero de 2014 es 2014-01-01T00:00:00Z. | string |
| type | Tipo de credencial de clave; por ejemplo, Symmetric, AsymmetricX509Cert. | string |
| usada | Cadena que describe el propósito para el que se puede usar la clave; por ejemplo, Verify. | string |
MicrosoftGraphPermissionScope
| Nombre | Descripción | Valor |
|---|---|---|
| adminConsentDescription | Descripción de los permisos delegados, diseñados para ser leídos por un administrador que conceda el permiso en nombre de todos los usuarios. Este texto aparece en las experiencias de consentimiento del administrador de todo el inquilino. | string |
| adminConsentDisplayName | El título del permiso, diseñado para ser leído por un administrador que conceda el permiso en nombre de todos los usuarios. | string |
| id | Identificador de permiso delegado único dentro de la colección de permisos delegados definidos para una aplicación de recursos. | string Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | Al crear o actualizar un permiso, esta propiedad debe establecerse en true (que es el valor predeterminado). Para eliminar un permiso, esta propiedad debe establecerse primero en false. En ese momento, en una llamada posterior, se puede quitar el permiso. | bool |
| type | Los valores posibles son: Usuario y administrador. Especifica si este permiso delegado debe considerarse seguro para que los usuarios que no sean administradores puedan dar su consentimiento en nombre de sí mismos o si siempre se debe requerir un consentimiento del administrador. Aunque Microsoft Graph define el requisito de consentimiento predeterminado para cada permiso, el administrador de inquilinos puede invalidar el comportamiento de su organización (al permitir, restringir o limitar el consentimiento del usuario a este permiso delegado). Para obtener más información, consulte Configuración del consentimiento de los usuarios a las aplicaciones. | string |
| userConsentDescription | Descripción de los permisos delegados, diseñados para ser leídos por un usuario que conceda el permiso en su propio nombre. Este texto aparece en experiencias de consentimiento en las que el usuario solo da su consentimiento en nombre de sí mismo. | string |
| userConsentDisplayName | Título del permiso, diseñado para ser leído por un usuario que conceda el permiso en su propio nombre. Este texto aparece en experiencias de consentimiento en las que el usuario solo da su consentimiento en nombre de sí mismo. | string |
| value | Especifica el valor que se va a incluir en la notificación scp (ámbito) en los tokens de acceso. No debe superar los 120 caracteres de longitud. Los caracteres permitidos son : ! # $ % & ' ( ) * + , -. / : ; = ? @ [ ] ^ + _ { } ~, y caracteres en los intervalos 0-9, A-Z y a-z. No se permite ningún otro carácter, incluido el carácter de espacio. Es posible que no comience por .. | string |
MicrosoftGraphPasswordCredential
| Nombre | Descripción | Valor |
|---|---|---|
| DisplayName | Nombre descriptivo de la contraseña. Opcional. | string |
| endDateTime | La fecha y hora en que expira la contraseña mediante el formato ISO 8601 y siempre está en hora UTC. Por ejemplo, medianoche UTC el 1 de enero de 2014 es 2014-01-01T00:00:00Z. Opcional. | string |
| hint | Contiene los tres primeros caracteres de la contraseña. Solo lectura | string (ReadOnly) |
| keyId | Identificador único de la contraseña. | string Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| secretText | Solo lectura; Contiene las contraseñas seguras generadas por el identificador de Entra de Microsoft que tienen una longitud de 16 a 64 caracteres. El valor de contraseña generado solo se devuelve durante la solicitud POST inicial para agregarPassword. No hay ninguna manera de recuperar esta contraseña en el futuro. | string (ReadOnly) |
| startDateTime | Fecha y hora en que la contraseña es válida. El tipo timestamp representa información de fecha y hora con el formato ISO 8601 y siempre está en hora UTC. Por ejemplo, medianoche UTC el 1 de enero de 2014 es 2014-01-01T00:00:00Z. Opcional. | string |
MicrosoftGraphResourceSpecificPermission
| Nombre | Descripción | Valor |
|---|---|---|
| descripción | Describe el nivel de acceso que representa el permiso específico del recurso. | string |
| DisplayName | Nombre para mostrar del permiso específico del recurso. | string |
| id | Identificador único del permiso de aplicación específico del recurso. | string Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | Indica si el permiso está habilitado. | bool |
| value | Valor del permiso. | string |
MicrosoftGraphSamlSingleSignOnSettings
| Nombre | Descripción | Valor |
|---|---|---|
| relayState | El URI relativo al que el proveedor de servicios redirigiría después de completar el flujo de inicio de sesión único. | string |
MicrosoftGraphVerifiedPublisher
| Nombre | Descripción | Valor |
|---|---|---|
| addedDateTime | Marca de tiempo en la que el publicador comprobado se agregó por primera vez o se actualizó más recientemente. | string |
| DisplayName | Nombre del publicador comprobado de la cuenta del Centro de partners del publicador de la aplicación. | string |
| verifiedPublisherId | Identificador del publicador comprobado de la cuenta del Centro de partners del publicador de la aplicación. | string |