Microsoft.Graph servicePrincipals
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Permisos
Elija los permisos o permisos marcados como con privilegios mínimos para esta API. Use un permiso o permisos con privilegios más elevados solo si la aplicación lo requiere. Para obtener más información sobre los permisos delegados y de aplicación, consulte Tipos de permisos. Para más información sobre estos permisos, consulte la referencia de permisos.
Nota:
No se pueden usar permisos para cuentas personales de Microsoft para implementar recursos de Microsoft Graph declarados en archivos de Bicep.
| Tipo de permiso | Permisos con privilegios mínimos | Permisos con privilegios más altos |
|---|---|---|
| Delegado (cuenta profesional o educativa) | Application.ReadWrite.All | Directory.ReadWrite.All |
| Delegado (cuenta personal de Microsoft) | No admitida. | No admitida. |
| Application | Application.ReadWrite.OwnedBy | Application.ReadWrite.All, Directory.ReadWrite.All |
Formato de los recursos
Para crear un recurso Microsoft.Graph/servicePrincipals, agregue el siguiente bicep a la plantilla.
resource symbolicname 'Microsoft.Graph/servicePrincipals@beta' = {
accountEnabled: bool
addIns: [
{
id: 'string'
properties: [
{
key: 'string'
value: 'string'
}
]
type: 'string'
}
]
alternativeNames: [
'string'
]
appDescription: 'string'
appDisplayName: 'string'
appId: 'string'
appRoleAssignmentRequired: bool
appRoles: [
{
allowedMemberTypes: [
'string'
]
description: 'string'
displayName: 'string'
id: 'string'
isEnabled: bool
value: 'string'
}
]
description: 'string'
disabledByMicrosoftStatus: 'string'
displayName: 'string'
homepage: 'string'
info: {
marketingUrl: 'string'
privacyStatementUrl: 'string'
supportUrl: 'string'
termsOfServiceUrl: 'string'
}
keyCredentials: [
{
customKeyIdentifier: 'string'
displayName: 'string'
endDateTime: 'string'
key: 'string'
keyId: 'string'
startDateTime: 'string'
type: 'string'
usage: 'string'
}
]
loginUrl: 'string'
logoutUrl: 'string'
notes: 'string'
notificationEmailAddresses: [
'string'
]
passwordCredentials: [
{
displayName: 'string'
endDateTime: 'string'
keyId: 'string'
startDateTime: 'string'
}
]
preferredSingleSignOnMode: 'string'
preferredTokenSigningKeyEndDateTime: 'string'
preferredTokenSigningKeyThumbprint: 'string'
publishedPermissionScopes: [
{
adminConsentDescription: 'string'
adminConsentDisplayName: 'string'
id: 'string'
isEnabled: bool
type: 'string'
userConsentDescription: 'string'
userConsentDisplayName: 'string'
value: 'string'
}
]
publisherName: 'string'
replyUrls: [
'string'
]
samlMetadataUrl: 'string'
samlSingleSignOnSettings: {
relayState: 'string'
}
servicePrincipalNames: [
'string'
]
servicePrincipalType: 'string'
tags: [
'string'
]
tokenEncryptionKeyId: 'string'
verifiedPublisher: {
addedDateTime: 'string'
displayName: 'string'
verifiedPublisherId: 'string'
}
}
Valores de propiedad
servicePrincipals
| Nombre | Descripción | Valor |
|---|---|---|
| accountEnabled | true si la cuenta de entidad de servicio está habilitada; de lo contrario, false. Si se establece en false, no hay usuarios que puedan iniciar sesión en esta aplicación, incluso si se les asigna. | bool |
| addIns | Define el comportamiento personalizado que puede usar un servicio de consumo para llamar a una aplicación en contextos concretos. Por ejemplo, las aplicaciones que pueden representar flujos de archivos pueden establecer la propiedad addIns para su funcionalidad "FileHandler". Esto permite que los servicios como Microsoft 365 llamen a la aplicación en el contexto de un documento en el que el usuario está trabajando. | MicrosoftGraphAddIn[] |
| alternativeNames | Se usa para recuperar entidades de servicio por suscripción, identificar identificadores de recursos completos y grupos de recursos para identidades administradas | string[] |
| apiVersion | La versión de la API de recursos | 'beta' (ReadOnly) |
| appDescription | Descripción expuesta por la aplicación asociada. | string |
| appDisplayName | Nombre para mostrar expuesto por la aplicación asociada. | string |
| appId | Identificador único de la aplicación asociada (su propiedad appId). Clave alternativa | string (obligatorio) |
| applicationTemplateId | Identificador único de applicationTemplate. Solo lectura null si la aplicación no se creó a partir de una plantilla de aplicación. | string (ReadOnly) |
| appOwnerOrganizationId | Contiene el identificador de inquilino donde se registra la aplicación. Esto solo es aplicable a las entidades de servicio respaldadas por las aplicaciones. | string (ReadOnly) Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| appRoleAssignmentRequired | Especifica si es necesario conceder a los usuarios u otras entidades de servicio una asignación de roles de aplicación para esta entidad de servicio antes de que los usuarios puedan iniciar sesión o las aplicaciones pueden obtener tokens. El valor predeterminado es falso. No acepta valores NULL | bool |
| appRoles | Los roles expuestos por la aplicación, que representa esta entidad de servicio. Para obtener más información, consulte la definición de la propiedad appRoles en la entidad de aplicación. No acepta valores NULL. | MicrosoftGraphAppRole[] |
| deletedDateTime | Fecha y hora en que se eliminó este objeto. Siempre es NULL cuando el objeto no se ha eliminado. | string (ReadOnly) |
| descripción | Campo de texto libre para proporcionar una descripción interna orientada al usuario final de la entidad de servicio. Los portales de usuario final, como MyApps, muestran la descripción de la aplicación en este campo. El tamaño máximo permitido es de 1024 caracteres. | string |
| disabledByMicrosoftStatus | Especifica si Microsoft ha deshabilitado la aplicación registrada. Los valores posibles son: null (valor predeterminado), NotDisabled y DisabledDueToViolationOfServicesAgreement (las razones pueden incluir actividades sospechosas, abusivas o malintencionadas, o una infracción del Contrato de servicios de Microsoft) | string |
| DisplayName | Nombre para mostrar de la entidad de servicio | string |
| Página principal | Página principal o página de aterrizaje de la aplicación. | string |
| id | Identificador único de una entidad. Solo lectura | string (ReadOnly) |
| info | Información básica del perfil de la aplicación adquirida, como marketing, soporte técnico, términos de servicio y direcciones URL de declaración de privacidad. Las condiciones del servicio y la declaración de privacidad se exponen a los usuarios mediante la experiencia de consentimiento del usuario. Para obtener más información, consulta How to: Add Terms of service and privacy statement for registered Microsoft Entra apps (Cómo: Agregar términos de servicio y declaración de privacidad para aplicaciones registradas de Microsoft Entra). | MicrosoftGraphInformationalUrl |
| keyCredentials | Colección de credenciales de clave asociadas a la entidad de servicio. No acepta valores NULL | MicrosoftGraphKeyCredential[] |
| loginUrl | Especifica la dirección URL en la que el proveedor de servicios redirige al usuario a Microsoft Entra ID para autenticarse. Microsoft Entra ID usa la dirección URL para iniciar la aplicación desde Microsoft 365 o Microsoft Entra Mis aplicaciones. Cuando está en blanco, Microsoft Entra ID realiza el inicio de sesión iniciado por IdP para las aplicaciones configuradas con el inicio de sesión único basado en SAML. El usuario inicia la aplicación desde Microsoft 365, Microsoft Entra Mis aplicaciones o la dirección URL del inicio de sesión único de Microsoft Entra. | string |
| logoutUrl | Especifica la dirección URL que usa el servicio de autorización de Microsoft para cerrar la sesión de un usuario mediante los protocolos de cierre de sesión de OpenId Connect front-channel, back-channel o SAML. | string |
| notas | Campo de texto libre para capturar información sobre la entidad de servicio, que normalmente se usa con fines operativos. El tamaño máximo permitido es de 1024 caracteres. | string |
| notificationEmailAddresses | Especifica la lista de direcciones de correo electrónico en las que Microsoft Entra ID envía una notificación cuando el certificado activo está cerca de la fecha de expiración. Esto solo es para los certificados usados para firmar el token SAML emitido para las aplicaciones de la Galería de Microsoft Entra. | string[] |
| passwordCredentials | Colección de credenciales de contraseña asociadas a la entidad de servicio. No acepta valores NULL. | MicrosoftGraphPasswordCredential[] |
| preferredSingleSignOnMode | Especifica el modo de inicio de sesión único configurado para esta aplicación. Microsoft Entra ID usa el modo de inicio de sesión único preferido para iniciar la aplicación desde Microsoft 365 o Microsoft Entra Mis aplicaciones. Los valores admitidos son password, saml, notSupported y oidc. | string |
| preferredTokenSigningKeyEndDateTime | Especifica la fecha de expiración de keyCredential usada para la firma de tokens, marcada por preferredTokenSigningKeyThumbprint. Actualmente no se admite la actualización de este atributo. Para obtener más información, consulte Diferencias de propiedades de ServicePrincipal. | string |
| preferredTokenSigningKeyThumbprint | Esta propiedad se puede usar en aplicaciones SAML (aplicaciones que tienen preferredSingleSignOnMode establecido en saml) para controlar qué certificado se usa para firmar las respuestas SAML. En el caso de las aplicaciones que no son SAML, no escriba ni dependa de esta propiedad. | string |
| publishedPermissionScopes | Permisos delegados expuestos por la aplicación. Para obtener más información, consulte la propiedad oauth2PermissionScopes en la propiedad api de la entidad de aplicación. No acepta valores NULL. Nota: Esta propiedad se denomina oauth2PermissionScopes en v1.0. | MicrosoftGraphPermissionScope[] |
| publisherName | Nombre del inquilino de Microsoft Entra que publicó la aplicación. | string |
| replyUrls | Las direcciones URL a las que se envían tokens de usuario para iniciar sesión con la aplicación asociada, o los URI de redireccionamiento a los que se envían los códigos de autorización y los tokens de acceso de OAuth 2.0 para la aplicación asociada. No acepta valores NULL. | string[] |
| samlMetadataUrl | Dirección URL donde el servicio expone los metadatos de SAML para la federación. | string |
| samlSingleSignOnSettings | Colección para la configuración relacionada con el inicio de sesión único de saml. | MicrosoftGraphSamlSingleSignOnSettings |
| servicePrincipalNames | Contiene la lista de identificadoresUris, copiados de la aplicación asociada. Se pueden agregar más valores a las aplicaciones híbridas. Estos valores se pueden usar para identificar los permisos expuestos por esta aplicación dentro de Microsoft Entra ID. Por ejemplo, las aplicaciones cliente pueden especificar un URI de recurso basado en los valores de esta propiedad para adquirir un token de acceso, que es el URI devuelto en la notificación "aud". El operador any es necesario para las expresiones de filtro en propiedades multivalor. No acepta valores NULL | string[] |
| servicePrincipalType | Identifica si la entidad de servicio representa una aplicación o una identidad administrada. Esto lo establece el identificador de Entra de Microsoft internamente. Para una entidad de servicio que representa una aplicación, se establece como Aplicación. Para una entidad de servicio que representa una identidad administrada, se establece como ManagedIdentity. El tipo SocialIdp es para uso interno. | string |
| signInAudience | Especifica las cuentas de Microsoft que se admiten para la aplicación actual. Solo lectura Los valores admitidos son:AzureADMyOrg: usuarios con una cuenta profesional o educativa de Microsoft en el inquilino de Microsoft Entra de mi organización (inquilino único). AzureADMultipleOrgs: usuarios con una cuenta profesional o educativa de Microsoft en el inquilino de Microsoft Entra (multiinquilino) de cualquier organización. AzureADandPersonalMicrosoftAccount: usuarios con una cuenta Microsoft personal o una cuenta profesional o educativa en el inquilino de Microsoft Entra de cualquier organización. PersonalMicrosoftAccount: solo usuarios con una cuenta microsoft personal. | string (ReadOnly) |
| etiquetas | Cadenas personalizadas que se pueden usar para clasificar e identificar la entidad de servicio. No acepta valores NULL | string[] |
| tokenEncryptionKeyId | Especifica el keyId de una clave pública de la colección keyCredentials. Cuando se configura, el identificador de Entra de Microsoft emite tokens para esta aplicación cifrada mediante la clave especificada por esta propiedad. El código de la aplicación que recibe el token cifrado debe usar la clave privada coincidente para descifrar el token antes de que se pueda usar para el usuario conectado. | string Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| type | El tipo de recurso | 'Microsoft.Graph/servicePrincipals' (ReadOnly) |
| verifiedPublisher | Especifica el publicador comprobado de la aplicación vinculada a esta entidad de servicio. | MicrosoftGraphVerifiedPublisher |
MicrosoftGraphKeyValue
| Nombre | Descripción | Valor |
|---|---|---|
| key | Contiene el nombre del campo al que está asociado un valor. | string |
| value | Contiene el valor correspondiente para la clave especificada. | string |
MicrosoftGraphAddIn
| Nombre | Descripción | Valor |
|---|---|---|
| id | Identificador único del objeto addIn. | string Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| properties | Colección de pares clave-valor que definen parámetros que el servicio de consumo puede usar o llamar. Debe especificar esta propiedad al realizar una operación POST o PATCH en la colección addIns. Necesario. | MicrosoftGraphKeyValue[] |
| type | Nombre único de la funcionalidad expuesta por la aplicación. | string |
MicrosoftGraphAppRole
| Nombre | Descripción | Valor |
|---|---|---|
| allowedMemberTypes | Especifica si este rol de aplicación se puede asignar a usuarios y grupos (estableciendo en ['Usuario']), en otra aplicación (estableciendo en ['Aplicación'], o ambos (estableciendo en ['Usuario', 'Aplicación']). Los roles de aplicación que admiten la asignación a las entidades de servicio de otras aplicaciones también se conocen como permisos de aplicación. El valor "Application" solo se admite para los roles de aplicación definidos en las entidades de aplicación. | string[] |
| descripción | Descripción del rol de aplicación. Esto se muestra cuando se asigna el rol de aplicación y, si el rol de aplicación funciona como permiso de aplicación, durante las experiencias de consentimiento. | string |
| DisplayName | Nombre para mostrar del permiso que aparece en las experiencias de consentimiento y asignación de roles de la aplicación. | string |
| id | Identificador de rol único dentro de la colección appRoles. Debe especificar un nuevo identificador GUID al crear un nuevo rol de aplicación. | string Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | Al crear o actualizar un rol de aplicación, debe establecerse en true (que es el valor predeterminado). Para eliminar un rol, primero debe establecerse en false. En ese momento, en una llamada posterior, este rol se puede quitar. | bool |
| origin | Especifica si el rol de aplicación se define en el objeto de aplicación o en la entidad servicePrincipal. No se debe incluir en ninguna solicitud POST o PATCH. Solo lectura | string (ReadOnly) |
| value | Especifica el valor que se va a incluir en la notificación de roles en tokens de identificador y tokens de acceso que autentican a un usuario o entidad de servicio asignados. No debe superar los 120 caracteres de longitud. Los caracteres permitidos son : ! # $ % & ' ( ) * + , -. / : ; = ? @ [ ] ^ + _ { } ~, y caracteres en los intervalos 0-9, A-Z y a-z. No se permite ningún otro carácter, incluido el carácter de espacio. Es posible que no comience por .. | string |
MicrosoftGraphInformationalUrl
| Nombre | Descripción | Valor |
|---|---|---|
| logoUrl | Dirección URL de la red CDN al logotipo de la aplicación, de solo lectura. | string (ReadOnly) |
| marketingUrl | Vínculo a la página de marketing de la aplicación. Por ejemplo: https://www.contoso.com/app/marketing | string |
| privacyStatementUrl | Vínculo a la declaración de privacidad de la aplicación. Por ejemplo: https://www.contoso.com/app/privacy | string |
| supportUrl | Vínculo a la página de soporte técnico de la aplicación. Por ejemplo: https://www.contoso.com/app/support | string |
| termsOfServiceUrl | Vincule a la instrucción de términos de servicio de la aplicación. Por ejemplo: https://www.contoso.com/app/termsofservice | string |
MicrosoftGraphKeyCredential
| Nombre | Descripción | Valor |
|---|---|---|
| customKeyIdentifier | Tipo binario de 40 caracteres que se puede usar para identificar la credencial. Opcional. Cuando no se proporciona en la carga, el valor predeterminado es la huella digital del certificado. | string |
| DisplayName | Nombre descriptivo de la clave. Opcional. | string |
| endDateTime | Fecha y hora en que expira la credencial. El tipo DateTimeOffset representa información de fecha y hora con el formato ISO 8601 y siempre está en hora UTC. Por ejemplo, medianoche UTC el 1 de enero de 2014 es 2014-01-01T00:00:00Z. | string |
| key | Valor de la credencial de clave. Debe ser un valor codificado en Base64. Desde un certificado .cer, puede leer la clave mediante el método Convert.ToBase64String(). Para obtener más información, consulte Obtención de la clave de certificado. | string |
| keyId | Identificador único de la clave. | string Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| startDateTime | Fecha y hora en que la credencial es válida. El tipo timestamp representa información de fecha y hora con el formato ISO 8601 y siempre está en hora UTC. Por ejemplo, medianoche UTC el 1 de enero de 2014 es 2014-01-01T00:00:00Z. | string |
| type | Tipo de credencial de clave; por ejemplo, Symmetric, AsymmetricX509Cert o X509CertAndPassword. | string |
| usada | Cadena que describe el propósito para el que se puede usar la clave; por ejemplo, None, Verify, PairwiseIdentifier, Delegation, Decrypt, Encrypt, HashedIdentifier, SelfSignedTls o Sign. Si el uso es Sign, el tipo debe ser X509CertAndPassword y se deben definir passwordCredentials para la firma. | string |
MicrosoftGraphPasswordCredential
| Nombre | Descripción | Valor |
|---|---|---|
| DisplayName | Nombre descriptivo de la contraseña. Opcional. | string |
| endDateTime | La fecha y hora en que expira la contraseña mediante el formato ISO 8601 y siempre está en hora UTC. Por ejemplo, medianoche UTC el 1 de enero de 2014 es 2014-01-01T00:00:00Z. Opcional. | string |
| hint | Contiene los tres primeros caracteres de la contraseña. Solo lectura | string (ReadOnly) |
| keyId | Identificador único de la contraseña. | string Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| secretText | Solo lectura; Contiene las contraseñas seguras generadas por el identificador de Entra de Microsoft que tienen una longitud de 16 a 64 caracteres. El valor de contraseña generado solo se devuelve durante la solicitud POST inicial para agregarPassword. No hay ninguna manera de recuperar esta contraseña en el futuro. | string (ReadOnly) |
| startDateTime | Fecha y hora en que la contraseña es válida. El tipo timestamp representa información de fecha y hora con el formato ISO 8601 y siempre está en hora UTC. Por ejemplo, medianoche UTC el 1 de enero de 2014 es 2014-01-01T00:00:00Z. Opcional. | string |
MicrosoftGraphPermissionScope
| Nombre | Descripción | Valor |
|---|---|---|
| adminConsentDescription | Descripción de los permisos delegados, diseñados para ser leídos por un administrador que conceda el permiso en nombre de todos los usuarios. Este texto aparece en las experiencias de consentimiento del administrador de todo el inquilino. | string |
| adminConsentDisplayName | El título del permiso, diseñado para ser leído por un administrador que conceda el permiso en nombre de todos los usuarios. | string |
| id | Identificador de permiso delegado único dentro de la colección de permisos delegados definidos para una aplicación de recursos. | string Restricciones: Longitud mínima = 36 Longitud máxima = 36 Patrón = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | Al crear o actualizar un permiso, esta propiedad debe establecerse en true (que es el valor predeterminado). Para eliminar un permiso, esta propiedad debe establecerse primero en false. En ese momento, en una llamada posterior, se puede quitar el permiso. | bool |
| type | Los valores posibles son: Usuario y administrador. Especifica si este permiso delegado debe considerarse seguro para que los usuarios que no sean administradores puedan dar su consentimiento en nombre de sí mismos o si siempre se debe requerir un consentimiento del administrador. Aunque Microsoft Graph define el requisito de consentimiento predeterminado para cada permiso, el administrador de inquilinos puede invalidar el comportamiento de su organización (al permitir, restringir o limitar el consentimiento del usuario a este permiso delegado). Para obtener más información, consulte Configuración del consentimiento de los usuarios a las aplicaciones. | string |
| userConsentDescription | Descripción de los permisos delegados, diseñados para ser leídos por un usuario que conceda el permiso en su propio nombre. Este texto aparece en experiencias de consentimiento en las que el usuario solo da su consentimiento en nombre de sí mismo. | string |
| userConsentDisplayName | Título del permiso, diseñado para ser leído por un usuario que conceda el permiso en su propio nombre. Este texto aparece en experiencias de consentimiento en las que el usuario solo da su consentimiento en nombre de sí mismo. | string |
| value | Especifica el valor que se va a incluir en la notificación scp (ámbito) en los tokens de acceso. No debe superar los 120 caracteres de longitud. Los caracteres permitidos son : ! # $ % & ' ( ) * + , -. / : ; = ? @ [ ] ^ + _ { } ~, y caracteres en los intervalos 0-9, A-Z y a-z. No se permite ningún otro carácter, incluido el carácter de espacio. Es posible que no comience por .. | string |
MicrosoftGraphSamlSingleSignOnSettings
| Nombre | Descripción | Valor |
|---|---|---|
| relayState | El URI relativo al que el proveedor de servicios redirigiría después de completar el flujo de inicio de sesión único. | string |
MicrosoftGraphVerifiedPublisher
| Nombre | Descripción | Valor |
|---|---|---|
| addedDateTime | Marca de tiempo en la que el publicador comprobado se agregó por primera vez o se actualizó más recientemente. | string |
| DisplayName | Nombre del publicador comprobado de la cuenta de Microsoft Partner Network (MPN) del publicador de la aplicación. | string |
| verifiedPublisherId | Identificador del publicador comprobado de la cuenta del Centro de partners del publicador de la aplicación. | string |