Administración de una aplicación Microsoft Entra mediante Microsoft Graph
La aplicación debe registrarse en Microsoft Entra ID antes de que el Plataforma de identidad de Microsoft pueda autorizarlo para acceder a los datos almacenados en la nube de Microsoft. Esta condición se aplica a las aplicaciones que desarrolla usted mismo, a las que posee el inquilino o a las que accede a través de una suscripción activa.
Muchas opciones de configuración de las aplicaciones se registran como objetos a los que se puede acceder, actualizar o eliminar mediante Microsoft Graph. En este artículo, aprenderá a usar Microsoft Graph para administrar los detalles de los objetos de la aplicación y la entidad de servicio, incluidas las propiedades, los permisos y las asignaciones de roles.
Requisitos previos
Para probar las operaciones de API, necesita los siguientes recursos y privilegios:
Un inquilino de Microsoft Entra en funcionamiento.
Inicie sesión en el Explorador de Graph como un usuario con privilegios permitidos para crear y administrar aplicaciones en el inquilino.
Concédete el permiso delegado con privilegios mínimos indicado para la operación.
Registro de una aplicación con Microsoft Entra ID
La siguiente solicitud crea una aplicación especificando solo la propiedad displayName necesaria. A otras propiedades se les asignan los valores predeterminados.
Permiso delegado con privilegios mínimos: Application.ReadWrite.All.
Content-type: application/json
"displayName": "My application"
// Code snippets are only available for the latest version. Current version is 5.x
// Dependencies
using Microsoft.Graph.Models;
var requestBody = new Application
DisplayName = "My application",
// To initialize your graphClient, see
var result = await graphClient.Applications.PostAsync(requestBody);
// Code snippets are only available for the latest major version. Current major version is $v1.*
// Dependencies
import (
msgraphsdk ""
graphmodels ""
requestBody := graphmodels.NewApplication()
displayName := "My application"
// To initialize your graphClient, see
applications, err := graphClient.Applications().Post(context.Background(), requestBody, nil)
// Code snippets are only available for the latest version. Current version is 6.x
GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);
Application application = new Application();
application.setDisplayName("My application");
Application result = graphClient.applications().post(application);
use Microsoft\Graph\GraphServiceClient;
use Microsoft\Graph\Generated\Models\Application;
$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);
$requestBody = new Application();
$requestBody->setDisplayName('My application');
$result = $graphServiceClient->applications()->post($requestBody)->wait();
# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
from msgraph.generated.models.application import Application
# To initialize your graph_client, see
request_body = Application(
display_name = "My application",
result = await
La solicitud devuelve una 201 Created respuesta con el objeto application en el cuerpo de la respuesta. A la aplicación se le asigna un identificador único para las aplicaciones del inquilino y un appId que es único globalmente en el ecosistema de Microsoft Entra ID.
Creación de una entidad de servicio para una aplicación
Permiso delegado con privilegios mínimos: Application.ReadWrite.All.
Content-type: application/json
"appId": "fc876dd1-6bcb-4304-b9b6-18ddf1526b62"
// Code snippets are only available for the latest version. Current version is 5.x
// Dependencies
using Microsoft.Graph.Models;
var requestBody = new ServicePrincipal
AppId = "fc876dd1-6bcb-4304-b9b6-18ddf1526b62",
// To initialize your graphClient, see
var result = await graphClient.ServicePrincipals.PostAsync(requestBody);
// Code snippets are only available for the latest major version. Current major version is $v1.*
// Dependencies
import (
msgraphsdk ""
graphmodels ""
requestBody := graphmodels.NewServicePrincipal()
appId := "fc876dd1-6bcb-4304-b9b6-18ddf1526b62"
// To initialize your graphClient, see
servicePrincipals, err := graphClient.ServicePrincipals().Post(context.Background(), requestBody, nil)
// Code snippets are only available for the latest version. Current version is 6.x
GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);
ServicePrincipal servicePrincipal = new ServicePrincipal();
ServicePrincipal result = graphClient.servicePrincipals().post(servicePrincipal);
use Microsoft\Graph\GraphServiceClient;
use Microsoft\Graph\Generated\Models\ServicePrincipal;
$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);
$requestBody = new ServicePrincipal();
$result = $graphServiceClient->servicePrincipals()->post($requestBody)->wait();
# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
from msgraph.generated.models.service_principal import ServicePrincipal
# To initialize your graph_client, see
request_body = ServicePrincipal(
app_id = "fc876dd1-6bcb-4304-b9b6-18ddf1526b62",
result = await
La solicitud devuelve una 201 Created respuesta con el objeto de entidad de servicio en el cuerpo de la respuesta.
Direccionamiento de una aplicación o un objeto de entidad de servicio
Puede dirigirse a una aplicación o a una entidad de servicio por su identificador o por su appId, donde id. se conoce como Id. de objeto y appId se conoce como Id. de aplicación (cliente) en el Centro de administración Microsoft Entra. Estas sintaxis son compatibles con todas las operaciones CRUD HTTP en aplicaciones y entidades de servicio.
Para abordar una aplicación o una entidad de servicio por su identificador.
Además, puede abordar un objeto de aplicación único su uniqueName. Puede usar esta propiedad para crear una aplicación con el nombre único si no existe o actualizarla si existe; una operación denominada "Upsert".
Cree una aplicación con el uniqueName especificado si no existe; de lo contrario, actualícela.
Configuración de otras propiedades básicas para la aplicación
Permiso delegado con privilegios mínimos: Application.ReadWrite.All.
Configure las siguientes propiedades básicas para la aplicación.
Agregue etiquetas para la categorización en la organización. Además, use la HideApp etiqueta para ocultar la aplicación de Aplicaciones y el iniciador de Microsoft 365.
Agregue información básica, como el logotipo, los términos de servicio y la declaración de privacidad.
Almacenar información de contacto sobre la aplicación
// Code snippets are only available for the latest version. Current version is 5.x
// Dependencies
using Microsoft.Graph.Models;
var requestBody = new Application
Tags = new List<string>
Info = new InformationalUrl
LogoUrl = "",
MarketingUrl = "",
PrivacyStatementUrl = "",
SupportUrl = "",
TermsOfServiceUrl = "",
Web = new WebApplication
HomePageUrl = "",
LogoutUrl = "",
RedirectUris = new List<string>
ServiceManagementReference = "Owners aliases: Finance @; The Phone Company HR consulting @;",
// To initialize your graphClient, see
var result = await graphClient.Applications["{application-id}"].PatchAsync(requestBody);
// Code snippets are only available for the latest version. Current version is 6.x
GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);
Application application = new Application();
LinkedList<String> tags = new LinkedList<String>();
InformationalUrl info = new InformationalUrl();
WebApplication web = new WebApplication();
LinkedList<String> redirectUris = new LinkedList<String>();
application.setServiceManagementReference("Owners aliases: Finance @; The Phone Company HR consulting @;");
Application result = graphClient.applications().byApplicationId("{application-id}").patch(application);
# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
from msgraph.generated.models.application import Application
from msgraph.generated.models.informational_url import InformationalUrl
from msgraph.generated.models.web_application import WebApplication
# To initialize your graph_client, see
request_body = Application(
tags = [
info = InformationalUrl(
logo_url = "",
marketing_url = "",
privacy_statement_url = "",
support_url = "",
terms_of_service_url = "",
web = WebApplication(
home_page_url = "",
logout_url = "",
redirect_uris = [
service_management_reference = "Owners aliases: Finance @; The Phone Company HR consulting @;",
result = await graph_client.applications.by_application_id('application-id').patch(request_body)
Limitar el inicio de sesión de la aplicación a solo las identidades asignadas
La siguiente operación limita las identidades que pueden iniciar sesión en una aplicación solo a aquellas a las que se asignan todos los roles de la aplicación.
Permiso delegado con privilegios mínimos: Application.ReadWrite.All.
// Code snippets are only available for the latest version. Current version is 5.x
// Dependencies
using Microsoft.Graph.Models;
var requestBody = new ServicePrincipal
AppRoleAssignmentRequired = true,
// To initialize your graphClient, see
var result = await graphClient.ServicePrincipals["{servicePrincipal-id}"].PatchAsync(requestBody);
// Code snippets are only available for the latest major version. Current major version is $v1.*
// Dependencies
import (
msgraphsdk ""
graphmodels ""
requestBody := graphmodels.NewServicePrincipal()
appRoleAssignmentRequired := true
// To initialize your graphClient, see
servicePrincipals, err := graphClient.ServicePrincipals().ByServicePrincipalId("servicePrincipal-id").Patch(context.Background(), requestBody, nil)
// Code snippets are only available for the latest version. Current version is 6.x
GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);
ServicePrincipal servicePrincipal = new ServicePrincipal();
ServicePrincipal result = graphClient.servicePrincipals().byServicePrincipalId("{servicePrincipal-id}").patch(servicePrincipal);
use Microsoft\Graph\GraphServiceClient;
use Microsoft\Graph\Generated\Models\ServicePrincipal;
$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);
$requestBody = new ServicePrincipal();
$result = $graphServiceClient->servicePrincipals()->byServicePrincipalId('servicePrincipal-id')->patch($requestBody)->wait();
# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
from msgraph.generated.models.service_principal import ServicePrincipal
# To initialize your graph_client, see
request_body = ServicePrincipal(
app_role_assignment_required = True,
result = await graph_client.service_principals.by_service_principal_id('servicePrincipal-id').patch(request_body)
Aunque puede asignar permisos a una aplicación a través de la Centro de administración Microsoft Entra, también puede asignar permisos a través de Microsoft Graph actualizando la propiedad requiredResourceAccess del objeto app. Debe pasar los permisos existentes y nuevos. Pasar solo permisos nuevos sobrescribe y quita los permisos existentes a los que aún no se ha dado su consentimiento.
La asignación de permisos no los concede automáticamente a la aplicación. Todavía debe conceder el consentimiento del administrador mediante el Centro de administración Microsoft Entra. Para conceder permisos sin consentimiento interactivo, consulte Concesión o revocación de permisos de API mediante programación.
Permiso delegado con privilegios mínimos: Application.ReadWrite.All.
// Code snippets are only available for the latest version. Current version is 5.x
// Dependencies
using Microsoft.Graph.Models;
var requestBody = new Application
RequiredResourceAccess = new List<RequiredResourceAccess>
new RequiredResourceAccess
ResourceAppId = "00000002-0000-0000-c000-000000000000",
ResourceAccess = new List<ResourceAccess>
new ResourceAccess
Id = Guid.Parse("311a71cc-e848-46a1-bdf8-97ff7156d8e6"),
Type = "Scope",
new ResourceAccess
Id = Guid.Parse("3afa6a7d-9b1a-42eb-948e-1650a849e176"),
Type = "Role",
// To initialize your graphClient, see
var result = await graphClient.Applications["{application-id}"].PatchAsync(requestBody);
// Code snippets are only available for the latest version. Current version is 6.x
GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);
Application application = new Application();
LinkedList<RequiredResourceAccess> requiredResourceAccess = new LinkedList<RequiredResourceAccess>();
RequiredResourceAccess requiredResourceAccess1 = new RequiredResourceAccess();
LinkedList<ResourceAccess> resourceAccess = new LinkedList<ResourceAccess>();
ResourceAccess resourceAccess1 = new ResourceAccess();
ResourceAccess resourceAccess2 = new ResourceAccess();
Application result = graphClient.applications().byApplicationId("{application-id}").patch(application);
# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
from msgraph.generated.models.application import Application
from msgraph.generated.models.required_resource_access import RequiredResourceAccess
from msgraph.generated.models.resource_access import ResourceAccess
# To initialize your graph_client, see
request_body = Application(
required_resource_access = [
resource_app_id = "00000002-0000-0000-c000-000000000000",
resource_access = [
id = UUID("311a71cc-e848-46a1-bdf8-97ff7156d8e6"),
type = "Scope",
id = UUID("3afa6a7d-9b1a-42eb-948e-1650a849e176"),
type = "Role",
result = await graph_client.applications.by_application_id('application-id').patch(request_body)
// Code snippets are only available for the latest version. Current version is 5.x
// Dependencies
using Microsoft.Graph.Models;
var requestBody = new Application
AppRoles = new List<AppRole>
new AppRole
AllowedMemberTypes = new List<string>
Description = "Survey.Read",
DisplayName = "Survey.Read",
Id = Guid.Parse("7a9ddfc4-cc8a-48ea-8275-8ecbffffd5a0"),
IsEnabled = false,
Origin = "Application",
Value = "Survey.Read",
// To initialize your graphClient, see
var result = await graphClient.Applications["{application-id}"].PatchAsync(requestBody);
// Code snippets are only available for the latest version. Current version is 6.x
GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);
Application application = new Application();
LinkedList<AppRole> appRoles = new LinkedList<AppRole>();
AppRole appRole = new AppRole();
LinkedList<String> allowedMemberTypes = new LinkedList<String>();
Application result = graphClient.applications().byApplicationId("{application-id}").patch(application);
# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
from msgraph.generated.models.application import Application
from msgraph.generated.models.app_role import AppRole
# To initialize your graph_client, see
request_body = Application(
app_roles = [
allowed_member_types = [
description = "Survey.Read",
display_name = "Survey.Read",
id = UUID("7a9ddfc4-cc8a-48ea-8275-8ecbffffd5a0"),
is_enabled = False,
origin = "Application",
value = "Survey.Read",
result = await graph_client.applications.by_application_id('application-id').patch(request_body)
Identificación de entidades de servicio y entidades de servicio sin propietario con un propietario
Permiso delegado con privilegios mínimos: Application.ReadWrite.All.
Esta solicitud requiere el encabezado ConsistencyLevel establecido en eventual porque $count está en la solicitud. Para obtener más información sobre el uso de ConsistencyLevel y $count, vea Funcionalidades avanzadas de consulta en objetos de directorio.
Esta solicitud también devuelve el recuento de las aplicaciones que coinciden con la condición de filtro.
GET$filter=owners/$count eq 0 or owners/$count eq 1&$count=true
ConsistencyLevel: eventual
// Code snippets are only available for the latest version. Current version is 5.x
// To initialize your graphClient, see
var result = await graphClient.ServicePrincipals.GetAsync((requestConfiguration) =>
requestConfiguration.QueryParameters.Filter = "owners/$count eq 0 or owners/$count eq 1";
requestConfiguration.QueryParameters.Count = true;
requestConfiguration.Headers.Add("ConsistencyLevel", "eventual");
// Code snippets are only available for the latest version. Current version is 6.x
GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);
ServicePrincipalCollectionResponse result = graphClient.servicePrincipals().get(requestConfiguration -> {
requestConfiguration.queryParameters.filter = "owners/$count eq 0 or owners/$count eq 1";
requestConfiguration.queryParameters.count = true;
requestConfiguration.headers.add("ConsistencyLevel", "eventual");
# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
from msgraph.generated.service_principals.service_principals_request_builder import ServicePrincipalsRequestBuilder
from kiota_abstractions.base_request_configuration import RequestConfiguration
# To initialize your graph_client, see
query_params = ServicePrincipalsRequestBuilder.ServicePrincipalsRequestBuilderGetQueryParameters(
filter = "owners/$count eq 0 or owners/$count eq 1",
count = True,
request_configuration = RequestConfiguration(
query_parameters = query_params,
request_configuration.headers.add("ConsistencyLevel", "eventual")
result = await graph_client.service_principals.get(request_configuration = request_configuration)
Content-Type: application/json
"": ""
// Code snippets are only available for the latest version. Current version is 5.x
// Dependencies
using Microsoft.Graph.Models;
var requestBody = new ReferenceCreate
OdataId = "",
// To initialize your graphClient, see
await graphClient.Applications["{application-id}"].Owners.Ref.PostAsync(requestBody);
// Code snippets are only available for the latest major version. Current major version is $v1.*
// Dependencies
import (
msgraphsdk ""
graphmodels ""
requestBody := graphmodels.NewReferenceCreate()
odataId := ""
// To initialize your graphClient, see
graphClient.Applications().ByApplicationId("application-id").Owners().Ref().Post(context.Background(), requestBody, nil)
// Code snippets are only available for the latest version. Current version is 6.x
GraphServiceClient graphClient = new GraphServiceClient(requestAdapter); referenceCreate = new;
use Microsoft\Graph\GraphServiceClient;
use Microsoft\Graph\Generated\Models\ReferenceCreate;
$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);
$requestBody = new ReferenceCreate();
# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
from msgraph.generated.models.reference_create import ReferenceCreate
# To initialize your graph_client, see
request_body = ReferenceCreate(
odata_id = "",
await graph_client.applications.by_application_id('application-id')
Asignación de un propietario a una entidad de servicio
Permiso delegado con privilegios mínimos: Application.ReadWrite.All.
La siguiente solicitud hace referencia a la entidad de servicio mediante su appId. También puede hacer referencia a él mediante el identificador de objeto en el patrón ../servicePrincipals/{bject ID}/owners/$ref.
8afc02cb-4d62-4dba-b536-9f6d73e9be26 es el identificador de objeto de un usuario o entidad de servicio.
Content-Type: application/json
"": ""
Bloquear las propiedades confidenciales de las entidades de servicio
La característica de bloqueo de instancia de aplicación permite proteger las propiedades confidenciales de las aplicaciones multiinquilino contra alteraciones no autorizadas. Se pueden bloquear las siguientes propiedades del objeto de entidad de servicio:
keyCredentials donde el tipo de uso es Sign o Verify.
passwordCredentials donde el tipo de uso es Sign o Verify.
tokenEncryptionKeyId (propiedad).
La característica de bloqueo de instancia de aplicación se administra mediante la propiedad servicePrincipalLockConfiguration del objeto de aplicación de la aplicación multiinquilino.
Para bloquear todas las propiedades confidenciales de una entidad de servicio
Cuando isEnabled y allProperties se establecen en true, incluso si otras propiedades del objeto servicePrincipalLockConfiguration son null, todas las propiedades confidenciales de la entidad de servicio están bloqueadas.
// Code snippets are only available for the latest version. Current version is 5.x
// Dependencies
using Microsoft.Graph.Beta.Models;
var requestBody = new Application
ServicePrincipalLockConfiguration = new ServicePrincipalLockConfiguration
IsEnabled = true,
AllProperties = true,
// To initialize your graphClient, see
var result = await graphClient.Applications["{application-id}"].PatchAsync(requestBody);
// Code snippets are only available for the latest major version. Current major version is $v0.*
// Dependencies
import (
msgraphsdk ""
graphmodels ""
requestBody := graphmodels.NewApplication()
servicePrincipalLockConfiguration := graphmodels.NewServicePrincipalLockConfiguration()
isEnabled := true
allProperties := true
// To initialize your graphClient, see
applications, err := graphClient.Applications().ByApplicationId("application-id").Patch(context.Background(), requestBody, nil)
// Code snippets are only available for the latest version. Current version is 6.x
GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);
Application application = new Application();
ServicePrincipalLockConfiguration servicePrincipalLockConfiguration = new ServicePrincipalLockConfiguration();
Application result = graphClient.applications().byApplicationId("{application-id}").patch(application);
use Microsoft\Graph\Beta\GraphServiceClient;
use Microsoft\Graph\Beta\Generated\Models\Application;
use Microsoft\Graph\Beta\Generated\Models\ServicePrincipalLockConfiguration;
$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);
$requestBody = new Application();
$servicePrincipalLockConfiguration = new ServicePrincipalLockConfiguration();
$result = $graphServiceClient->applications()->byApplicationId('application-id')->patch($requestBody)->wait();
# Code snippets are only available for the latest version. Current version is 1.x
from msgraph_beta import GraphServiceClient
from msgraph_beta.generated.models.application import Application
from msgraph_beta.generated.models.service_principal_lock_configuration import ServicePrincipalLockConfiguration
# To initialize your graph_client, see
request_body = Application(
service_principal_lock_configuration = ServicePrincipalLockConfiguration(
is_enabled = True,
all_properties = True,
result = await graph_client.applications.by_application_id('application-id').patch(request_body)
Para bloquear propiedades confidenciales específicas de una entidad de servicio
En el ejemplo siguiente se bloquean las propiedades keyCredentials y passwordCredentials de la entidad de servicio y se habilita la característica de bloqueo de instancia de aplicación.
// Code snippets are only available for the latest version. Current version is 5.x
// Dependencies
using Microsoft.Graph.Beta.Models;
var requestBody = new Application
ServicePrincipalLockConfiguration = new ServicePrincipalLockConfiguration
IsEnabled = true,
CredentialsWithUsageSign = true,
CredentialsWithUsageVerify = true,
// To initialize your graphClient, see
var result = await graphClient.Applications["{application-id}"].PatchAsync(requestBody);
// Code snippets are only available for the latest major version. Current major version is $v0.*
// Dependencies
import (
msgraphsdk ""
graphmodels ""
requestBody := graphmodels.NewApplication()
servicePrincipalLockConfiguration := graphmodels.NewServicePrincipalLockConfiguration()
isEnabled := true
credentialsWithUsageSign := true
credentialsWithUsageVerify := true
// To initialize your graphClient, see
applications, err := graphClient.Applications().ByApplicationId("application-id").Patch(context.Background(), requestBody, nil)
// Code snippets are only available for the latest version. Current version is 6.x
GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);
Application application = new Application();
ServicePrincipalLockConfiguration servicePrincipalLockConfiguration = new ServicePrincipalLockConfiguration();
Application result = graphClient.applications().byApplicationId("{application-id}").patch(application);
use Microsoft\Graph\Beta\GraphServiceClient;
use Microsoft\Graph\Beta\Generated\Models\Application;
use Microsoft\Graph\Beta\Generated\Models\ServicePrincipalLockConfiguration;
$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);
$requestBody = new Application();
$servicePrincipalLockConfiguration = new ServicePrincipalLockConfiguration();
$result = $graphServiceClient->applications()->byApplicationId('application-id')->patch($requestBody)->wait();
# Code snippets are only available for the latest version. Current version is 1.x
from msgraph_beta import GraphServiceClient
from msgraph_beta.generated.models.application import Application
from msgraph_beta.generated.models.service_principal_lock_configuration import ServicePrincipalLockConfiguration
# To initialize your graph_client, see
request_body = Application(
service_principal_lock_configuration = ServicePrincipalLockConfiguration(
is_enabled = True,
credentials_with_usage_sign = True,
credentials_with_usage_verify = True,
result = await graph_client.applications.by_application_id('application-id').patch(request_body)
Configuración de entidades de certificación de confianza para aplicaciones
Puede restringir el uso de credenciales de certificado para las aplicaciones del inquilino a solo los certificados emitidos por entidades de certificación de confianza. Esta directiva se aplica cuando se agrega un certificado a una aplicación y no afecta a los certificados existentes a menos que se giren. Cuando una aplicación intenta rotar sus credenciales de certificado, pasa por la evaluación de directivas para asegurarse de que las credenciales que se agregan cumplen con la restricción de entidad de certificación de confianza.
Paso 1: Crear una cadena de certificados de confianza
Permiso delegado con privilegios mínimos: AppCertTrustConfiguration.Read.All rol de Microsoft Entra con privilegios mínimos:Application Administrator
"displayName": "Trusted Certificate Chain of Trust for Contoso",
"description": "The Trusted Certificate Chain of Trust containing a certificate chain used by app policy, to only allow application certificates from selected issuer.",
"trustedCertificateAuthorities": [
"isRootAuthority": true,
"certificate": "MIIFVjCCAz6gAwIBAgIQJdrL...UyNDIyNTcwM1owPDE …="
"isRootAuthority": false,
"certificate": QAAAAAAWjABAQsFADA8M...UyNDIyNTcwM1o …="
La solicitud devuelve un objeto de respuesta 200 OK. La respuesta incluye el identificador de la cadena de certificados del objeto de confianza. Suponga que el identificador es eec5ba11-2fc0-4113-83a2-ed986ed13743.
Paso 2: Asignación de la cadena de certificados de confianza a una directiva de administración de aplicaciones
En el ejemplo siguiente se configura una directiva para asegurarse de que solo se pueden agregar a las aplicaciones del inquilino los certificados emitidos por la entidad de certificación intermedia definida en el paso anterior. El objeto keyCredentials applicationRestrictions> define un restrictionType con el valor trustedCertificateAuthority, que hace referencia al identificador que se creó. Dado que esta directiva se aplica a la directiva de administración de aplicaciones de nivel de inquilino predeterminada, se aplica a todas las aplicaciones creadas en el inquilino y rechaza los intentos de agregar certificados no conformes como parte de las credenciales de certificado de una aplicación.
Esta directiva garantiza que solo se puedan agregar a las aplicaciones certificados de la entidad de certificación intermedia especificada. El objeto keyCredentials applicationRestrictions> establece un restrictionTypetrustedCertificateAuthorityen , haciendo referencia al identificador creado. Esta directiva se aplica a todas las aplicaciones del inquilino, rechazando los certificados no conformes.
Permiso delegado con privilegios mínimos: Policy.Read.ApplicationConfiguration rol de Microsoft Entra con privilegios mínimos:Security Administrator
// Code snippets are only available for the latest version. Current version is 5.x
// Dependencies
using Microsoft.Graph.Models;
var requestBody = new TenantAppManagementPolicy
Id = "d015220e-9789-4e8e-bbcc-270fe419229d",
Description = "Lorem ipsum",
DisplayName = "Credential management policy",
IsEnabled = true,
ApplicationRestrictions = new AppManagementApplicationConfiguration
PasswordCredentials = new List<PasswordCredentialConfiguration>
new PasswordCredentialConfiguration
RestrictionType = AppCredentialRestrictionType.PasswordLifetime,
MaxLifetime = TimeSpan.Parse("P14D"),
RestrictForAppsCreatedAfterDateTime = DateTimeOffset.Parse("2020-01-01T07:00:00Z"),
KeyCredentials = new List<KeyCredentialConfiguration>
new KeyCredentialConfiguration
RestrictionType = AppKeyCredentialRestrictionType.AsymmetricKeyLifetime,
RestrictForAppsCreatedAfterDateTime = DateTimeOffset.Parse("2020-01-01T10:37:00Z"),
MaxLifetime = TimeSpan.Parse("P90D"),
new KeyCredentialConfiguration
RestrictionType = AppKeyCredentialRestrictionType.AsymmetricKeyLifetime,
RestrictForAppsCreatedAfterDateTime = DateTimeOffset.Parse("2019-10-19T10:37:00Z"),
AdditionalData = new Dictionary<string, object>
"certificateBasedApplicationConfigurationIds" , new List<string>
// To initialize your graphClient, see
var result = await graphClient.Policies.DefaultAppManagementPolicy.PatchAsync(requestBody);