Autorisations d’inscription d’application pour les rôles personnalisés dans Microsoft Entra ID

Cet article décrit les autorisations d’inscription d’application actuellement disponibles pour les définitions de rôles personnalisés dans Microsoft Entra ID. Ces autorisations permettent aux administrateurs de gérer les inscriptions d’applications avec des niveaux d’accès spécifiques, ce qui garantit une gestion sécurisée et efficace des applications au sein de l’organisation.

Conditions de licence :

L'utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.

Autorisations pour la gestion des applications à locataire unique

Quand vous choisissez les autorisations pour votre rôle personnalisé, vous pouvez accorder un accès pour gérer seulement les applications monolocataires. Les applications monolocataires sont disponibles seulement pour les utilisateurs de l’organisation Microsoft Entra où l’application est inscrite.

Les applications monolocataires sont définies comme ayant des types de comptes pris en charge définis sur « Comptes dans ce répertoire d’organisation uniquement ». Dans l’API Graph, les applications monolocataires ont la propriété signInAudience définie sur « AzureADMyOrg ».

Pour accorder un accès permettant de gérer seulement les applications monolocataires, utilisez les autorisations indiquées comme suit avec le sous-type applications.myOrganization. Par exemple, microsoft.directory/applications.myOrganization/basic/update.

Consultez la Vue d’ensemble des rôles personnalisés pour obtenir une explication des termes « sous-type », « autorisation » et « jeu de propriétés ». Les informations suivantes sont spécifiques aux inscriptions d’applications.

Créer et supprimer

Deux autorisations sont disponibles pour accorder la possibilité de créer des inscriptions d’applications, chacune avec un comportement différent :

microsoft.directory/applications/createAsOwner

L’attribution de cette autorisation fait que le créateur est ajouté comme premier propriétaire de l’inscription d’application créée. L’inscription d’application créée compte pour le quota du créateur, qui est de 250 objets créés.

microsoft.directory/applications/create

L’octroi de cette autorisation empêche l’ajout du créateur comme premier propriétaire de l’inscription de l’application et exclut l’inscription d’application du quota de 250 objets du créateur. Utilisez cette autorisation avec précaution, car rien n’empêche le destinataire de créer des inscriptions d’applications tant que le quota au niveau de l’annuaire n’a pas été atteint.

Si les deux autorisations sont attribuées, l’autorisation /create est prioritaire. Bien que l’autorisation /createAsOwner n’ajoute pas automatiquement le créateur comme premier propriétaire, les propriétaires peuvent être spécifiés lors de la création de l’inscription d’application lors de l’utilisation d’API Graph ou de cmdlets PowerShell.

Les autorisations de création autorisent l’accès à la commande Nouvelle inscription.

Deux autorisations sont disponibles pour vous permettre de supprimer les inscriptions d’applications :

microsoft.directory/applications/delete

Octroie la possibilité de supprimer des inscriptions d’applications indépendamment du sous-type, y compris des applications monolocataires et multilocataires.

microsoft.directory/applications.myOrganization/delete

Donne la possibilité de supprimer des inscriptions d’applications limitées à celles qui sont accessibles uniquement aux comptes de votre organisation ou à des applications monolocataires (sous-type myOrganization).

Notes

Lors de l’affectation d’un rôle qui contient des autorisations de création, l’attribution de rôle doit être effectuée au niveau de l’étendue du répertoire. Une autorisation de création attribuée à une étendue de ressources n’accorde pas la possibilité de créer des inscriptions d’applications.

Lire

Tous les utilisateurs membres de l’organisation peuvent lire les informations d’inscription de l’application par défaut. Toutefois, cela n’est pas possible pour les utilisateurs invités et les principaux du service d’application. Si vous envisagez d’affecter un rôle à un utilisateur ou une application invité, vous devez inclure les autorisations de lecture appropriées.

microsoft.directory/applications/allProperties/read

Accorde la possibilité de lire toutes les propriétés des applications monolocataires et multilocataires, en dehors des propriétés qui ne doivent être lues en aucun cas, comme des informations d’identification.

microsoft.directory/applications.myOrganization/allProperties/read

Octroie les mêmes autorisations que microsoft.directory/applications/allProperties/read, mais uniquement pour les applications monolocataires.

microsoft.directory/applications/owners/read

Accorde la possibilité de lire la propriété définissant les propriétaires sur des applications monolocataires et multilocataires. Octroie l’accès à tous les champs de la page propriétaires de l’inscription de l’application :

microsoft.directory/applications/standard/read

Accorde l’accès en lecture des propriétés d’inscription d’application standard. Y sont comprises les propriétés des pages d’inscription d’application.

microsoft.directory/applications.myOrganization/standard/read

Octroie les mêmes autorisations que microsoft.directory/applications/standard/read, mais uniquement pour les applications monolocataire.

Update

Les autorisations « Mettre à jour » dans Microsoft Entra ID permettent aux administrateurs de modifier différentes propriétés des inscriptions d’applications. Ces autorisations sont essentielles pour la maintenance et la gestion des applications monolocataires et multilocataires. En fonction de l’autorisation spécifique accordée, les administrateurs peuvent mettre à jour des propriétés telles que les types de comptes pris en charge, les paramètres d’authentification, les détails de la personnalisation, etc. Voici une liste détaillée des autorisations de mise à jour disponibles et de leurs capacités spécifiques.

microsoft.directory/applications/allProperties/update

Accorde la possibilité de mettre à jour toutes les propriétés des applications monolocataires et multilocataires.

microsoft.directory/applications.myOrganization/allProperties/update

Octroie les mêmes autorisations que microsoft.directory/applications/allProperties/update, mais uniquement pour les applications monolocataire.

microsoft.directory/applications/audience/update

Accorde la possibilité de mettre à jour la propriété définissant les types de comptes pris en charge (signInAudience) dans les applications monolocataires et multilocataires.

microsoft.directory/applications.myOrganization/audience/update

Octroie les mêmes autorisations que microsoft.directory/applications/audience/update, mais uniquement pour les applications monolocataire.

microsoft.directory/applications/authentication/update

Accorde la possibilité de mettre à jour les propriétés définissant l’URL de réponse, l’URL de déconnexion, le flux implicite et le domaine du serveur de publication sur les applications monolocataires et multilocataires. Octroie l’accès à tous les champs de la page d’authentification de l’inscription de l’application, à l’exception des types de comptes pris en charge :

microsoft.directory/applications.myOrganization/authentication/update

Octroie les mêmes autorisations que microsoft.directory/applications/authentication/update, mais uniquement pour les applications monolocataire.

microsoft.directory/applications/basic/update

Accorde la possibilité de mettre à jour les propriétés définissant le nom, le logo, l’URL de la page d’accueil, l’URL des conditions d’utilisation du service et l’URL de la déclaration de confidentialité sur les applications monolocataires et multilocataires. Octroie l’accès à tous les champs de la page de personnalisation de l’inscription d’application :

microsoft.directory/applications.myOrganization/basic/update

Octroie les mêmes autorisations que microsoft.directory/applications/basic/update, mais uniquement pour les applications monolocataire.

microsoft.directory/applications/credentials/update

Accorde la possibilité de mettre à jour les propriétés définissant les certificats et les clés secrètes client sur les applications monolocataires et multilocataires. Octroie l’accès à tous les champs de la page certificats et secrets d’inscription d’application :

microsoft.directory/applications.myOrganization/credentials/update

Octroie les mêmes autorisations que microsoft.directory/applications/credentials/update, mais uniquement pour les applications à locataire unique.

microsoft.directory/applications/owners/update

Accorde la possibilité de mettre à jour la propriété définissant le propriétaire sur les applications monolocataires et multilocataires. Octroie l’accès à tous les champs de la page propriétaires de l’inscription de l’application :

microsoft.directory/applications.myOrganization/owners/update

Octroie les mêmes autorisations que microsoft.directory/applications/owners/update, mais uniquement pour les applications monolocataire.

microsoft.directory/applications/permissions/update

Cette autorisation permet de mettre à jour différentes propriétés sur les applications monolocataires et multilocataires, notamment les propriétés définissant les autorisations déléguées, les autorisations de l’application, les applications clientes autorisées, les autorisations requises et le consentement. Elle n’accorde pas la possibilité d’effectuer un consentement. Octroie l’accès à tous les champs des autorisations de l’API d’inscription d’application et expose une page API :

microsoft.directory/applications.myOrganization/permissions/update

Octroie les mêmes autorisations que microsoft.directory/applications/permissions/update, mais uniquement pour les applications monolocataire.

Étapes suivantes

• Créer et attribuer un rôle personnalisé dans Microsoft Entra ID
• Répertorier les attributions de rôles