Type de ressource application
Espace de noms: microsoft.graph
Importante
Les API sous la version /beta
dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .
Représente une application. Toute application qui externalise l’authentification à Microsoft Entra ID doit être inscrite dans le Plateforme d'identités Microsoft. L’inscription d’application implique d’informer Microsoft Entra ID sur votre application, notamment l’URL où elle se trouve, l’URL pour envoyer des réponses après l’authentification, l’URI pour identifier votre application, etc.
Hérite de directoryObject.
Cette ressource est un type ouvert qui permet de transmettre d’autres propriétés.
Cette ressource prend en charge les fonctions suivantes :
- Ajout de vos propres données aux propriétés personnalisées à l’aide des extensions.
- Utilisation de la requête delta pour effectuer le suivi des suppressions, des mises à jour et des ajouts incrémentiels à l’aide de la fonction delta.
- Syntaxe de clé alternative. La
appId
propriété est une autre clé prise en charge. Pour plus d’informations, consultez Obtenir une application.
Méthodes
Méthode | Type renvoyé | Description |
---|---|---|
List | collection application | Récupère la liste des applications de l’organisation. |
Create | application | Crée (inscrit) une application. |
Obtenir | application | Lit les propriétés et les relations de l’objet application. |
Mettre à jour | Aucun | Met à jour l’objet application. |
Upsert | application | Créez une application si elle n’existe pas ou mettez à jour les propriétés d’une application existante. |
Supprimer | Aucun | Supprime l’objet application. |
Obtenir delta | collection application | Obtient des modifications incrémentielles d’applications. |
Éléments supprimés | ||
List | collection directoryObject | Récupère une liste d’applications supprimées récemment. |
Obtenir | directoryObject | Récupère les propriétés d’une application récemment supprimée à partir des applications supprimées. |
Restaurer | directoryObject | Restaure une application supprimée récemment. |
Supprimer définitivement | Aucun | Supprimez définitivement une application. |
Répertorier les éléments supprimés possédés par utilisateur | collection directoryObject | Récupérez les applications supprimées dans le client au cours des 30 derniers jours et qui sont propriétés d’un utilisateur. |
Certificats et secrets | ||
Ajouter un mot de passe | passwordCredential | Ajoutez un mot de passe fort ou secret à une application. |
Supprimer le mot de passe | passwordCredential | Supprimez un mot de passe ou secret d’une application. |
Touche Ajouter | keyCredential | Ajouter une touche relative aux informations d’identification à une application. |
Supprimer la touche | Aucun | Supprimer une touche relative aux informations d’identification dans une application. |
Propriétaires | ||
List | collection directoryObject | Obtenir les propriétaires d’une application. |
Add | directoryObject | Affecter un propriétaire à une application. Les propriétaires d’applications peuvent être des utilisateurs ou des principaux de service. |
Remove | Aucun | Supprime un propriétaire d’une application. Comme meilleure pratique recommandée, les applications doivent avoir au moins deux propriétaires. |
Serveur de publication vérifié | ||
Ensemble | Aucune | Activez le serveur de publication vérifié d’une application. |
Unset | Aucune | Annulez le serveur de publication vérifié d’une application. |
Propriétés
Importante
L’utilisation spécifique de $filter
et du paramètre de requête $search
n’est prise en charge que lorsque vous utilisez l’en-tête ConsistencyLevel défini sur eventual
et $count
. Pour plus d’informations, consultez Fonctionnalités de requête avancées sur les objets d’annuaire.
Propriété | Type | Description |
---|---|---|
addIns | Collection addIn | Définit un comportement personnalisé qu’un service d’utilisation peut utiliser pour appeler une application dans des contextes spécifiques. Par exemple, les applications qui peuvent afficher des flux de fichiers peuvent définir la propriété addIns pour sa fonctionnalité « FileHandler ». Cela permet à des services tels que Office 365 appeler l’application dans le contexte d’un document sur lequel l’utilisateur travaille. |
api | apiApplication | Spécifie les paramètres d’une application qui implémente une API Web. |
appId | String | Identificateur unique de l’application affectée par Microsoft Entra ID. Ne pouvant accepter la valeur null. En lecture seule. Autre clé. Prend en charge $filter (eq ). |
applicationTemplateId | String | Identificateur unique de l’applicationTemplate. Prend en charge $filter (eq , not , ne ). En lecture seule.
null si l’application n’a pas été créée à partir d’un modèle d’application. |
appRoles | Collection de appRole | Collection de rôles définis pour l’application. Avec affectations de rôle d’application, ces rôles peuvent être affectés à des utilisateurs, des groupes ou des principaux de service associés à d’autres applications. Ne pouvant accepter la valeur null. |
authenticationBehaviors | authenticationBehaviors | Collection de comportements de changement cassants liés à l’émission de jetons configurés pour l’application. Les comportements d’authentification ne sont pas défini par défaut (null ) et doivent être explicitement activés ou désactivés. Pouvant accepter la valeur Null. Renvoyé uniquement sur $select . Pour plus d’informations sur les comportements d’authentification, consultez Gérer l’authentification des applicationsBehaviors pour éviter l’utilisation non vérifiée des revendications de messagerie pour l’identification ou l’autorisation de l’utilisateur. |
certification | certification | Spécifie l’état de certification de l’application. |
createdDateTime | DateTimeOffset | Date et heure d’inscription de l’application. Le type DateTimeOffset représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z . En lecture seule. Prend en charge $filter (eq , ne , not , ge , le , in et eq sur null valeurs) et $orderby . |
defaultRedirectUri | String | URI de redirection par défaut. S’il est spécifié et qu’il n’y a pas d’URI de redirection explicite dans la demande de connexion pour les flux SAML et OIDC, Microsoft Entra ID envoie le jeton à cet URI de redirection. Microsoft Entra ID envoie également le jeton à cet URI par défaut dans l’authentification unique lancée par le fournisseur d’identité SAML. La valeur doit correspondre à l’un des URI de redirection configurés pour l’application. |
deletedDateTime | DateTimeOffset | Date et heure de suppression de l’application. Le type DateTimeOffset représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z . En lecture seule. |
description | String | Champ de texte libre pour fournir une description de l’objet application aux utilisateurs finaux La taille maximale autorisée est de 1 024 caractères. Renvoyée par défaut. Prend en charge $filter (eq , ne , not , ge , le , startsWith , $search ). |
disabledByMicrosoftStatus | String | Spécifie si Microsoft a désactivé l’application inscrite. Les valeurs possibles sont les suivantes : null (valeur par défaut), NotDisabled et DisabledDueToViolationOfServicesAgreement (les raisons peuvent inclure des activités suspectes, abusives ou malveillantes, ou une violation du Contrat de services Microsoft). Prend en charge $filter (eq , ne , not ). |
displayName | String | Nom d’affichage de l’application. Longueur maximale : 256 caractères. Prend en charge $filter (eq , ne , not , ge , le , in , startsWith et eq sur null valeurs), $search et $orderby . |
groupMembershipClaims | String | Configure la revendication groups émise dans un utilisateur ou un jeton d’accès OAuth 2.0 attendu par l’application. Pour définir cet attribut, utilisez l’une des valeurs de chaîne suivantes : None , SecurityGroup (pour les groupes de sécurité et les rôles Microsoft Entra), All (ceci obtient tous les groupes de sécurité, groupes de distribution et Microsoft Entra rôles d’annuaire dont l’utilisateur connecté est membre). |
id | Chaîne | Identificateur unique de l’application partenaire. Cette propriété est appelée ID d’objet dans le centre d’administration Microsoft Entra. Hérité de directoryObject. Clé. Ne peut pas avoir la valeur Null. En lecture seule. Prend en charge $filter (eq , ne , not , in ). |
identifierUris | String collection | Également appelée URI ID d'application, cette valeur est définie lorsqu’une application est utilisée en tant qu’application de ressources. IdentifierUris agit comme préfixe pour les étendues que vous référencez dans le code de votre API, et il doit être globalement unique. Vous pouvez utiliser la valeur par défaut fournie, qui se trouve dans le formulaire api://<appId> ou spécifier un URI plus lisible comme https://contoso.com/api . Pour plus d’informations sur les modèles identifierUris valides et les bonnes pratiques, consultez Microsoft Entra bonnes pratiques en matière de sécurité de l’inscription des applications. Ne pouvant accepter la valeur null. Prend en charge $filter (eq , ne , ge , le , startsWith ). |
info | informationalUrl | Les informations de profil de base de l’application, telles que le marketing, le support, les conditions d’utilisation et les URL de déclaration de confidentialité. Les conditions d’utilisation et la déclaration de confidentialité sont présentées aux utilisateurs par le biais de l’expérience de consentement de l’utilisateur. Pour plus d’informations, consultez Guide pratique pour ajouter des conditions d’utilisation et déclaration de confidentialité pour les applications Microsoft Entra inscrites. Prend en charge $filter (eq , ne , not , ge , le et eq sur null valeurs). |
isDeviceOnlyAuthSupported | Booléen | Indique si cette application prend en charge l’authentification des appareils sans utilisateur. La valeur par défaut est false . |
isFallbackPublicClient | Boolean | Désigne le type d’application de base comme étant client public (une application installée exécutée sur un appareil mobile, par exemple). La valeur par défaut est false , ce qui signifie que le type d’application de secours est un client confidentiel tel qu’une application web. Il existe certains scénarios où Microsoft Entra ID ne peuvent pas déterminer le type d’application cliente. Par exemple, le flux ROPC où l’application est configurée sans spécifier d’URI de redirection. Dans ce cas, Microsoft Entra ID interprète le type d’application en fonction de la valeur de cette propriété. |
keyCredentials | Collection keyCredential | Collection d’informations d’identification clés associées à l’application. Ne pouvant accepter la valeur null. Prend en charge $filter (eq , not , ge , le ). |
logo | Stream | Logo principal de l’application. Ne pouvant accepter la valeur null. |
nativeAuthenticationApisEnabled | nativeAuthenticationApisEnabled | Spécifie si les API d’authentification native sont activées pour l’application. Les valeurs possibles sont : none et all . La valeur par défaut est none . Pour plus d’informations, consultez Authentification native. |
notes | String | Remarques pertinentes pour la gestion de l’application. |
oauth2RequiredPostResponse | Boolean | Spécifie si, dans le cadre des demandes de jeton OAuth 2.0, Microsoft Entra ID autorise les requêtes POST, par opposition aux requêtes GET. La valeur par défaut est false , ce qui indique que seules les requêtes GET sont autorisées. |
onPremisesPublishing | onPremisesPublishing | Représente l’ensemble de propriétés requises pour configurer le proxy d’application pour cette application. La configuration de ces propriétés vous permet de publier votre application locale pour l’accès à distance sécurisé. |
optionalClaims | optionalClaims | Les développeurs d’applications peuvent configurer des revendications facultatives dans leurs applications Microsoft Entra pour spécifier les revendications envoyées à leur application par le service de jeton de sécurité Microsoft. Pour plus d’informations, consultez Comment : fournir des revendications facultatives à votre application. |
parentalControlSettings | parentalControlSettings | Spécifie les paramètres de contrôle parental d’une application. |
passwordCredentials | Collection passwordCredential | Collection d’informations d’identification associées à l’application. Ne peut accepter une valeur null. |
publicClient | publicClientApplication | Spécifie les paramètres des clients installés, tels que les appareils mobiles ou de bureau. |
publisherDomain | String | Domaine de l’éditeur vérifié de l’application. En lecture seule. Prend en charge $filter (eq , ne , ge , le , startsWith ). |
requestSignatureVerification | requestSignatureVerification | Spécifie si cette application nécessite Microsoft Entra ID pour vérifier les demandes d’authentification signées. |
requiredResourceAccess | collection requiredResourceAccess | Spécifie les ressources auxquelles l’application doit accéder. Cette propriété spécifie également l’ensemble des autorisations déléguées et des rôles d’application dont elle a besoin pour chacune de ces ressources. Cette configuration de l'accès aux ressources requises détermine l'expérience du consentement. Vous ne pouvez pas configurer plus de 50 services de ressources (API). À compter de la mi-octobre 2021, le nombre total d’autorisations requises ne doit pas dépasser 400. Pour plus d’informations, consultez Limites des autorisations demandées par application. Ne pouvant accepter la valeur null. Prend en charge $filter (eq , not , ge , le ). |
samlMetadataUrl | Chaîne | L’URL dans laquelle le service affiche les métadonnées SAML pour la fédération. Cette propriété est valide uniquement pour les applications monolocataires. Pouvant accepter la valeur Null. |
serviceManagementReference | Chaîne | Fait référence aux informations de contact d’application ou de service à partir d’une base de données Service ou Gestion des actifs. Pouvant accepter la valeur Null. |
signInAudience | String | Spécifie les comptes Microsoft qui sont pris en charge pour l’application actuelle. Les valeurs possibles sont : AzureADMyOrg (par défaut), AzureADMultipleOrgs , AzureADandPersonalMicrosoftAccount et PersonalMicrosoftAccount . Voir plus dans le tableau. La valeur de cet objet limite également le nombre d’autorisations qu’une application peut demander. Pour plus d’informations, consultez Limites des autorisations demandées par application. La valeur de cette propriété a des implications sur d’autres propriétés d’objet d’application. Par conséquent, si vous modifiez cette propriété, vous devrez peut-être d’abord modifier d’autres propriétés. Pour plus d’informations, consultez Différences de validation pour signInAudience. Prend en charge $filter (eq , ne , not ). |
servicePrincipalLockConfiguration | servicePrincipalLockConfiguration | Spécifie si les propriétés sensibles d’une application multilocataire doivent être verrouillées pour modification après l’approvisionnement de l’application dans un locataire. Pouvant accepter la valeur Null.
null par défaut. |
SPA | spaApplication | Spécifie les paramètres d’une application à page unique, y compris les URL de connexion et les URLs de redirection des codes d’autorisation et des jetons d’accès. |
étiquettes | String collection | Chaînes personnalisées qui peuvent servir à catégoriser et à identifier l’application. Ne pouvant accepter la valeur null. Les chaînes ajoutées ici apparaissent également dans la propriété tags de tous les principaux de service associés. Prend en charge $filter (eq , not , ge le , , startsWith ) et $search . |
tokenEncryptionKeyId | Guid | Spécifie la keyId d’une clé publique de la collection keyCredentials. Une fois configuré, Microsoft Entra ID chiffre tous les jetons qu’il émet à l’aide de la clé vers laquelle pointe cette propriété. Le code d'application qui reçoit le jeton chiffré doit utiliser la clé privée correspondante pour déchiffrer le jeton avant de pouvoir l'utiliser pour l'utilisateur connecté. |
uniqueName | String | Identificateur unique qui peut être affecté à une application et utilisé comme clé de remplacement. Non modifiable. En lecture seule. |
verifiedPublisher | verifiedPublisher | Spécifie l’éditeur vérifié de l’application. Pour plus d’informations sur la façon dont la vérification de l’éditeur contribue à la prise en charge de la sécurité, de la fiabilité et de la conformité des applications, voir Publisher vérification. |
web | WebApplication | Spécifie les paramètres d’une application web. |
windows | windowsApplication | Spécifie les paramètres des applications exécutant Microsoft Windows et publiées dans le magasin de jeux Microsoft Store ou Xbox. |
Valeurs signInAudience
Valeur | Description |
---|---|
AzureADMyOrg | Utilisateurs disposant d’un compte professionnel ou scolaire Microsoft dans le locataire Microsoft Entra de mon organization (monolocataire). Il s’agit de la valeur par défaut de la propriété signInAudience. |
AzureADMultipleOrgs | Utilisateurs disposant d’un compte professionnel ou scolaire Microsoft dans le locataire Microsoft Entra d’un organization (multilocataire). |
AzureADandPersonalMicrosoftAccount | Utilisateurs disposant d’un compte Microsoft personnel ou d’un compte professionnel ou scolaire dans le locataire Microsoft Entra d’un organization. Pour l’authentification des utilisateurs à l’aide des flux d’utilisateurs Azure AD B2C, utilisez AzureADandPersonalMicrosoftAccount . Cette valeur autorise l’ensemble d’identités d’utilisateur le plus large, notamment les comptes locaux et les identités d’utilisateur de Microsoft, Facebook, Google, Twitter ou n’importe quel fournisseur OpenID Connect. |
PersonalMicrosoftAccount | Utilisateurs avec un compte Microsoft personnel uniquement. |
Limites sur les autorisations demandées par application
Microsoft Entra ID limite le nombre d’autorisations qui peuvent être demandées et consentées par une application cliente. Ces limites dépendent de la signInAudience
valeur d’une application, affichée dans le manifeste de l’application.
signInAudience | Utilisateurs autorisés | Autorisations maximales que l’application peut demander | Autorisations maximales de Graph Microsoft que l’application peut demander | Autorisations maximales qui peuvent être consenties dans une seule demande |
---|---|---|---|---|
AzureADMyOrg | Les utilisateurs de l’organisation où l’application est inscrite | 400 | 400 | Environ 155 autorisations déléguées et environ 300 autorisations d’application |
AzureADMultipleOrgs | Utilisateurs de n’importe quel Microsoft Entra organization | 400 | 400 | Environ 155 autorisations déléguées et environ 300 autorisations d’application |
PersonalMicrosoftAccount | Utilisateurs consommateurs (tels que les comptes Outlook.com ou Live.com) | 30 | 30 | 30 |
AzureADandPersonalMicrosoftAccount | Utilisateurs consommateurs et utilisateurs de n’importe quel Microsoft Entra organization | 30 | 30 | 30 |
Relations
Importante
L’utilisation spécifique du $filter
paramètre de requête est prise en charge uniquement lorsque vous utilisez l’en-tête ConsistencyLevel défini sur eventual
et $count
. Pour plus d’informations, consultez Fonctionnalités de requête avancées sur les objets d’annuaire.
Relation | Type | Description |
---|---|---|
appManagementPolicies | appManagementPolicy collection | AppManagementPolicy appliqué à cette application. |
Lync | collection call | En lecture seule. Pouvant accepter la valeur Null. |
connectorGroup | connectorGroup | ConnectorGroup que l’application utilise avec Microsoft Entra proxy d’application. Pouvant accepter la valeur Null. |
createdOnBehalfOf | directoryObject | Prend en charge $filter (/$count eq 0 , /$count ne 0 ). En lecture seule. |
extensionProperties | collection extensionProperty | En lecture seule. Pouvant accepter la valeur Null. Prend en charge $expand et $filter (/$count eq 0 , /$count ne 0 ). |
federatedIdentityCredentials | collection federatedIdentityCredential | Identités fédérées pour les applications. Prend en charge $expand et $filter (startsWith , /$count eq 0 , /$count ne 0 ). |
onlineMeetings | collection onlineMeeting | En lecture seule. Pouvant accepter la valeur Null. |
propriétaires | collection directoryObject | Objets de répertoire propriétaires de l’application. En lecture seule. Pouvant accepter la valeur Null. Prend en charge , (, , , ) et $select imbriqués dans $expand . /$count ne 1 /$count eq 1 /$count ne 0 /$count eq 0 $filter $expand |
synchronisation | synchronisation | Représente la fonctionnalité de synchronisation d’identité Microsoft Entra via le API Graph Microsoft. |
tokenLifetimePolicies | Collection de tokenLifetimePolicy | Les tokenLifetimePolicies attribuées à cette application. Prend en charge $expand . |
Représentation JSON
La représentation JSON suivante montre le type de ressource.
{
"addIns": [{"@odata.type": "microsoft.graph.addIn"}],
"api": {"@odata.type": "microsoft.graph.apiApplication"},
"appId": "String",
"applicationTemplateId": "String",
"appRoles": [{"@odata.type": "microsoft.graph.appRole"}],
"authenticationBehaviors": {"@odata.type": "microsoft.graph.authenticationBehaviors"},
"certification": {"@odata.type": "microsoft.graph.certification"},
"createdDateTime": "String (timestamp)",
"deletedDateTime": "String (timestamp)",
"disabledByMicrosoftStatus": "String",
"displayName": "String",
"groupMembershipClaims": "String",
"id": "String (identifier)",
"identifierUris": ["String"],
"info": {"@odata.type": "microsoft.graph.informationalUrl"},
"isDeviceOnlyAuthSupported": false,
"isFallbackPublicClient": false,
"keyCredentials": [{"@odata.type": "microsoft.graph.keyCredential"}],
"logo": "Stream",
"nativeAuthenticationApisEnabled": "String",
"notes": "String",
"oauth2RequiredPostResponse": false,
"optionalClaims": {"@odata.type": "microsoft.graph.optionalClaims"},
"parentalControlSettings": {"@odata.type": "microsoft.graph.parentalControlSettings"},
"passwordCredentials": [{"@odata.type": "microsoft.graph.passwordCredential"}],
"publicClient": {"@odata.type": "microsoft.graph.publicClientApplication"},
"publisherDomain": "String",
"requestSignatureVerification": {"@odata.type": "microsoft.graph.requestSignatureVerification"},
"requiredResourceAccess": [{"@odata.type": "microsoft.graph.requiredResourceAccess"}],
"servicePrincipalLockConfiguration": {"@odata.type": "microsoft.graph.servicePrincipalLockConfiguration"},
"serviceManagementReference": "String",
"signInAudience": "String",
"spa": {"@odata.type": "microsoft.graph.spaApplication"},
"tags": ["String"],
"tokenEncryptionKeyId": "String",
"uniqueName": "String",
"verifiedPublisher": {"@odata.type": "microsoft.graph.verifiedPublisher"},
"web": {"@odata.type": "microsoft.graph.webApplication"},
"windows": {"@odata.type": "microsoft.graph.windowsApplication"}
}