Microsoft.Graph servicePrincipals
Important
Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .
autorisations
Choisissez l’autorisation ou les autorisations marquées comme les moins privilégiées pour cette API. Utilisez une autorisation ou des autorisations privilégiées supérieures uniquement si votre application l’exige. Pour plus d’informations sur les autorisations déléguées et les autorisations d’application, consultez Types d’autorisations. Pour en savoir plus sur ces autorisations, consultez la référence des autorisations.
Remarque
Les autorisations pour les comptes Microsoft personnels ne peuvent pas être utilisées pour déployer des ressources Microsoft Graph déclarées dans des fichiers Bicep.
| Type d'autorisation | Autorisations avec privilèges minimum | Autorisations privilégiées supérieures |
|---|---|---|
| Déléguée (compte professionnel ou scolaire) | Application.ReadWrite.All | Directory.ReadWrite.All |
| Déléguée (compte Microsoft personnel) | Non pris en charge. | Non pris en charge. |
| Application | Application.ReadWrite.OwnedBy | Application.ReadWrite.All, Directory.ReadWrite.All |
Format des ressources
Pour créer une ressource Microsoft.Graph/servicePrincipals, ajoutez le bicep suivant à votre modèle.
resource symbolicname 'Microsoft.Graph/servicePrincipals@beta' = {
accountEnabled: bool
addIns: [
{
id: 'string'
properties: [
{
key: 'string'
value: 'string'
}
]
type: 'string'
}
]
alternativeNames: [
'string'
]
appDescription: 'string'
appDisplayName: 'string'
appId: 'string'
appRoleAssignmentRequired: bool
appRoles: [
{
allowedMemberTypes: [
'string'
]
description: 'string'
displayName: 'string'
id: 'string'
isEnabled: bool
value: 'string'
}
]
description: 'string'
disabledByMicrosoftStatus: 'string'
displayName: 'string'
homepage: 'string'
info: {
marketingUrl: 'string'
privacyStatementUrl: 'string'
supportUrl: 'string'
termsOfServiceUrl: 'string'
}
keyCredentials: [
{
customKeyIdentifier: 'string'
displayName: 'string'
endDateTime: 'string'
key: 'string'
keyId: 'string'
startDateTime: 'string'
type: 'string'
usage: 'string'
}
]
loginUrl: 'string'
logoutUrl: 'string'
notes: 'string'
notificationEmailAddresses: [
'string'
]
passwordCredentials: [
{
displayName: 'string'
endDateTime: 'string'
keyId: 'string'
startDateTime: 'string'
}
]
preferredSingleSignOnMode: 'string'
preferredTokenSigningKeyEndDateTime: 'string'
preferredTokenSigningKeyThumbprint: 'string'
publishedPermissionScopes: [
{
adminConsentDescription: 'string'
adminConsentDisplayName: 'string'
id: 'string'
isEnabled: bool
type: 'string'
userConsentDescription: 'string'
userConsentDisplayName: 'string'
value: 'string'
}
]
publisherName: 'string'
replyUrls: [
'string'
]
samlMetadataUrl: 'string'
samlSingleSignOnSettings: {
relayState: 'string'
}
servicePrincipalNames: [
'string'
]
servicePrincipalType: 'string'
tags: [
'string'
]
tokenEncryptionKeyId: 'string'
verifiedPublisher: {
addedDateTime: 'string'
displayName: 'string'
verifiedPublisherId: 'string'
}
}
Valeurs de propriétés
servicePrincipals
| Nom | Description | active |
|---|---|---|
| accountEnabled | true si le compte du principal de service est activé ; sinon, false. Si la valeur est false, aucun utilisateur ne peut se connecter à cette application, même s’il est affecté à cette application. | bool |
| addIns | Définit un comportement personnalisé qu’un service consommateur peut utiliser pour appeler une application dans des contextes spécifiques. Par exemple, les applications pouvant restituer des flux de fichiers peuvent définir la propriété addIns pour sa fonctionnalité « filehandler ». Cela permet aux services tels que Microsoft 365 d’appeler l’application dans le contexte d’un document sur lequel l’utilisateur travaille. | MicrosoftGraphAddIn[] |
| alternativeNames | Permet de récupérer des principaux de service par abonnement, d’identifier le groupe de ressources et les ID de ressources complets pour les identités managées | string[] |
| apiVersion | Version de l’API de ressource | 'beta' (ReadOnly) |
| appDescription | Description exposée par l’application associée. | string |
| appDisplayName | Nom complet exposé par l’application associée. | string |
| appId | Identificateur unique de l’application associée (sa propriété appId). Clé secondaire | chaîne (obligatoire) |
| applicationTemplateId | Identificateur unique de l’applicationTemplate. Lecture seule. Null si l’application n’a pas été créée à partir d’un modèle d’application. | string (ReadOnly) |
| appOwnerOrganizationId | Contient l’ID de locataire où l’application est inscrite. Cela s’applique uniquement aux principaux de service soutenus par les applications | string (ReadOnly) Contraintes: Longueur minimale = 36 Longueur maximale = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| appRoleAssignmentRequired | Spécifie si les utilisateurs ou d’autres principaux de service doivent recevoir une attribution de rôle d’application pour ce principal de service avant que les utilisateurs puissent se connecter ou obtenir des jetons. La valeur par défaut est false. N'accepte pas la valeur null | bool |
| appRoles | Rôles exposés par l’application, que représente ce principal de service. Pour plus d’informations, consultez la définition de propriété appRoles sur l’entité d’application. N'accepte pas la valeur NULL. | MicrosoftGraphAppRole[] |
| deletedDateTime | Date et heure de suppression de cet objet. Toujours null lorsque l’objet n’a pas été supprimé. | string (ReadOnly) |
| description | Champ de texte libre pour fournir une description interne de l’utilisateur final du principal du service. Les portails des utilisateurs finaux tels que MyApps affichent la description de l’application dans ce champ. La taille maximale autorisée est de 1 024 caractères | string |
| disabledByMicrosoftStatus | Spécifie si Microsoft a désactivé l’application inscrite. Les valeurs possibles sont : Null (valeur par défaut), NotDisabled et DisabledDueToViolationOfServicesAgreement (les raisons peuvent inclure des activités suspectes, abusives ou malveillantes ou une violation du Contrat de services Microsoft) | string |
| displayName | Nom complet du principal de service | string |
| Page d’accueil | Page d’accueil ou page de destination de l’application. | string |
| id | Identificateur unique d’une entité. Lecture seule. | string (ReadOnly) |
| info | Informations de profil de base de l’application acquise, telles que le marketing, le support, les conditions d’utilisation et les URL de déclaration de confidentialité de l’application acquise. Les conditions d’utilisation et la déclaration de confidentialité sont présentées aux utilisateurs par le biais de l’expérience de consentement de l’utilisateur. Pour plus d’informations, consultez Guide pratique pour ajouter des conditions d’utilisation et une déclaration de confidentialité pour les applications Microsoft Entra inscrites | MicrosoftGraphInformationalUrl |
| keyCredentials | Collection d’informations d’identification de clé associées au principal de service. N'accepte pas la valeur null | MicrosoftGraphKeyCredential[] |
| loginUrl | Spécifie l’URL dans laquelle le fournisseur de services redirige l’utilisateur vers l’ID Microsoft Entra pour l’authentification. Microsoft Entra ID utilise l’URL pour lancer l’application à partir de Microsoft 365 ou microsoft Entra Mes applications. Lorsqu’il est vide, l’ID Microsoft Entra effectue l’authentification initiée par le fournisseur d’identité pour les applications configurées avec l’authentification unique BASÉE sur SAML. L’utilisateur lance l’application à partir de Microsoft 365, de Microsoft Entra Mes applications ou de l’URL de l’authentification unique Microsoft Entra. | string |
| logoutUrl | Spécifie l’URL utilisée par le service d’autorisation de Microsoft pour déconnecter un utilisateur à l’aide du canal frontal OpenId Connect, du canal principal ou des protocoles de déconnexion SAML. | string |
| Remarques | Champ de texte libre pour capturer des informations sur le principal de service, généralement utilisé à des fins opérationnelles. La taille maximale autorisée est de 1 024 caractères. | string |
| notificationEmailAddresses | Spécifie la liste des adresses e-mail où Microsoft Entra ID envoie une notification lorsque le certificat actif est proche de la date d’expiration. Il s’agit uniquement des certificats utilisés pour signer le jeton SAML émis pour les applications microsoft Entra Gallery. | string[] |
| passwordCredentials | Collection d’informations d’identification de mot de passe associées au principal de service. N'accepte pas la valeur NULL. | MicrosoftGraphPasswordCredential[] |
| preferredSingleSignOnMode | Spécifie le mode d’authentification unique configuré pour cette application. L’ID Microsoft Entra utilise le mode d’authentification unique préféré pour lancer l’application à partir de Microsoft 365 ou de Microsoft Entra Mes applications. Les valeurs prises en charge sont mot de passe, saml, notSupported et oidc. | string |
| preferredTokenSigningKeyEndDateTime | Spécifie la date d’expiration de la cléCredential utilisée pour la signature de jeton, marquée par preferredTokenSigningKeyThumbprint. La mise à jour de cet attribut n’est actuellement pas prise en charge. Pour plus d’informations, consultez différences de propriété ServicePrincipal. | string |
| preferredTokenSigningKeyThumbprint | Cette propriété peut être utilisée sur les applications SAML (applications qui ont préféréSingleSignOnMode défini sur saml) pour contrôler le certificat utilisé pour signer les réponses SAML. Pour les applications qui ne sont pas SAML, n’écrivez pas ou n’utilisez pas cette propriété. | string |
| publishedPermissionScopes | Autorisations déléguées exposées par l’application. Pour plus d’informations, consultez la propriété oauth2PermissionScopes sur la propriété api de l’entité d’application. N'accepte pas la valeur NULL. Remarque : Cette propriété est nommée oauth2PermissionScopes dans la version 1.0. | MicrosoftGraphPermissionScope[] |
| publisherName | Nom du locataire Microsoft Entra qui a publié l’application. | string |
| replyUrls | Les URL auxquelles les jetons utilisateur sont envoyés pour se connecter à l’application associée, ou les URI de redirection auxquels les codes d’autorisation et les jetons d’accès OAuth 2.0 sont envoyés pour l’application associée. N'accepte pas la valeur NULL. | string[] |
| samlMetadataUrl | URL où le service expose les métadonnées SAML pour la fédération. | string |
| samlSingleSignOnSettings | Collection pour les paramètres liés à l’authentification unique saml. | MicrosoftGraphSamlSingleSignOnSettings |
| servicePrincipalNames | Contient la liste des identificateursUris, copiés à partir de l’application associée. D’autres valeurs peuvent être ajoutées aux applications hybrides. Ces valeurs peuvent être utilisées pour identifier les autorisations exposées par cette application dans l’ID Microsoft Entra. Par exemple, les applications clientes peuvent spécifier un URI de ressource basé sur les valeurs de cette propriété pour acquérir un jeton d’accès, qui est l’URI retourné dans la revendication « aud ». L’opérateur n’importe quel opérateur est requis pour les expressions de filtre sur les propriétés à valeurs multiples. N'accepte pas la valeur null | string[] |
| servicePrincipalType | Identifie si le principal de service représente une application ou une identité managée. Il s’agit de l’ID Microsoft Entra en interne. Pour un principal de service qui représente une application définie en tant qu’application. Pour un principal de service qui représente une identité managée, elle est définie en tant que ManagedIdentity. Le type SocialIdp est utilisé en interne. | string |
| signInAudience | Spécifie les comptes Microsoft pris en charge pour l’application actuelle. Lecture seule. Les valeurs prises en charge sont :AzureADMyOrg : Utilisateurs disposant d’un compte professionnel ou scolaire Microsoft dans le locataire Microsoft Entra de mon organisation (à locataire unique). AzureADMultipleOrgs : Utilisateurs disposant d’un compte professionnel ou scolaire Microsoft dans le locataire Microsoft Entra de toute organisation (multilocataire). AzureADandPersonalMicrosoftAccount : Utilisateurs disposant d’un compte Microsoft personnel ou d’un compte professionnel ou scolaire dans le locataire Microsoft Entra de toute organisation. PersonalMicrosoftAccount : Utilisateurs disposant d’un compte Microsoft personnel uniquement. | string (ReadOnly) |
| tags | Chaînes personnalisées qui peuvent être utilisées pour catégoriser et identifier le principal de service. N'accepte pas la valeur null | string[] |
| tokenEncryptionKeyId | Spécifie le keyId d’une clé publique à partir de la collection keyCredentials. Une fois configuré, Microsoft Entra ID émet des jetons pour cette application chiffrées à l’aide de la clé spécifiée par cette propriété. Le code d’application qui reçoit le jeton crypté doit utiliser la clé privée correspondante pour décrypter le jeton avant de pouvoir l’utiliser pour l’utilisateur connecté. | string Contraintes: Longueur minimale = 36 Longueur maximale = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| type | Type de ressource | 'Microsoft.Graph/servicePrincipals' (ReadOnly) |
| verifiedPublisher | Spécifie l’éditeur vérifié de l’application liée à ce principal de service. | MicrosoftGraphVerifiedPublisher |
MicrosoftGraphKeyValue
| Nom | Description | active |
|---|---|---|
| key | Contient le nom du champ auquel une valeur est associée. | string |
| valeur | Contient la valeur correspondante de la clé spécifiée. | string |
MicrosoftGraphAddIn
| Nom | Description | active |
|---|---|---|
| id | Identificateur unique de l’objet addIn. | string Contraintes: Longueur minimale = 36 Longueur maximale = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| properties | Collection de paires clé-valeur qui définissent des paramètres que le service consommateur peut utiliser ou appeler. Vous devez spécifier cette propriété lors de l’exécution d’une opération POST ou PATCH sur la collection addIns. Obligatoire. | MicrosoftGraphKeyValue[] |
| type | Nom unique de la fonctionnalité exposée par l’application. | string |
MicrosoftGraphAppRole
| Nom | Description | active |
|---|---|---|
| allowedMemberTypes | Spécifie si ce rôle d’application peut être affecté aux utilisateurs et aux groupes (en définissant sur ['Utilisateur']), sur d’autres applications (en définissant sur ['Application'], ou les deux (en définissant sur ['Utilisateur', 'Application']). Les rôles d’application prenant en charge l’affectation aux principaux de service d’autres applications sont également appelés autorisations d’application. La valeur « Application » est prise en charge uniquement pour les rôles d’application définis sur les entités d’application. | string[] |
| description | Description du rôle d’application. Cela s’affiche lorsque le rôle d’application est affecté et, si le rôle d’application fonctionne comme autorisation d’application, pendant les expériences de consentement. | string |
| displayName | Nom complet de l’autorisation qui apparaît dans l’attribution de rôle d’application et les expériences de consentement. | string |
| id | Identificateur de rôle unique dans la collection appRoles. Vous devez spécifier un nouvel identificateur GUID lorsque vous créez un rôle d’application. | string Contraintes: Longueur minimale = 36 Longueur maximale = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | Lors de la création ou de la mise à jour d’un rôle d’application, cette valeur doit être définie sur true (qui est la valeur par défaut). Pour supprimer un rôle, cette valeur doit d’abord être définie sur false. À ce stade, dans un appel ultérieur, ce rôle peut être supprimé. | bool |
| origin | Spécifie si le rôle d’application est défini sur l’objet d’application ou sur l’entité servicePrincipal. Ne doit pas être inclus dans les requêtes POST ou PATCH. Lecture seule. | string (ReadOnly) |
| valeur | Spécifie la valeur à inclure dans la revendication de rôles dans les jetons d’ID et les jetons d’accès qui authentifient un utilisateur ou un principal de service affecté. Les tâches ne doivent pas dépasser 256 caractères. Caractères autorisés # $ % & ' ( ) * + , -. / : ; = ? @ [ ] ^ + _ { } ~ et caractères dans les plages 0-9, A-Z et a-z. Tout autre caractère, y compris le caractère d’espace, n’est pas autorisé. Peut ne pas commencer par .. | string |
MicrosoftGraphInformationalUrl
| Nom | Description | active |
|---|---|---|
| logoUrl | URL CDN du logo de l’application, en lecture seule. | string (ReadOnly) |
| marketingUrl | Lien vers la page marketing de l’application. Par exemple, https://www.contoso.com/app/marketing | string |
| privacyStatementUrl | Lien vers la déclaration de confidentialité de l’application. Par exemple, https://www.contoso.com/app/privacy | string |
| supportUrl | Lien vers la page de support de l’application. Par exemple, https://www.contoso.com/app/support | string |
| termsOfServiceUrl | Lien vers l’instruction de conditions d’utilisation de l’application. Par exemple, https://www.contoso.com/app/termsofservice | string |
MicrosoftGraphKeyCredential
| Nom | Description | active |
|---|---|---|
| customKeyIdentifier | Type binaire de 40 caractères qui peut être utilisé pour identifier les informations d’identification. facultatif. Lorsqu’elle n’est pas fournie dans la charge utile, la valeur par défaut est l’empreinte numérique du certificat. | string |
| displayName | Nom convivial de la clé. facultatif. | string |
| endDateTime | Date et heure à laquelle les informations d’identification expirent. Le type DateTimeOffset représente les informations de date et d’heure au format ISO 8601 et est toujours au format UTC. Par exemple, minuit UTC le 1er janvier 2014 est 2014-01-01T00:00:00Z. | string |
| key | Valeur des informations d’identification de clé. Doit être une valeur encodée en Base64. À partir d’un certificat .cer, vous pouvez lire la clé à l’aide de la méthode Convert.ToBase64String(). Pour plus d’informations, consultez Obtenir la clé de certificat. | string |
| keyId | Identificateur unique de la clé. | string Contraintes: Longueur minimale = 36 Longueur maximale = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| startDateTime | Date et heure à laquelle les informations d’identification deviennent valides. Le type d’horodatage représente les informations de date et d’heure au format ISO 8601 et est toujours au format UTC. Par exemple, minuit UTC le 1er janvier 2014 est 2014-01-01T00:00:00Z. | string |
| type | Type d’informations d’identification de clé ; par exemple, Symmetric, AsymmetricX509Cert ou X509CertAndPassword. | string |
| utilisation | Chaîne qui décrit l’objectif pour lequel la clé peut être utilisée ; par exemple, None, Verify, PairwiseIdentifier, Délégation, Decrypt, Encrypt, HashedIdentifier, SelfSignedTls ou Sign. Si l’utilisation est Sign, le type doit être X509CertAndPassword, et les passwordCredentials pour la signature doivent être définis. | string |
MicrosoftGraphPasswordCredential
| Nom | Description | active |
|---|---|---|
| displayName | Nom convivial du mot de passe. facultatif. | string |
| endDateTime | Date et heure à laquelle le mot de passe expire représenté au format ISO 8601 et est toujours au format UTC. Par exemple, minuit UTC le 1er janvier 2014 est 2014-01-01T00:00:00Z. Optionnel. | string |
| hint | Contient les trois premiers caractères du mot de passe. Lecture seule. | string (ReadOnly) |
| keyId | Identificateur unique du mot de passe. | string Contraintes: Longueur minimale = 36 Longueur maximale = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| secretText | Lecture seule ; Contient les mots de passe forts générés par l’ID Microsoft Entra qui sont de 16 à 64 caractères. La valeur de mot de passe générée est retournée uniquement pendant la requête POST initiale pour addPassword. Il n’existe aucun moyen de récupérer ce mot de passe à l’avenir. | string (ReadOnly) |
| startDateTime | Date et heure à laquelle le mot de passe devient valide. Le type d’horodatage représente les informations de date et d’heure au format ISO 8601 et est toujours au format UTC. Par exemple, minuit UTC le 1er janvier 2014 est 2014-01-01T00:00:00Z. Optionnel. | string |
MicrosoftGraphPermissionScope
| Nom | Description | active |
|---|---|---|
| adminConsentDescription | Description des autorisations déléguées, destinées à être lues par un administrateur accordant l’autorisation au nom de tous les utilisateurs. Ce texte apparaît dans les expériences de consentement administrateur à l’échelle du locataire. | string |
| adminConsentDisplayName | Le titre de l’autorisation, destiné à être lu par un administrateur lui accordant l’autorisation au nom de tous les utilisateurs. | string |
| id | Identificateur d’autorisation délégué unique dans la collection d’autorisations déléguées définies pour une application de ressource. | string Contraintes: Longueur minimale = 36 Longueur maximale = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | Lorsque vous créez ou mettez à jour une autorisation, cette propriété doit être définie sur true (qui est la valeur par défaut). Pour supprimer une autorisation, cette propriété doit d’abord être définie sur false. À ce stade, dans un appel ultérieur, l’autorisation peut être supprimée. | bool |
| type | Les valeurs possibles sont les suivantes : Utilisateur et Administrateur. Spécifie si cette autorisation déléguée doit être considérée comme sécurisée pour que les utilisateurs non administrateurs puissent donner leur consentement pour le compte d’eux-mêmes, ou si un consentement administrateur doit toujours être requis. Bien que Microsoft Graph définit l’exigence de consentement par défaut pour chaque autorisation, l’administrateur client peut remplacer le comportement dans son organisation (en autorisant, en limitant ou en limitant le consentement de l’utilisateur à cette autorisation déléguée). Pour plus d’informations, consultez Configurer le consentement des utilisateurs aux applications. | string |
| userConsentDescription | Description des autorisations déléguées, destinées à être lues par un utilisateur lui accordant l’autorisation pour son propre compte. Ce texte apparaît dans les expériences de consentement où l’utilisateur consent uniquement pour lui-même. | string |
| userConsentDisplayName | Titre de l’autorisation, destiné à être lu par un utilisateur lui accordant l’autorisation pour son propre compte. Ce texte apparaît dans les expériences de consentement où l’utilisateur consent uniquement pour lui-même. | string |
| valeur | Spécifie la valeur à inclure dans la revendication scp (étendue) dans les jetons d’accès. Les tâches ne doivent pas dépasser 256 caractères. Caractères autorisés # $ % & ' ( ) * + , -. / : ; = ? @ [ ] ^ + _ { } ~ et caractères dans les plages 0-9, A-Z et a-z. Tout autre caractère, y compris le caractère d’espace, n’est pas autorisé. Peut ne pas commencer par .. | string |
MicrosoftGraphSamlSingleSignOnSettings
| Nom | Description | active |
|---|---|---|
| relayState | L’URI relatif vers lequel le fournisseur de services redirige vers une fois le flux d’authentification unique terminé. | string |
MicrosoftGraphVerifiedPublisher
| Nom | Description | active |
|---|---|---|
| addedDateTime | Horodatage lorsque l’éditeur vérifié a été ajouté ou récemment mis à jour. | string |
| displayName | Nom de l’éditeur vérifié à partir du compte MICROSOFT Partner Network (MPN) de l’éditeur d’application. | string |
| verifiedPublisherId | ID de l’éditeur vérifié à partir du compte espace partenaires de l’éditeur d’application. | string |