Autorizzazioni di registrazione dell'applicazione per ruoli personalizzati in Microsoft Entra ID
Questo articolo illustra le autorizzazioni di registrazione dell'app disponibili per le definizioni di ruolo personalizzate in Microsoft Entra ID. Queste autorizzazioni consentono agli amministratori di gestire le registrazioni delle applicazioni con livelli di accesso specifici, garantendo una gestione sicura ed efficiente delle applicazioni all'interno dell'organizzazione.
Requisiti di licenza
L'uso di questa funzionalità richiede le licenze di Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.
Autorizzazioni per la gestione di applicazioni a tenant singolo
Quando si scelgono le autorizzazioni per il ruolo personalizzato, è possibile concedere l'accesso per gestire solo le applicazioni a tenant singolo. Le applicazioni a tenant singolo sono disponibili solo per gli utenti dell'organizzazione Microsoft Entra in cui è registrata l'applicazione.
Le applicazioni a tenant singolo sono definite come con tipi di account supportati impostati su "Solo account in questa directory organizzativa". Nell'API Graph le applicazioni a tenant singolo hanno la proprietà signInAudience impostata su "AzureADMyOrg".
Per concedere l'accesso per gestire solo le applicazioni a tenant singolo, usare le autorizzazioni indicate di seguito con il sottotipo applications.myOrganization. Ad esempio, microsoft.directory/applications.myOrganization/basic/update.
Per una spiegazione del sottotipo, dell'autorizzazione e del set di proprietà, vedere la panoramica dei ruoli personalizzati. Le informazioni seguenti sono specifiche per le registrazioni dell'applicazione.
Creare ed eliminare
Sono disponibili due autorizzazioni per concedere la possibilità di creare registrazioni dell'applicazione, ognuna con un comportamento diverso:
microsoft.directory/applications/createAsOwner
L'assegnazione di questa autorizzazione comporta l'aggiunta dell'autore come primo proprietario della registrazione dell'app creata. La registrazione dell'app creata conta per la quota di 250 oggetti creati dall'autore.
microsoft.directory/applications/create
La concessione di questa autorizzazione impedisce all'autore di essere aggiunto come primo proprietario della registrazione dell'app ed esclude la registrazione dell'app dalla quota di 250 oggetti dell'autore. Usare questa autorizzazione con attenzione perché non c'è nulla che impedisca all'assegnatario di creare registrazioni dell'app fino a quando non viene raggiunta la quota a livello di directory.
Se vengono assegnate entrambe le autorizzazioni, l'autorizzazione /create ha la precedenza. Anche se l'autorizzazione /createAsOwner non aggiunge automaticamente l'autore come primo proprietario, i proprietari possono essere specificati durante la creazione della registrazione dell'app quando si usano le API Graph o i cmdlet di PowerShell.
Creare autorizzazioni per concedere l'accesso al comando Nuova registrazione .
Sono disponibili due autorizzazioni per concedere la possibilità di eliminare le registrazioni dell'app:
microsoft.directory/applications/delete
Concede la possibilità di eliminare le registrazioni delle app indipendentemente dal sottotipo, incluse le applicazioni a tenant singolo e multi-tenant.
microsoft.directory/applications.myOrganization/delete
Concede la possibilità di eliminare le registrazioni delle app limitate a quelle accessibili solo agli account dell'organizzazione o alle applicazioni a tenant singolo (sottotipo myOrganization).
Nota
Quando si assegna un ruolo che contiene autorizzazioni di creazione, l'assegnazione di ruolo deve essere eseguita nell'ambito della directory. Un'autorizzazione di creazione assegnata in un ambito di risorsa non concede la possibilità di creare registrazioni dell'app.
Lettura
Per impostazione predefinita, tutti gli utenti membri dell'organizzazione possono leggere le informazioni di registrazione delle app. Tuttavia, gli utenti guest e le entità servizio dell'applicazione non possono. Se si prevede di assegnare un ruolo a un utente guest o a un'applicazione, è necessario includere le autorizzazioni di lettura appropriate.
microsoft.directory/applications/allProperties/read
Concede la possibilità di leggere tutte le proprietà di applicazioni a tenant singolo e multi-tenant al di fuori delle proprietà che non possono essere lette in alcuna situazione come le credenziali.
microsoft.directory/applications.myOrganization/allProperties/read
Concede le stesse autorizzazioni di microsoft.directory/applications/allProperties/read, ma solo per le applicazioni a tenant singolo.
microsoft.directory/applications/owners/read
Concede la possibilità di leggere la proprietà dei proprietari in applicazioni a tenant singolo e multi-tenant. Concede l'accesso a tutti i campi nella pagina proprietari della registrazione dell'applicazione:
microsoft.directory/applications/standard/read
Concede l'accesso alle proprietà di registrazione dell'applicazione standard di lettura. Sono incluse le proprietà nelle pagine di registrazione dell'applicazione.
microsoft.directory/applications.myOrganization/standard/read
Concede le stesse autorizzazioni di microsoft.directory/applications/standard/read, ma solo per applicazioni a tenant singolo.
Update
Le autorizzazioni "Update" in Microsoft Entra ID consentono agli amministratori di modificare varie proprietà delle registrazioni dell'applicazione. Queste autorizzazioni sono essenziali per la gestione e la gestione di applicazioni a tenant singolo e multi-tenant. A seconda dell'autorizzazione specifica concessa, gli amministratori possono aggiornare proprietà quali tipi di account supportati, impostazioni di autenticazione, dettagli di personalizzazione e altro ancora. Di seguito è riportato un elenco dettagliato delle autorizzazioni di aggiornamento disponibili e delle relative funzionalità specifiche.
microsoft.directory/applications/allProperties/update
Consente di aggiornare tutte le proprietà in applicazioni a tenant singolo e multi-tenant.
microsoft.directory/applications.myOrganization/allProperties/update
Concede le stesse autorizzazioni di microsoft.directory/applications/allProperties/update, ma solo per le applicazioni a tenant singolo.
microsoft.directory/applications/audience/update
Consente di aggiornare la proprietà del tipo di account supportato (signInAudience) nelle applicazioni a tenant singolo e multi-tenant.
microsoft.directory/applications.myOrganization/audience/update
Concede le stesse autorizzazioni di microsoft.directory/applications/audience/update, ma solo per le applicazioni a tenant singolo.
microsoft.directory/applications/authentication/update
Consente di aggiornare l'URL di risposta, l'URL di disconnessione, il flusso implicito e le proprietà del dominio dell'editore nelle applicazioni a tenant singolo e multi-tenant. Concede l'accesso a tutti i campi nella pagina di autenticazione di registrazione dell'applicazione, ad eccezione dei tipi di account supportati:
microsoft.directory/applications.myOrganization/authentication/update
Concede le stesse autorizzazioni di microsoft.directory/applications/authentication/update, ma solo per le applicazioni a tenant singolo.
microsoft.directory/applications/basic/update
Consente di aggiornare il nome, il logo, l'URL della home page, l'URL delle condizioni per il servizio e le proprietà dell'URL dell'informativa sulla privacy nelle applicazioni a tenant singolo e multi-tenant. Concede l'accesso a tutti i campi nella pagina di personalizzazione della registrazione dell'applicazione:
microsoft.directory/applications.myOrganization/basic/update
Concede le stesse autorizzazioni di microsoft.directory/applications/basic/update, ma solo per le applicazioni a tenant singolo.
microsoft.directory/applications/credentials/update
Consente di aggiornare i certificati e le proprietà dei segreti client nelle applicazioni a tenant singolo e multi-tenant. Concede l'accesso a tutti i campi nella pagina certificati e segreti di registrazione dell'applicazione:
microsoft.directory/applications.myOrganization/credentials/update
Concede le stesse autorizzazioni di microsoft.directory/applications/credentials/update, ma solo per le applicazioni a tenant singolo.
microsoft.directory/applications/owners/update
Consente di aggiornare la proprietà del proprietario in tenant singolo e multi-tenant. Concede l'accesso a tutti i campi nella pagina proprietari della registrazione dell'applicazione:
microsoft.directory/applications.myOrganization/owners/update
Concede le stesse autorizzazioni di microsoft.directory/applications/owners/update, ma solo per le applicazioni a tenant singolo.
microsoft.directory/applications/permissions/update
Questa autorizzazione consente aggiornamenti a varie proprietà nelle applicazioni a tenant singolo e multi-tenant, tra cui autorizzazioni delegate, autorizzazioni dell'applicazione, applicazioni client autorizzate, autorizzazioni necessarie e proprietà di consenso. Non concede la possibilità di eseguire il consenso. Concede l'accesso a tutti i campi nelle autorizzazioni DELL'API di registrazione dell'applicazione ed Espone pagine API:
microsoft.directory/applications.myOrganization/permissions/update
Concede le stesse autorizzazioni di microsoft.directory/applications/permissions/update, ma solo per le applicazioni a tenant singolo.