Microsoft.Graph servicePrincipals
Importante
Le API nella /beta versione in Microsoft Graph sono soggette a modifiche. L'uso di queste API nelle applicazioni di produzione non è supportato. Per determinare se un'API è disponibile nella versione 1.0, usare il selettore versione .
Autorizzazioni
Scegliere l'autorizzazione o le autorizzazioni contrassegnate come con privilegi minimi per questa API. Usare un'autorizzazione o autorizzazioni con privilegi più elevati solo se l'app lo richiede. Per informazioni dettagliate sulle autorizzazioni delegate e dell'applicazione, vedere Tipi di autorizzazioni. Per altre informazioni su queste autorizzazioni, vedere le informazioni di riferimento sulle autorizzazioni.
Nota
Le autorizzazioni per gli account Microsoft personali non possono essere usate per distribuire le risorse di Microsoft Graph dichiarate nei file Bicep.
| Tipo di autorizzazione | Autorizzazioni con privilegi minimi | Autorizzazioni con privilegi più elevati |
|---|---|---|
| Delegata (account di lavoro o dell'istituto di istruzione) | Application.ReadWrite.All | Directory.ReadWrite.All |
| Delegata (account Microsoft personale) | Non supportata. | Non supportata. |
| Applicazione | Application.ReadWrite.OwnedBy | Application.ReadWrite.All, Directory.ReadWrite.All |
Formato di risorsa
Per creare una risorsa Microsoft.Graph/servicePrincipals, aggiungere il bicep seguente al modello.
resource symbolicname 'Microsoft.Graph/servicePrincipals@beta' = {
accountEnabled: bool
addIns: [
{
id: 'string'
properties: [
{
key: 'string'
value: 'string'
}
]
type: 'string'
}
]
alternativeNames: [
'string'
]
appDescription: 'string'
appDisplayName: 'string'
appId: 'string'
appRoleAssignmentRequired: bool
appRoles: [
{
allowedMemberTypes: [
'string'
]
description: 'string'
displayName: 'string'
id: 'string'
isEnabled: bool
value: 'string'
}
]
description: 'string'
disabledByMicrosoftStatus: 'string'
displayName: 'string'
homepage: 'string'
info: {
marketingUrl: 'string'
privacyStatementUrl: 'string'
supportUrl: 'string'
termsOfServiceUrl: 'string'
}
keyCredentials: [
{
customKeyIdentifier: 'string'
displayName: 'string'
endDateTime: 'string'
key: 'string'
keyId: 'string'
startDateTime: 'string'
type: 'string'
usage: 'string'
}
]
loginUrl: 'string'
logoutUrl: 'string'
notes: 'string'
notificationEmailAddresses: [
'string'
]
passwordCredentials: [
{
displayName: 'string'
endDateTime: 'string'
keyId: 'string'
startDateTime: 'string'
}
]
preferredSingleSignOnMode: 'string'
preferredTokenSigningKeyEndDateTime: 'string'
preferredTokenSigningKeyThumbprint: 'string'
publishedPermissionScopes: [
{
adminConsentDescription: 'string'
adminConsentDisplayName: 'string'
id: 'string'
isEnabled: bool
type: 'string'
userConsentDescription: 'string'
userConsentDisplayName: 'string'
value: 'string'
}
]
publisherName: 'string'
replyUrls: [
'string'
]
samlMetadataUrl: 'string'
samlSingleSignOnSettings: {
relayState: 'string'
}
servicePrincipalNames: [
'string'
]
servicePrincipalType: 'string'
tags: [
'string'
]
tokenEncryptionKeyId: 'string'
verifiedPublisher: {
addedDateTime: 'string'
displayName: 'string'
verifiedPublisherId: 'string'
}
}
Valori delle proprietà
servicePrincipals
| Nome | Descrizione | valore |
|---|---|---|
| accountEnabled | true se l'account dell'entità servizio è abilitato; in caso contrario, false. Se è impostato su false, nessun utente è in grado di accedere a questa app, anche se sono assegnati | bool |
| addIns | Definisce il comportamento personalizzato che un servizio consumer può usare per chiamare un'app in contesti specifici. Ad esempio, le applicazioni che possono eseguire il rendering dei flussi di file possono impostare la proprietà addIns per la relativa funzionalità 'FileHandler'. In questo modo, i servizi come Microsoft 365 chiamano l'applicazione nel contesto di un documento su cui l'utente sta lavorando. | MicrosoftGraphAddIn[] |
| alternativeNames | Usato per recuperare le entità servizio per sottoscrizione, identificare il gruppo di risorse e gli ID risorsa completi per le identità gestite | string[] |
| apiVersion | Versione dell'API della risorsa | 'beta' (ReadOnly) |
| appDescription | Descrizione esposta dall'applicazione associata. | string |
| appDisplayName | Nome visualizzato esposto dall'applicazione associata. | string |
| IDapp | Identificatore univoco per l'applicazione associata (proprietà appId). Chiave alternativa | string (obbligatorio) |
| applicationTemplateId | Identificatore univoco dell'applicazioneTemplate. Sola lettura. Null se l'app non è stata creata da un modello di applicazione. | string (ReadOnly) |
| appOwnerOrganizationId | Contiene l'ID tenant in cui è registrata l'applicazione. Questo è applicabile solo alle entità servizio supportate dalle applicazioni | string (ReadOnly) Vincoli: Lunghezza minima = 36 Lunghezza massima = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| appRoleAssignmentRequired | Specifica se agli utenti o ad altre entità servizio deve essere concessa un'assegnazione di ruolo dell'app per questa entità servizio prima che gli utenti possano accedere o che le app possano ottenere i token. Il valore predefinito è false. Non nullable | bool |
| appRoles | Ruoli esposti dall'applicazione, rappresentata da questa entità servizio. Per altre informazioni, vedere la definizione della proprietà appRoles nell'entità applicazione. Non ammette i valori NULL. | MicrosoftGraphAppRole[] |
| deletedDateTime | Data e ora di eliminazione dell'oggetto. Sempre Null quando l'oggetto non è stato eliminato. | string (ReadOnly) |
| description | Campo di testo libero per fornire una descrizione interna dell'entità servizio per l'utente finale. I portali degli utenti finali, ad esempio MyApps, visualizzano la descrizione dell'applicazione in questo campo. La dimensione massima consentita è di 1.024 caratteri | string |
| disabledByMicrosoftStatus | Specifica se Microsoft ha disabilitato l'applicazione registrata. I valori possibili sono: null (valore predefinito), NotDisabled e DisabledDueToViolationOfServicesAgreement (i motivi possono includere attività sospette, abusive o dannose o violazione del Contratto di Servizi Microsoft) | string |
| displayName | Nome visualizzato per l'entità servizio | string |
| homepage | Pagina iniziale o pagina di destinazione dell'applicazione. | string |
| id | Identificatore univoco per un'entità. Sola lettura. | string (ReadOnly) |
| info | Informazioni di base sul profilo dell'applicazione acquisita, ad esempio marketing, supporto, condizioni per il servizio e URL di informativa sulla privacy dell'app. Le condizioni del servizio e l'informativa sulla privacy vengono presentate agli utenti tramite l'esperienza di consenso dell'utente. Per altre info, vedere Procedura: Aggiungere le condizioni per il servizio e l'informativa sulla privacy per le app Microsoft Entra registrate | MicrosoftGraphInformationalUrl |
| keyCredentials | Raccolta di credenziali della chiave associate all'entità servizio. Non nullable | MicrosoftGraphKeyCredential[] |
| loginUrl | Specifica l'URL in cui il provider di servizi reindirizza l'utente all'ID Microsoft Entra per l'autenticazione. Microsoft Entra ID usa l'URL per avviare l'applicazione da Microsoft 365 o microsoft Entra App personali. Se vuoto, Microsoft Entra ID esegue l'accesso Avviato da IdP per le applicazioni configurate con l'accesso Single Sign-On basato su SAML. L'utente avvia l'applicazione da Microsoft 365, microsoft Entra App personali o l'URL di Microsoft Entra SSO. | string |
| logoutUrl | Specifica l'URL usato dal servizio di autorizzazione di Microsoft per disconnettere un utente usando il canale front-channel OpenId Connect, il back-channel o i protocolli di disconnessione SAML. | string |
| note | Campo di testo libero per acquisire informazioni sull'entità servizio, in genere usato per scopi operativi. La dimensione massima consentita è di 1.024 caratteri. | string |
| notificationEmailAddresses | Specifica l'elenco di indirizzi di posta elettronica in cui Microsoft Entra ID invia una notifica quando il certificato attivo è vicino alla data di scadenza. Questo vale solo per i certificati usati per firmare il token SAML rilasciato per le applicazioni di Microsoft Entra Gallery. | string[] |
| passwordCredentials | Raccolta di credenziali password associate all'entità servizio. Non ammette i valori NULL. | MicrosoftGraphPasswordCredential[] |
| preferredSingleSignOnMode | Specifica la modalità Single Sign-On configurata per questa applicazione. Microsoft Entra ID usa la modalità Single Sign-On preferita per avviare l'applicazione da Microsoft 365 o da Microsoft Entra App personali. I valori supportati sono password, saml, notSupported e oidc. | string |
| preferredTokenSigningKeyEndDateTime | Specifica la data di scadenza della chiaveCredential utilizzata per la firma del token, contrassegnata da preferredTokenSigningKeyThumbprint. L'aggiornamento di questo attributo non è attualmente supportato. Per informazioni dettagliate, vedere Differenze tra le proprietà ServicePrincipal. | string |
| preferredTokenSigningKeyThumbprint | Questa proprietà può essere usata nelle applicazioni SAML (app che hanno preferitoSingleSignOnMode impostato su saml) per controllare il certificato usato per firmare le risposte SAML. Per le applicazioni che non sono SAML, non scrivere o fare affidamento su questa proprietà. | string |
| publishedPermissionScopes | Autorizzazioni delegate esposte dall'applicazione. Per altre informazioni, vedere la proprietà oauth2PermissionScopes nella proprietà api dell'entità applicazione. Non ammette i valori NULL. Nota: questa proprietà è denominata oauth2PermissionScopes nella versione 1.0. | MicrosoftGraphPermissionScope[] |
| publisherName | Nome del tenant di Microsoft Entra che ha pubblicato l'applicazione. | string |
| replyUrls | Gli URL a cui vengono inviati i token utente per l'accesso con l'applicazione associata o gli URI di reindirizzamento a cui vengono inviati i codici di autorizzazione e i token di accesso OAuth 2.0 per l'applicazione associata. Non ammette i valori NULL. | string[] |
| samlMetadataUrl | URL in cui il servizio espone i metadati SAML per la federazione. | string |
| samlSingleSignOnSettings | Raccolta per le impostazioni correlate all'accesso Single Sign-On saml. | MicrosoftGraphSamlSingleSignOnSettings |
| servicePrincipalNames | Contiene l'elenco di identifiersUris copiati dall'applicazione associata. È possibile aggiungere altri valori alle applicazioni ibride. Questi valori possono essere usati per identificare le autorizzazioni esposte da questa app all'interno di Microsoft Entra ID. Ad esempio, le app client possono specificare un URI di risorsa basato sui valori di questa proprietà per acquisire un token di accesso, ovvero l'URI restituito nell'attestazione 'aud'. L'operatore any è necessario per le espressioni di filtro sulle proprietà multivalore. Non nullable | string[] |
| servicePrincipalType | Identifica se l'entità servizio rappresenta un'applicazione o un'identità gestita. Questa impostazione viene impostata internamente dall'ID Entra di Microsoft. Per un'entità servizio che rappresenta un'applicazione impostata come Applicazione. Per un'entità servizio che rappresenta un'identità gestita, viene impostata come ManagedIdentity. Il tipo SocialIdp è destinato all'uso interno. | string |
| signInAudience | Specifica gli account Microsoft supportati per l'applicazione corrente. Sola lettura. I valori supportati sono:AzureADMyOrg: utenti con un account microsoft aziendale o dell'istituto di istruzione nel tenant Microsoft Entra dell'organizzazione (tenant singolo). AzureADMultipleOrgs: utenti con un account microsoft aziendale o dell'istituto di istruzione nel tenant Microsoft Entra (multi-tenant) di qualsiasi organizzazione. AzureADandPersonalMicrosoftAccount: utenti con un account Microsoft personale o un account aziendale o dell'istituto di istruzione nel tenant di Microsoft Entra di qualsiasi organizzazione. PersonalMicrosoftAccount: solo utenti con un account Microsoft personale. | string (ReadOnly) |
| tag | Stringhe personalizzate che possono essere usate per classificare e identificare l'entità servizio. Non nullable | string[] |
| tokenEncryptionKeyId | Specifica il keyId di una chiave pubblica dall'insieme keyCredentials. Se configurato, Microsoft Entra ID rilascia i token per questa applicazione crittografata usando la chiave specificata da questa proprietà. Il codice dell'applicazione che riceve il token crittografato deve usare la chiave privata corrispondente per decrittografare il token prima di poterlo usare per l'utente connesso. | string Vincoli: Lunghezza minima = 36 Lunghezza massima = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| type | Tipo di risorsa | 'Microsoft.Graph/servicePrincipals' (ReadOnly) |
| verifiedPublisher | Specifica l'autore verificato dell'applicazione collegata a questa entità servizio. | MicrosoftGraphVerifiedPublisher |
MicrosoftGraphKeyValue
| Nome | Descrizione | valore |
|---|---|---|
| key | Contiene il nome del campo a cui è associato un valore. | string |
| value | Contiene il valore corrispondente per la chiave specificata. | string |
MicrosoftGraphAddIn
| Nome | Descrizione | valore |
|---|---|---|
| id | Identificatore univoco per l'oggetto addIn. | string Vincoli: Lunghezza minima = 36 Lunghezza massima = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| proprietà | Raccolta di coppie chiave-valore che definiscono i parametri che il servizio di utilizzo può usare o chiamare. È necessario specificare questa proprietà quando si esegue un'operazione POST o PATCH nell'insieme addIns. Obbligatorio. | MicrosoftGraphKeyValue[] |
| type | Nome univoco per la funzionalità esposta dall'app. | string |
MicrosoftGraphAppRole
| Nome | Descrizione | valore |
|---|---|---|
| allowedMemberTypes | Specifica se questo ruolo dell'app può essere assegnato a utenti e gruppi (impostando su ['Utente']), su altre applicazioni (impostando su ['Applicazione']o su entrambi (impostando su ['Utente', 'Applicazione']). I ruoli dell'app che supportano l'assegnazione alle entità servizio di altre applicazioni sono noti anche come autorizzazioni dell'applicazione. Il valore 'Application' è supportato solo per i ruoli dell'app definiti nelle entità dell'applicazione. | string[] |
| description | Descrizione per il ruolo dell'app. Questo viene visualizzato quando il ruolo dell'app viene assegnato e, se il ruolo dell'app funziona come autorizzazione dell'applicazione, durante le esperienze di consenso. | string |
| displayName | Nome visualizzato per l'autorizzazione visualizzata nelle esperienze di assegnazione di ruolo e consenso dell'app. | string |
| id | Identificatore univoco del ruolo all'interno dell'insieme appRoles. È necessario specificare un nuovo identificatore GUID quando si crea un nuovo ruolo dell'app. | string Vincoli: Lunghezza minima = 36 Lunghezza massima = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | Quando si crea o si aggiorna un ruolo dell'app, questo deve essere impostato su true (ovvero l'impostazione predefinita). Per eliminare un ruolo, è necessario prima impostare su false. A questo punto, in una chiamata successiva, questo ruolo può essere rimosso. | bool |
| origin | Specifica se il ruolo dell'app è definito nell'oggetto applicazione o nell'entità servicePrincipal. Non deve essere incluso in alcuna richiesta POST o PATCH. Sola lettura. | string (ReadOnly) |
| value | Specifica il valore da includere nell'attestazione dei ruoli nei token ID e nei token di accesso che autenticano un utente o un'entità servizio assegnata. Non deve superare i 120 caratteri di lunghezza. I caratteri consentiti sono : ! # $ % & ' ( ) * + , -. / : ; = ? @ [ ] ^ + _ { } ~ e caratteri negli intervalli 0-9, A-Z e a-z. Qualsiasi altro carattere, incluso lo spazio, non è consentito. Non può iniziare con .. | string |
MicrosoftGraphInformationalUrl
| Nome | Descrizione | valore |
|---|---|---|
| logoUrl | URL della rete CDN per il logo dell'applicazione, di sola lettura. | string (ReadOnly) |
| marketingUrl | Collegamento alla pagina marketing dell'applicazione. Ad esempio, https://www.contoso.com/app/marketing | string |
| privacyStatementUrl | Collegamento all'informativa sulla privacy dell'applicazione. Ad esempio, https://www.contoso.com/app/privacy | string |
| supportUrl | Collegamento alla pagina di supporto dell'applicazione. Ad esempio, https://www.contoso.com/app/support | string |
| termsOfServiceUrl | Collegamento all'istruzione condizioni di servizio dell'applicazione. Ad esempio, https://www.contoso.com/app/termsofservice | string |
MicrosoftGraphKeyCredential
| Nome | Descrizione | valore |
|---|---|---|
| customKeyIdentifier | Tipo binario a 40 caratteri che può essere usato per identificare le credenziali. Facoltativo. Se non viene specificato nel payload, per impostazione predefinita l'identificazione personale del certificato. | string |
| displayName | Nome descrittivo della chiave. Facoltativo. | string |
| endDateTime | Data e ora di scadenza della credenziale. Il tipo DateTimeOffset rappresenta le informazioni di data e ora usando il formato ISO 8601 ed è sempre in formato UTC. Ad esempio, mezzanotte UTC il 1 gennaio 2014 è 2014-01-01T00:00:00Z. | string |
| key | Valore per le credenziali della chiave. Deve essere un valore con codifica Base64. Da un certificato .cer è possibile leggere la chiave usando il metodo Convert.ToBase64String(). Per altre informazioni, vedere Ottenere la chiave del certificato. | string |
| keyId | Identificatore univoco per la chiave. | string Vincoli: Lunghezza minima = 36 Lunghezza massima = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| startDateTime | Data e ora in cui la credenziale diventa valida. Il tipo Timestamp rappresenta le informazioni di data e ora usando il formato ISO 8601 ed è sempre in formato UTC. Ad esempio, mezzanotte UTC il 1 gennaio 2014 è 2014-01-01T00:00:00Z. | string |
| type | Tipo di credenziale chiave; ad esempio Symmetric, AsymmetricX509Cert o X509CertAndPassword. | string |
| attivamente | Stringa che descrive lo scopo per il quale è possibile usare la chiave; Ad esempio, None, Verify, PairwiseIdentifier, Delegation, Decrypt, Encrypt, HashedIdentifier, SelfSignedTls o Sign. Se l'utilizzo è Sign, il tipo deve essere X509CertAndPassword e devono essere definite le credenziali password per la firma. | string |
MicrosoftGraphPasswordCredential
| Nome | Descrizione | valore |
|---|---|---|
| displayName | Nome descrittivo della password. Facoltativo. | string |
| endDateTime | Data e ora in cui la password scade rappresentata usando il formato ISO 8601 ed è sempre in formato UTC. Ad esempio, mezzanotte UTC il 1 gennaio 2014 è 2014-01-01T00:00:00Z. Facoltativo. | string |
| hint | Contiene i primi tre caratteri della password. Sola lettura. | string (ReadOnly) |
| keyId | Identificatore univoco per la password. | string Vincoli: Lunghezza minima = 36 Lunghezza massima = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| secretText | Sola lettura; Contiene le password complesse generate da Microsoft Entra ID con lunghezza di 16-64 caratteri. Il valore della password generato viene restituito solo durante la richiesta POST iniziale per aggiungerePassword. Non è possibile recuperare questa password in futuro. | string (ReadOnly) |
| startDateTime | Data e ora in cui la password diventa valida. Il tipo Timestamp rappresenta le informazioni di data e ora usando il formato ISO 8601 ed è sempre in formato UTC. Ad esempio, mezzanotte UTC il 1 gennaio 2014 è 2014-01-01T00:00:00Z. Facoltativo. | string |
MicrosoftGraphPermissionScope
| Nome | Descrizione | valore |
|---|---|---|
| adminConsentDescription | Descrizione delle autorizzazioni delegate, destinate a essere lette da un amministratore che concede l'autorizzazione per conto di tutti gli utenti. Questo testo viene visualizzato nelle esperienze di consenso amministratore a livello di tenant. | string |
| adminConsentDisplayName | Titolo dell'autorizzazione, destinato a essere letto da un amministratore che concede l'autorizzazione per conto di tutti gli utenti. | string |
| id | Identificatore univoco delle autorizzazioni delegate all'interno della raccolta di autorizzazioni delegate definite per un'applicazione di risorse. | string Vincoli: Lunghezza minima = 36 Lunghezza massima = 36 Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | Quando si crea o si aggiorna un'autorizzazione, questa proprietà deve essere impostata su true (ovvero l'impostazione predefinita). Per eliminare un'autorizzazione, questa proprietà deve prima essere impostata su false. A questo punto, in una chiamata successiva, l'autorizzazione può essere rimossa. | bool |
| type | I valori possibili sono: User e Admin. Specifica se questa autorizzazione delegata deve essere considerata sicura per gli utenti non amministratori di fornire il consenso per conto di se stessi o se è sempre necessario il consenso di un amministratore. Mentre Microsoft Graph definisce il requisito di consenso predefinito per ogni autorizzazione, l'amministratore del tenant può ignorare il comportamento nell'organizzazione (consentendo, limitando o limitando il consenso dell'utente a questa autorizzazione delegata). Per altre informazioni, vedere Configurare la modalità con cui gli utenti finali forniscono il consenso alle applicazioni. | string |
| userConsentDescription | Descrizione delle autorizzazioni delegate, destinate a essere lette da un utente che concede l'autorizzazione per proprio conto. Questo testo viene visualizzato nelle esperienze di consenso in cui l'utente acconsente solo per conto di se stessi. | string |
| userConsentDisplayName | Titolo per l'autorizzazione, destinato a essere letto da un utente che concede l'autorizzazione per proprio conto. Questo testo viene visualizzato nelle esperienze di consenso in cui l'utente acconsente solo per conto di se stessi. | string |
| value | Specifica il valore da includere nell'attestazione scp (ambito) nei token di accesso. Non deve superare i 120 caratteri di lunghezza. I caratteri consentiti sono : ! # $ % & ' ( ) * + , -. / : ; = ? @ [ ] ^ + _ { } ~ e caratteri negli intervalli 0-9, A-Z e a-z. Qualsiasi altro carattere, incluso lo spazio, non è consentito. Non può iniziare con .. | string |
MicrosoftGraphSamlSingleSignOnSettings
| Nome | Descrizione | valore |
|---|---|---|
| relayState | L'URI relativo a cui il provider di servizi verrà reindirizzato dopo il completamento del flusso di Single Sign-On. | string |
MicrosoftGraphVerifiedPublisher
| Nome | Descrizione | valore |
|---|---|---|
| addedDateTime | Timestamp quando il server di pubblicazione verificato è stato aggiunto o aggiornato più di recente. | string |
| displayName | Nome dell'editore verificato dall'account Microsoft Partner Network (MPN) dell'editore dell'app. | string |
| verifiedPublisherId | ID dell'editore verificato dall'account del Centro per i partner dell'editore dell'app. | string |