Delen via

Toepassingsregistratiemachtigingen voor aangepaste rollen in Microsoft Entra-id

  • Artikel

In dit artikel worden de app-registratiemachtigingen beschreven die beschikbaar zijn voor aangepaste roldefinities in Microsoft Entra-id. Met deze machtigingen kunnen beheerders toepassingsregistraties beheren met specifieke toegangsniveaus, zodat toepassingen binnen de organisatie veilig en efficiënt kunnen worden beheerd.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.

Machtigingen voor het beheren van toepassingen met één tenant

Wanneer u de machtigingen voor uw aangepaste rol kiest, kunt u toegang verlenen om alleen toepassingen met één tenant te beheren. Toepassingen met één tenant zijn alleen beschikbaar voor gebruikers in de Microsoft Entra-organisatie waar de toepassing is geregistreerd.

Toepassingen met één-tenant worden gedefinieerd als ondersteunde accounttypen die zijn ingesteld op 'Alleen accounts in deze organisatiemap'. In de Graph API hebben toepassingen met één-tenant de eigenschap signInAudience ingesteld op 'AzureADMyOrg'.

Als u alleen toegang wilt verlenen tot het beheren van toepassingen met één tenant, gebruikt u de machtigingen die als volgt worden aangegeven met het subtype applications.myOrganization. Bijvoorbeeld microsoft.directory/applications.myOrganization/basic/update.

Zie het overzicht van aangepaste rollen voor een uitleg van de termen subtype, machtiging en eigenschappenset. De volgende informatie is specifiek voor toepassingsregistraties.

Maken en verwijderen

Er zijn twee machtigingen beschikbaar voor het verlenen van de mogelijkheid om toepassingsregistraties te maken, elk met verschillende gedragingen:

microsoft.directory/applications/createAsOwner

Als u deze machtiging toewijst, wordt de maker toegevoegd als de eerste eigenaar van de gemaakte app-registratie. De gemaakte app-registratie telt mee voor het quotum van 250 gemaakte objecten van de maker.

microsoft.directory/applications/create

Als u deze machtiging verleent, voorkomt u dat de maker wordt toegevoegd als de eerste eigenaar van de app-registratie en wordt de app-registratie uitgesloten van het quotum voor 250 objecten van de maker. Gebruik deze machtiging zorgvuldig, omdat er niets is dat de toegewezen persoon ervan weerhoudt om app-registraties te maken totdat het quotum op directoryniveau is bereikt.

Als beide machtigingen zijn toegewezen, heeft de machtiging /create voorrang. Hoewel de machtiging /createAsOwner de maker niet automatisch toevoegt als de eerste eigenaar, kunnen eigenaren worden opgegeven tijdens het maken van de app-registratie bij het gebruik van Graph API's of PowerShell-cmdlets.

Het maken van machtigingen geeft toegang tot de opdracht Nieuwe registratie.

Deze machtigingen verlenen toegang tot de opdracht Nieuwe registratieportal

Er zijn twee machtigingen beschikbaar om de mogelijkheid tot het verwijderen van app-registraties te verlenen:

microsoft.directory/applications/delete

Verleent de mogelijkheid om app-registraties te verwijderen, ongeacht het subtype, waaronder toepassingen met één tenant en meerdere tenants.

microsoft.directory/applications.myOrganization/delete (verwijderen)

Hiermee verleent u de mogelijkheid om app-registraties te verwijderen die alleen toegankelijk zijn voor accounts in uw organisatie of toepassingen met één tenant (myOrganization-subtype).

Deze machtigingen verlenen toegang tot de opdracht app-registratie verwijderen

Notitie

Wanneer u een rol toewijst die machtigingen voor maken bevat, moet de roltoewijzing op directoryniveau worden gemaakt. Een machtiging voor maken die is toegewezen aan een resourcebereik verleent niet de mogelijkheid om app-registraties te maken.

Lees

Alle lidgebruikers in de organisatie kunnen standaard app-registratiegegevens lezen. Gastgebruikers en toepassingsservice-principals kunnen dit echter niet. Als u van plan bent een rol toe te wijzen aan een gastgebruiker of toepassing, moet u de juiste leesmachtigingen opnemen.

microsoft.directory/applications/allProperties/read

Verleent de mogelijkheid om alle eigenschappen van toepassingen met één tenant en met meerdere tenants te lezen, met uitzondering van eigenschappen die in geen enkele situatie kunnen worden gelezen, zoals referenties.

microsoft.directory/applications.myOrganization/allProperties/read

Verleent dezelfde machtigingen als microsoft.directory/applications/allProperties/read, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/owners/read

Biedt de mogelijkheid om de eigenschappen van de eigenaar te lezen voor toepassingen met zowel één tenant als meerdere tenants. Verleent toegang tot alle velden op de eigenaarspagina van de applicatieregistratie.

Deze machtiging biedt toegang tot de toepassingsregistratiepagina eigenaren

microsoft.directory/applications/standard/read

Verleent toegang om standaardeigenschappen van toepassingsregistraties te lezen. Dit omvat eigenschappen op toepassingsregistratiepagina's.

microsoft.directory/applications.myOrganization/standard/read

Verleent dezelfde machtigingen als microsoft.directory/applications/standard/read, maar alleen voor toepassingen voor één tenant.

Bijwerken

Met de machtigingen 'Bijwerken' in Microsoft Entra ID kunnen beheerders verschillende eigenschappen van toepassingsregistraties wijzigen. Deze machtigingen zijn essentieel voor het onderhouden en beheren van toepassingen met één tenant en meerdere tenants. Afhankelijk van de specifieke machtiging die is verleend, kunnen beheerders eigenschappen bijwerken, zoals ondersteunde accounttypen, verificatie-instellingen, huisstijldetails en meer. Hier volgt een gedetailleerde lijst met de beschikbare updatemachtigingen en hun specifieke mogelijkheden.

microsoft.directory/applications/allProperties/update

Hiermee kunt u alle eigenschappen voor toepassingen met één tenant en meerdere tenants bijwerken.

microsoft.directory/applications.myOrganization/allProperties/update

Verleent dezelfde machtigingen als microsoft.directory/applications/allProperties/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/audience/update

Hiermee kunt u de eigenschap ondersteund accounttype (signInAudience) bijwerken voor toepassingen met één tenant en meerdere tenants.

Deze machtiging verleent toegang tot de eigenschap van het ondersteunde accounttype in de applicatieregistratie op de verificatiepagina

microsoft.directory/applications.myOrganization/audience/update

Verleent dezelfde machtigingen als microsoft.directory/applications/audience/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/authentication/update

Hiermee kunt u de antwoord-URL, afmeldings-URL, impliciete stroom en domeineigenschappen van uitgevers bijwerken voor toepassingen met één tenant en meerdere tenants. Verleent toegang tot alle velden op de verificatiepagina voor toepassingsregistratie, met uitzondering van ondersteunde accounttypen:

Verleent toegang tot toepassingsregistratieverificatie, met uitzondering van ondersteunden accounttypen

microsoft.directory/applications.myOrganization/authentication/update

Verleent dezelfde machtigingen als microsoft.directory/applications/authentication/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/basic/update

Hiermee kunt u de eigenschappen van de url voor de naam, het logo, de startpagina, de servicevoorwaarden en de URL van de privacyverklaring bijwerken voor toepassingen met één tenant en meerdere tenants. Verleent toegang tot alle velden op de applicatie-registratie huisstijlpagina.

Deze machtiging biedt toegang tot de huisstijl van de toepassingsregistratiepagina

microsoft.directory/applications.myOrganization/basic/update

Verleent dezelfde machtigingen als microsoft.directory/applications/basic/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/credentials/update

Hiermee kunt u de eigenschappen van certificaten en clientgeheimen bijwerken voor toepassingen met één tenant en meerdere tenants. Verleent toegang tot alle velden op de pagina met toepassingsregistratiecertificaten en geheimen:

Met deze machtiging verleent u toegang tot de pagina app-registratiecertificaten en geheimen

microsoft.directory/applications.myOrganization/credentials/update

Verleent dezelfde machtigingen als microsoft.directory/applications/credentials/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/eigenaren/bijwerken

Hiermee kunt u de eigenschap van de eigenaar zowel bij een single-tenant als bij een multitenant bijwerken. Verleent toegang tot alle velden op de pagina voor eigenaars van toepassingsregistratie:

Deze machtiging biedt toegang tot de toepassingsregistratiepagina eigenaren

microsoft.directory/applications.myOrganization/owners/update

Verleent dezelfde machtigingen als microsoft.directory/applications/owners/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/permissions/update

Met deze machtiging kunnen updates worden uitgevoerd voor verschillende eigenschappen voor toepassingen met één tenant en meerdere tenants, waaronder gedelegeerde machtigingen, toepassingsmachtigingen, geautoriseerde clienttoepassingen, vereiste machtigingen en toestemmingseigenschappen. Het verleent niet de mogelijkheid om toestemming te geven. Biedt toegang tot alle velden op de pagina's voor applicatieregistratie, API-machtigingen en API's beschikbaar stellen.

Deze machtiging biedt toegang tot de toepassingsregistratiepagina API-machtigingen

Deze machtiging verleent toegang tot de pagina 'Expose an API' van de toepassingsregistratie

microsoft.directory/applications.myOrganization/permissions/update

Verleent dezelfde machtigingen als microsoft.directory/applications/permissions/update, maar alleen voor toepassingen met één tenant.

Volgende stappen