Delen via

Toepassingsregistratiemachtigingen voor aangepaste rollen in Microsoft Entra-id

  • Artikel

In dit artikel worden de app-registratiemachtigingen beschreven die beschikbaar zijn voor aangepaste roldefinities in Microsoft Entra-id. Met deze machtigingen kunnen beheerders toepassingsregistraties beheren met specifieke toegangsniveaus, zodat toepassingen binnen de organisatie veilig en efficiënt kunnen worden beheerd.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.

Machtigingen voor het beheren van toepassingen met één tenant

Wanneer u de machtigingen voor uw aangepaste rol kiest, kunt u toegang verlenen om alleen toepassingen met één tenant te beheren. Toepassingen met één tenant zijn alleen beschikbaar voor gebruikers in de Microsoft Entra-organisatie waar de toepassing is geregistreerd.

Toepassingen met één tenant worden gedefinieerd als ondersteunde accounttypen die zijn ingesteld op 'Alleen accounts in deze organisatiemap'. In de Graph API hebben toepassingen met één tenant de eigenschap signInAudience ingesteld op 'AzureADMyOrg'.

Als u alleen toegang wilt verlenen tot het beheren van toepassingen met één tenant, gebruikt u de machtigingen die als volgt worden aangegeven met het subtype applications.myOrganization. Bijvoorbeeld microsoft.directory/applications.myOrganization/basic/update.

Zie het overzicht van aangepaste rollen voor een uitleg van het termensubtype, de machtiging en de eigenschappenset. De volgende informatie is specifiek voor toepassingsregistraties.

Maken en verwijderen

Er zijn twee machtigingen beschikbaar voor het verlenen van de mogelijkheid om toepassingsregistraties te maken, elk met verschillende gedragingen:

microsoft.directory/applications/createAsOwner

Als u deze machtiging toewijst, wordt de maker toegevoegd als de eerste eigenaar van de gemaakte app-registratie. De gemaakte app-registratie telt mee voor het quotum van 250 gemaakte objecten van de maker.

microsoft.directory/applications/create

Als u deze machtiging verleent, voorkomt u dat de maker wordt toegevoegd als de eerste eigenaar van de app-registratie en wordt de app-registratie uitgesloten van het quotum voor 250 objecten van de maker. Gebruik deze machtiging zorgvuldig omdat de toegewezen gebruiker geen app-registraties kan maken totdat het quotum op directoryniveau is bereikt.

Als beide machtigingen zijn toegewezen, heeft de machtiging /create voorrang. Hoewel de machtiging /createAsOwner de maker niet automatisch toevoegt als de eerste eigenaar, kunnen eigenaren worden opgegeven tijdens het maken van de app-registratie bij het gebruik van Graph API's of PowerShell-cmdlets.

Machtigingen maken verlenen toegang tot de opdracht Nieuwe registratie.

Deze machtigingen verlenen toegang tot de opdracht Nieuwe registratieportal

Er zijn twee machtigingen beschikbaar om de mogelijkheid tot het verwijderen van app-registraties te verlenen:

microsoft.directory/applications/delete

Verleent de mogelijkheid om app-registraties te verwijderen, ongeacht het subtype, waaronder toepassingen met één tenant en meerdere tenants.

microsoft.directory/applications.myOrganization/delete

Hiermee verleent u de mogelijkheid om app-registraties te verwijderen die alleen toegankelijk zijn voor accounts in uw organisatie of toepassingen met één tenant (myOrganization-subtype).

Deze machtigingen verlenen toegang tot de opdracht app-registratie verwijderen

Notitie

Wanneer u een rol toewijst die machtigingen voor maken bevat, moet de roltoewijzing worden gemaakt in het directorybereik. Een machtiging voor maken die is toegewezen aan een resourcebereik verleent niet de mogelijkheid om app-registraties te maken.

Read

Alle lidgebruikers in de organisatie kunnen standaard app-registratiegegevens lezen. Gastgebruikers en toepassingsservice-principals kunnen dit echter niet. Als u van plan bent een rol toe te wijzen aan een gastgebruiker of toepassing, moet u de juiste leesmachtigingen opnemen.

microsoft.directory/applications/allProperties/read

Verleent de mogelijkheid om alle eigenschappen van toepassingen met één tenant en meerdere tenants buiten eigenschappen te lezen die niet kunnen worden gelezen in situaties zoals referenties.

microsoft.directory/applications.myOrganization/allProperties/read

Verleent dezelfde machtigingen als microsoft.directory/applications/allProperties/read, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/owners/read

Verleent de mogelijkheid om eigenaarseigenschap te lezen voor toepassingen met één tenant en meerdere tenants. Verleent toegang tot alle velden op de toepassingsregistratiepagina Eigenaren:

Deze machtiging biedt toegang tot de toepassingsregistratiepagina eigenaren

microsoft.directory/applications/standard/read

Verleent toegang om standaardeigenschappen van toepassingsregistraties te lezen. Dit omvat eigenschappen op toepassingsregistratiepagina's.

microsoft.directory/applications.myOrganization/standard/read

Verleent dezelfde machtigingen als microsoft.directory/applications/allProperties/read, maar alleen voor toepassingen met één tenant.

Bijwerken

Met de machtigingen 'Bijwerken' in Microsoft Entra ID kunnen beheerders verschillende eigenschappen van toepassingsregistraties wijzigen. Deze machtigingen zijn essentieel voor het onderhouden en beheren van toepassingen met één tenant en meerdere tenants. Afhankelijk van de specifieke machtiging die is verleend, kunnen beheerders eigenschappen bijwerken, zoals ondersteunde accounttypen, verificatie-instellingen, huisstijldetails en meer. Hier volgt een gedetailleerde lijst met de beschikbare updatemachtigingen en hun specifieke mogelijkheden.

microsoft.directory/applications/allProperties/update

Hiermee kunt u alle eigenschappen voor toepassingen met één tenant en meerdere tenants bijwerken.

microsoft.directory/applications.myOrganization/allProperties/update

Verleent dezelfde machtigingen als microsoft.directory/applications/allProperties/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/audience/update

Hiermee kunt u de eigenschap ondersteund accounttype (signInAudience) bijwerken voor toepassingen met één tenant en meerdere tenants.

Deze machtiging verleent toegang tot de toepassingsregistratiepagina eigenschappen ondersteund accounttype voor authenticatie

microsoft.directory/applications.myOrganization/audience/update

Verleent dezelfde machtigingen als microsoft.directory/applications/audience/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/authentication/update

Hiermee kunt u de antwoord-URL, afmeldings-URL, impliciete stroom en domeineigenschappen van uitgevers bijwerken voor toepassingen met één tenant en meerdere tenants. Verleent toegang tot alle velden op de verificatiepagina voor toepassingsregistratie, met uitzondering van ondersteunde accounttypen:

Verleent toegang tot toepassingsregistratieverificatie, met uitzondering van ondersteunden accounttypen

microsoft.directory/applications.myOrganization/authentication/update

Verleent dezelfde machtigingen als microsoft.directory/applications/audience/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/basic/update

Hiermee kunt u de eigenschappen van de url voor de naam, het logo, de startpagina, de servicevoorwaarden en de URL van de privacyverklaring bijwerken voor toepassingen met één tenant en meerdere tenants. Verleent toegang tot alle velden op de pagina huisstijl van toepassingsregistratie:

Deze machtiging biedt toegang tot de toepassingsregistratiepagina huisstijl

microsoft.directory/applications.myOrganization/basic/update

Verleent dezelfde machtigingen als microsoft.directory/applications/basic/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/credentials/update

Hiermee kunt u de eigenschappen van certificaten en clientgeheimen bijwerken voor toepassingen met één tenant en meerdere tenants. Verleent toegang tot alle velden op de pagina met toepassingsregistratiecertificaten en geheimen:

Met deze machtiging verleent u toegang tot de pagina app-registratiecertificaten en geheimen

microsoft.directory/applications.myOrganization/credentials/update

Verleent dezelfde machtigingen als microsoft.directory/applications/credentials/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/owners/update

Hiermee kunt u de eigenschap van de eigenaar bijwerken op één tenant en meerdere tenants. Verleent toegang tot alle velden op de toepassingsregistratiepagina Eigenaren:

Deze machtiging biedt toegang tot de toepassingsregistratiepagina eigenaren

microsoft.directory/applications.myOrganization/owners/update

Verleent dezelfde machtigingen als microsoft.directory/applications/owners/update, maar alleen voor toepassingen met één tenant.

microsoft.directory/applications/permissions/update

Met deze machtiging kunnen updates worden uitgevoerd voor verschillende eigenschappen voor toepassingen met één tenant en meerdere tenants, waaronder gedelegeerde machtigingen, toepassingsmachtigingen, geautoriseerde clienttoepassingen, vereiste machtigingen en toestemmingseigenschappen. Het verleent niet de mogelijkheid om toestemming te geven. Verleent toegang tot alle velden op de toepassingsregistratiepagina's API-machtigingen en Een API beschikbaar maken:

Deze machtiging biedt toegang tot de toepassingsregistratiepagina API-machtigingen

Deze machtiging biedt toegang tot de toepassingsregistratiepagina API-machtigingen

microsoft.directory/applications.myOrganization/permissions/update

Verleent dezelfde machtigingen als microsoft.directory/applications/permissions/update, maar alleen voor toepassingen met één tenant.

Volgende stappen