Udostępnij za pośrednictwem

Uprawnienia rejestracji aplikacji dla ról niestandardowych w identyfikatorze Entra firmy Microsoft

  • Artykuł

W tym artykule opisano uprawnienia rejestracji aplikacji dostępne dla niestandardowych definicji ról w identyfikatorze Entra firmy Microsoft. Te uprawnienia umożliwiają administratorom zarządzanie rejestracjami aplikacji przy użyciu określonych poziomów dostępu, zapewniając bezpieczne i wydajne zarządzanie aplikacjami w organizacji.

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.

Uprawnienia do zarządzania aplikacjami z jedną dzierżawą

Podczas wybierania uprawnień dla roli niestandardowej można udzielić dostępu do zarządzania tylko aplikacjami z jedną dzierżawą. Aplikacje z jedną dzierżawą są dostępne tylko dla użytkowników w organizacji Firmy Microsoft Entra, w której aplikacja jest zarejestrowana.

Aplikacje z jedną dzierżawą są definiowane jako z obsługiwanymi typami kont ustawionymi na "Konta tylko w tym katalogu organizacyjnym". W interfejsie API programu Graph aplikacje z jedną dzierżawą mają właściwość signInAudience ustawioną na "AzureADMyOrg".

Aby udzielić dostępu do zarządzania tylko aplikacjami z jedną dzierżawą, użyj uprawnień wskazanych w następujący sposób z podtypem applications.myOrganization. Na przykład microsoft.directory/applications.myOrganization/basic/update.

Zapoznaj się z omówieniem ról niestandardowych, aby uzyskać wyjaśnienie podtypu terminów, uprawnienia i zestawu właściwości. Poniższe informacje są specyficzne dla rejestracji aplikacji.

Tworzenie i usuwanie

Istnieją dwa uprawnienia umożliwiające przyznawanie możliwości tworzenia rejestracji aplikacji, z których każdy ma inne zachowanie:

microsoft.directory/applications/createAsOwner

Przypisanie tego uprawnienia powoduje dodanie twórcy jako pierwszego właściciela utworzonej rejestracji aplikacji. Utworzona rejestracja aplikacji jest liczone do limitu przydziału utworzonych obiektów twórcy 250.

microsoft.directory/applications/create

Udzielenie tego uprawnienia uniemożliwia twórcy dodawanie jako pierwszego właściciela rejestracji aplikacji i wyklucza rejestrację aplikacji z limitu przydziału obiektu 250 twórcy. Użyj tego uprawnienia ostrożnie, ponieważ nie ma żadnych elementów uniemożliwiających przypisaniu tworzenie rejestracji aplikacji do momentu osiągnięcia limitu przydziału na poziomie katalogu.

Jeśli przypisano oba uprawnienia, uprawnienie /create ma pierwszeństwo. Mimo że uprawnienie /createAsOwner nie powoduje automatycznego dodania twórcy jako pierwszego właściciela, właściciele mogą być określeni podczas tworzenia rejestracji aplikacji podczas korzystania z interfejsów API programu Graph lub poleceń cmdlet programu PowerShell.

Utwórz uprawnienia przyznać dostęp do polecenia Nowa rejestracja .

Te uprawnienia udzielają dostępu do polecenia Nowy portal rejestracji

Istnieją dwa uprawnienia umożliwiające przyznanie możliwości usuwania rejestracji aplikacji:

microsoft.directory/applications/delete

Przyznaje możliwość usuwania rejestracji aplikacji niezależnie od podtypu, w tym zarówno aplikacji jednodostępnych, jak i wielodostępnych.

microsoft.directory/applications.myOrganization/delete

Przyznaje możliwość usuwania rejestracji aplikacji ograniczonych do tych, które są dostępne tylko dla kont w organizacji lub aplikacjach z jedną dzierżawą (podtyp myOrganization).

Te uprawnienia udzielają dostępu do polecenia Usuń rejestrację aplikacji

Uwaga

Podczas przypisywania roli, która zawiera uprawnienia do tworzenia, przypisanie roli musi zostać wykonane w zakresie katalogu. Uprawnienie do tworzenia przypisane w zakresie zasobów nie daje możliwości tworzenia rejestracji aplikacji.

Przeczytaj

Wszyscy użytkownicy będący członkami w organizacji mogą domyślnie odczytywać informacje o rejestracji aplikacji. Jednak użytkownicy-goście i jednostki usługi aplikacji nie mogą. Jeśli planujesz przypisać rolę do użytkownika-gościa lub aplikacji, musisz uwzględnić odpowiednie uprawnienia do odczytu.

microsoft.directory/applications/allProperties/read

Przyznaje możliwość odczytywania wszystkich właściwości aplikacji jednodostępnych i wielodostępnych poza właściwościami, które nie mogą być odczytywane w żadnej sytuacji, takiej jak poświadczenia.

microsoft.directory/applications.myOrganization/allProperties/read

Przyznaje te same uprawnienia co microsoft.directory/applications/allProperties/read, ale tylko w przypadku aplikacji z jedną dzierżawą.

microsoft.directory/applications/owner/read

Przyznaje możliwość odczytu właściwości właścicieli w aplikacjach jednodostępnych i wielodostępnych. Udziela dostępu do wszystkich pól na stronie właścicieli rejestracji aplikacji:

Te uprawnienia udzielają dostępu do strony właścicieli rejestracji aplikacji

microsoft.directory/applications/standard/read

Udziela dostępu do odczytu standardowych właściwości rejestracji aplikacji. Obejmuje to właściwości między stronami rejestracji aplikacji.

microsoft.directory/applications.myOrganization/standard/read

Przyznaje te same uprawnienia co microsoft.directory/applications/standard/read, ale tylko dla aplikacji z jedną dzierżawą.

Zaktualizuj

Uprawnienia "Aktualizuj" w identyfikatorze Entra firmy Microsoft umożliwiają administratorom modyfikowanie różnych właściwości rejestracji aplikacji. Te uprawnienia są niezbędne do obsługi aplikacji jednodostępnych i wielodostępnych oraz zarządzania nimi. W zależności od przyznanego uprawnienia administratorzy mogą aktualizować właściwości, takie jak obsługiwane typy kont, ustawienia uwierzytelniania, szczegóły znakowania i inne. Poniżej znajduje się szczegółowa lista dostępnych uprawnień aktualizacji i ich określonych możliwości.

microsoft.directory/applications/allProperties/update

Umożliwia aktualizowanie wszystkich właściwości w aplikacjach jednodostępnych i wielodostępnych.

microsoft.directory/applications.myOrganization/allProperties/update

Przyznaje te same uprawnienia co microsoft.directory/applications/allProperties/update, ale tylko w przypadku aplikacji z jedną dzierżawą.

microsoft.directory/applications/audience/update

Umożliwia aktualizowanie obsługiwanej właściwości konta (signInAudience) w aplikacjach jednodostępnych i wielodostępnych.

To uprawnienie udziela dostępu do właściwości typu konta obsługiwanego przez rejestrację aplikacji na stronie uwierzytelniania

microsoft.directory/applications.myOrganization/audience/update

Przyznaje te same uprawnienia co microsoft.directory/applications/audience/update, ale tylko dla aplikacji z jedną dzierżawą.

microsoft.directory/applications/authentication/update

Umożliwia aktualizowanie adresu URL odpowiedzi, adresu URL wylogowywania, niejawnego przepływu i właściwości domeny wydawcy w aplikacjach jednodostępnych i wielodostępnych. Przyznaje dostęp do wszystkich pól na stronie uwierzytelniania rejestracji aplikacji z wyjątkiem obsługiwanych typów kont:

Udziela dostępu do uwierzytelniania rejestracji aplikacji, ale nieobsługiwanych typów kont

microsoft.directory/applications.myOrganization/authentication/update

Przyznaje te same uprawnienia co microsoft.directory/applications/authentication/update, ale tylko w przypadku aplikacji z jedną dzierżawą.

microsoft.directory/applications/basic/update

Umożliwia aktualizowanie nazwy, logo, adresu URL strony głównej, adresu URL warunków usługi i właściwości adresu URL oświadczenia o ochronie prywatności w aplikacjach z jedną dzierżawą i wieloma dzierżawami. Udziela dostępu do wszystkich pól na stronie znakowania rejestracji aplikacji:

To uprawnienie udziela dostępu do strony znakowania rejestracji aplikacji

microsoft.directory/applications.myOrganization/basic/update

Przyznaje te same uprawnienia co microsoft.directory/applications/basic/update, ale tylko w przypadku aplikacji z jedną dzierżawą.

microsoft.directory/applications/credentials/update

Umożliwia aktualizowanie certyfikatów i właściwości wpisów tajnych klienta w aplikacjach jednodostępnych i wielodostępnych. Udziela dostępu do wszystkich pól na stronie certyfikatów rejestracji aplikacji i wpisów tajnych:

To uprawnienie udziela dostępu do strony certyfikatów rejestracji aplikacji i wpisów tajnych

microsoft.directory/applications.myOrganization/credentials/update

Przyznaje te same uprawnienia co microsoft.directory/applications/credentials/update, ale tylko w przypadku aplikacji z jedną dzierżawą.

microsoft.directory/applications/owner/update

Umożliwia aktualizowanie właściwości właściciela w jednej dzierżawie i wielu dzierżawach. Udziela dostępu do wszystkich pól na stronie właścicieli rejestracji aplikacji:

Te uprawnienia udzielają dostępu do strony właścicieli rejestracji aplikacji

microsoft.directory/applications.myOrganization/owner/update

Przyznaje te same uprawnienia co microsoft.directory/applications/owner/update, ale tylko w przypadku aplikacji z jedną dzierżawą.

microsoft.directory/applications/permissions/update

To uprawnienie umożliwia aktualizacje różnych właściwości w aplikacjach z jedną dzierżawą i wieloma dzierżawami, w tym uprawnienia delegowane, uprawnienia aplikacji, autoryzowane aplikacje klienckie, wymagane uprawnienia i właściwości zgody. Nie udziela możliwości wyrażania zgody. Udziela dostępu do wszystkich pól w uprawnieniach interfejsu API rejestracji aplikacji i uwidacznia strony interfejsu API:

Te uprawnienia udzielają dostępu do strony uprawnień interfejsu API rejestracji aplikacji

Te uprawnienia udzielają dostępu do rejestracji aplikacji Uwidacznianie strony interfejsu API

microsoft.directory/applications.myOrganization/permissions/update

Przyznaje te same uprawnienia co microsoft.directory/applications/permissions/update, ale tylko w przypadku aplikacji z jedną dzierżawą.

Następne kroki