Compartilhar via

Permissões de registro de aplicativo para funções personalizadas na ID do Microsoft Entra

  • Artigo

Este artigo descreve as permissões de registro de aplicativo disponíveis para definições de função personalizada no Microsoft Entra ID. Com essas permissões, os administradores podem gerenciar registros de aplicativos com níveis de acesso específicos de maneira segura e eficiente na organização.

Requisitos de licença

O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.

Permissões para gerenciar aplicativos de locatário único

Ao escolher as permissões para uma função personalizada, é possível conceder acesso para gerenciar somente aplicativos de locatário único. Os aplicativos de locatário único estão disponíveis somente para usuários na organização do Microsoft Entra em que eles estão registrados.

Os aplicativos de locatário único têm uma definição de Tipos de conta aceitos configurada como "Contas somente neste diretório organizacional". Na API do Graph, os aplicativos de locatário único têm a propriedade signInAudience definida como "AzureADMyOrg".

Para conceder acesso apenas para o gerenciamento de aplicativos de locatário único, use as permissões indicadas a seguir com o subtipo applications.myOrganization. Por exemplo, microsoft.directory/applications.myOrganization/basic/update.

Confira a visão geral das funções personalizadas para compreender o que são subtipos, permissões e conjuntos de propriedades. As informações a seguir são específicas para os registros do aplicativo.

Criar e excluir

Há duas permissões disponíveis para conceder a capacidade de criar registros de aplicativo, cada uma com um comportamento diferente:

microsoft.directory/applications/createAsOwner

Ao atribuir essa permissão, o criador será adicionado como o primeiro proprietário do registro de aplicativo criado. O registro de aplicativo criado é contabilizado para a cota de 250 objetos criados pelo criador.

microsoft.directory/applications/create

Ao conceder essa permissão, o criador não pode ser adicionado como o primeiro proprietário do registro de aplicativo e esse registro é excluído da cota de 250 objetos do criador. Use essa permissão com cuidado, porque não há nada que impeça o destinatário de criar registros de aplicativo até que a cota no nível do diretório seja atingida.

Se ambas as permissões forem atribuídas, a permissão /create terá precedência. Embora a permissão /createAsOwner não adicione automaticamente o criador como o primeiro proprietário, os proprietários podem ser especificados durante a criação do registro de aplicativo ao usar APIs do Graph ou cmdlets do PowerShell.

A criação de permissões concede acesso ao comando New registration.

Essas permissões concedem acesso ao comando New Registration no portal

Há duas permissões disponíveis para conceder a capacidade de excluir registros de aplicativo:

microsoft.directory/applications/delete

Concede a capacidade de excluir registros de aplicativos independentemente do subtipo, incluindo aplicativos de locatário único e multilocatário.

microsoft.directory/applications.myOrganization/delete

Concede a capacidade de excluir registros de aplicativo restritos àqueles que são acessíveis somente para contas da sua organização ou aplicativos de locatário único (subtipo myOrganization).

Essas permissões concedem acesso ao comando Delete app registration

Observação

Ao atribuir uma função que contém permissões de criação, a atribuição de função deve ser feita no escopo do diretório. Uma permissão de criação atribuída no escopo de um recurso não concede a capacidade de criar registros de aplicativo.

Ler

Todos os usuários membros da organização podem ler informações do registro de aplicativo por padrão. No entanto, os usuários convidados e as entidades de serviço de aplicativo não podem. Se você planeja atribuir uma função a um usuário ou aplicativo convidado, deve incluir as permissões de leitura apropriadas.

microsoft.directory/applications/allProperties/read

Concede a capacidade de ler todas as propriedades de aplicativos de locatário único e multilocatário fora de propriedades que não podem ser lidas em nenhuma situação, como credenciais.

microsoft.directory/applications.myOrganization/allProperties/read

Concede as mesmas permissões que microsoft.directory/applications/allProperties/read, mas somente para aplicativos de locatário único.

microsoft.directory/applications/owners/read

Concede a capacidade de ler propriedades de proprietários em aplicativos de locatário único e multilocatário. Concede acesso a todos os campos na página de proprietários do registro de aplicativo:

Essas permissões concedem acesso à página de proprietários do registro de aplicativo

microsoft.directory/applications/standard/read

Concede acesso para ler as propriedades de registro de aplicativo padrão. Isso inclui propriedades nas páginas de registro de aplicativo.

microsoft.directory/applications.myOrganization/standard/read

Concede as mesmas permissões que microsoft.directory/applications/standard/read, mas somente para aplicativos de locatário único.

Atualizar

As permissões Atualizar no Microsoft Entra ID permitem que os administradores modifiquem diversas propriedades dos registros de aplicativo. Essas permissões são essenciais para manter e gerenciar aplicativos de locatário único e multilocatário. Dependendo da permissão específica concedida, os administradores podem atualizar propriedades como tipos de conta aceitos, configurações de autenticação, detalhes de marca e muito mais. Confira a seguir uma lista detalhada das permissões de atualização disponíveis e os recursos específicos associados a elas.

microsoft.directory/applications/allProperties/update

Oferece a capacidade de atualizar todas as propriedades em aplicativos de locatário único e multilocatário.

microsoft.directory/applications.myOrganization/allProperties/update

Concede as mesmas permissões que microsoft.directory/applications/allProperties/update, mas somente para aplicativos de locatário único.

microsoft.directory/applications/audience/update

Oferece a capacidade de atualizar a propriedade de tipo de conta aceito (signInAudience) em aplicativos de locatário único e multilocatário.

Essa permissão concede acesso à propriedade tipo de conta com suporte do registro de aplicativo na página de autenticação

microsoft.directory/applications.myOrganization/audience/update

Concede as mesmas permissões que microsoft.directory/applications/audience/update, mas somente para aplicativos de locatário único.

microsoft.directory/applications/authentication/update

Oferece a capacidade de atualizar as propriedades de URL de resposta, URL de saída, fluxo implícito e domínio do publicador em aplicativos de locatário único e multilocatário. Concede acesso a todos os campos na página de autenticação do registro de aplicativo, exceto tipos de conta com suporte:

Concede acesso à autenticação do registro de aplicativo, mas aos tipos de conta sem suporte

microsoft.directory/applications.myOrganization/authentication/update

Concede as mesmas permissões que microsoft.directory/applications/authentication/update, mas somente para aplicativos de locatário único.

microsoft.directory/applications/basic/update

Oferece a capacidade de atualizar as propriedades de nome, logotipo, URL da página inicial, URL dos termos de serviço e URL da declaração de privacidade em aplicativos de locatário único e multilocatário. Concede acesso a todos os campos na página de identidade visual do registro de aplicativo:

Essa permissão concede acesso à página de identidade visual do registro de aplicativo

microsoft.directory/applications.myOrganization/basic/update

Concede as mesmas permissões que microsoft.directory/applications/basic/update, mas somente para aplicativos de locatário único.

microsoft.directory/applications/credentials/update

Oferece a capacidade de atualizar as propriedades de certificados e segredos do cliente em aplicativos de locatário único e multilocatário. Concede acesso a todos os campos na página de certificados e segredos do registro de aplicativo:

Essa permissão concede acesso à página de certificados e segredos do registro de aplicativo

microsoft.directory/applications.myOrganization/credentials/update

Concede as mesmas permissões que microsoft.directory/applications/credentials/update, mas somente para aplicativos de locatário único.

microsoft.directory/applications/owners/update

Oferece a capacidade de atualizar a propriedade do proprietário em aplicativos de locatário único e multilocatário. Concede acesso a todos os campos na página de proprietários do registro de aplicativo:

Essas permissões concedem acesso à página de proprietários do registro de aplicativo

microsoft.directory/applications.myOrganization/owners/update

Concede as mesmas permissões que microsoft.directory/applications/owners/update, mas somente para aplicativos de locatário único.

microsoft.directory/applications/permissions/update

Com essa permissão, é possível fazer atualizações em diversas propriedades de aplicativos de locatário único e multilocatário, incluindo permissões delegadas, permissões de aplicativo, aplicativos de cliente autorizados, permissões necessárias e propriedades de consentimento. Ela não concede a capacidade de fornecer consentimento. Concede acesso a todos os campos das páginas da Permissões de API e Expor uma API do registro de aplicativo:

Essas permissões concedem acesso à página de permissões da API do registro de aplicativo

Essa permissão concede acesso à página Expor uma API do registro de aplicativo

microsoft.directory/applications.myOrganization/permissions/update

Concede as mesmas permissões que microsoft.directory/applications/permissions/update, mas somente para aplicativos de locatário único.

Próximas etapas