Partilhar via

Permissões de registro de aplicativo para funções personalizadas no Microsoft Entra ID

  • Artigo

Este artigo descreve as permissões de registro de aplicativo disponíveis para definições de função personalizadas no Microsoft Entra ID. Essas permissões permitem que os administradores gerenciem registros de aplicativos com níveis de acesso específicos, garantindo o gerenciamento seguro e eficiente de aplicativos dentro da organização.

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os requisitos, consulte Comparar as funcionalidades geralmente disponíveis do Microsoft Entra ID.

Permissões para gerenciar aplicativos de locatário único

Ao escolher as permissões para sua função personalizada, você pode conceder acesso para gerenciar apenas aplicativos de locatário único. Os aplicativos de locatário único estão disponíveis apenas para usuários na organização do Microsoft Entra onde o aplicativo está registrado.

Os aplicativos de locatário único são definidos como tendo tipos de conta suportados definidos como "Contas somente neste diretório organizacional". Na API do Graph, os aplicativos de locatário único têm a propriedade signInAudience definida como "AzureADMyOrg".

Para conceder acesso para gerenciar apenas aplicativos de locatário único, use as permissões indicadas a seguir com o subtipo applications.myOrganization. Por exemplo, microsoft.directory/applications.myOrganization/basic/update.

Consulte a visão geral de funções personalizadas para obter uma explicação dos termos subtipo, permissão e conjunto de propriedades. As informações a seguir são específicas para registros de aplicativos.

Criar e eliminar

Há duas permissões disponíveis para conceder a capacidade de criar registros de aplicativo, cada uma com comportamento diferente:

microsoft.directory/applications/createAsOwner

A atribuição dessa permissão resulta na adição do criador como o primeiro proprietário do registro do aplicativo criado. O registro do aplicativo criado conta para a cota de 250 objetos criados pelo criador.

microsoft.directory/aplicativos/criar

Conceder essa permissão impede que o criador seja adicionado como o primeiro proprietário do registro do aplicativo e exclui o registro do aplicativo da cota de 250 objetos do criador. Use essa permissão com cuidado, pois não há nada que impeça o cessionário de criar registros de aplicativos até que a cota no nível do diretório seja atingida.

Se ambas as permissões forem atribuídas, a permissão /create terá precedência. Embora a permissão /createAsOwner não adicione automaticamente o criador como o primeiro proprietário, os proprietários podem ser especificados durante a criação do registro do aplicativo ao usar APIs do Graph ou cmdlets do PowerShell.

Criar permissões concede acesso ao comando Novo registro .

Essas permissões concedem acesso ao comando Novo portal de registro

Há duas permissões disponíveis para conceder a capacidade de excluir registros de aplicativos:

microsoft.directory/aplicativos/excluir

Concede a capacidade de excluir registros de aplicativos independentemente do subtipo, incluindo aplicativos de locatário único e multilocatário.

microsoft.directory/applications.myOrganization/delete

Concede a capacidade de excluir registros de aplicativos restritos àqueles que são acessíveis apenas a contas em sua organização ou aplicativos de locatário único (subtipo myOrganization).

Essas permissões concedem acesso ao comando Excluir registro do aplicativo

Nota

Ao atribuir uma função que contém permissões de criação, a atribuição de função deve ser feita no escopo do diretório. Uma permissão de criação atribuída em um escopo de recurso não concede a capacidade de criar registros de aplicativo.

Lida

Todos os usuários membros da organização podem ler as informações de registro do aplicativo por padrão. No entanto, os usuários convidados e as entidades de serviço de aplicativo não podem. Se você planeja atribuir uma função a um usuário ou aplicativo convidado, deverá incluir as permissões de leitura apropriadas.

microsoft.directory/applications/allProperties/read

Concede a capacidade de ler todas as propriedades de aplicativos de locatário único e multilocatário fora de propriedades que não podem ser lidas em nenhuma situação, como credenciais.

microsoft.directory/applications.myOrganization/allProperties/read

Concede as mesmas permissões que microsoft.directory/applications/allProperties/read, mas apenas para aplicativos de locatário único.

microsoft.directory/aplicativos/proprietários/leitura

Concede a capacidade de ler a propriedade dos proprietários em aplicativos de inquilino único e multilocatário. Concede acesso a todos os campos na página de proprietários do registro do aplicativo:

Essas permissões concedem acesso à página de proprietários de registro do aplicativo

microsoft.directory/aplicativos/padrão/leitura

Concede acesso à leitura de propriedades de registro de aplicativo padrão. Isso inclui propriedades em páginas de registro de aplicativos.

microsoft.directory/applications.myOrganization/standard/read

Concede as mesmas permissões que microsoft.directory/applications/standard/read, mas apenas para aplicativos de locatário único.

Atualizar

As permissões de "Atualização" no Microsoft Entra ID permitem que os administradores modifiquem várias propriedades de registros de aplicativos. Essas permissões são essenciais para manter e gerenciar aplicativos de locatário único e multilocatário. Dependendo da permissão específica concedida, os administradores podem atualizar propriedades como tipos de conta suportados, configurações de autenticação, detalhes de identidade visual e muito mais. A seguir está uma lista detalhada das permissões de atualização disponíveis e seus recursos específicos.

microsoft.directory/applications/allProperties/update

Permite a capacidade de atualizar todas as propriedades em aplicativos de locatário único e multilocatário.

microsoft.directory/applications.myOrganization/allProperties/update

Concede as mesmas permissões que microsoft.directory/applications/allProperties/update, mas apenas para aplicativos de locatário único.

microsoft.directory/aplicativos/audiência/atualização

Permite a capacidade de atualizar a propriedade de tipo de conta suportada (signInAudience) em aplicativos de locatário único e multilocatário.

Essa permissão concede acesso à propriedade do tipo de conta suportada pelo registro do aplicativo na página de autenticação

microsoft.directory/applications.myOrganization/audience/update

Concede as mesmas permissões que microsoft.directory/applications/audience/update, mas apenas para aplicativos de locatário único.

microsoft.directory/aplicativos/autenticação/atualização

Permite a capacidade de atualizar a URL de resposta, a URL de saída, o fluxo implícito e as propriedades de domínio do editor em aplicativos de locatário único e multilocatário. Concede acesso a todos os campos na página de autenticação de registro do aplicativo, exceto os tipos de conta suportados:

Concede acesso à autenticação de registro de aplicativo, mas tipos de conta não suportados

microsoft.directory/applications.myOrganization/authentication/update

Concede as mesmas permissões que microsoft.directory/applications/authentication/update, mas apenas para aplicativos de locatário único.

microsoft.directory/applications/basic/update

Permite a capacidade de atualizar o nome, o logotipo, o URL da página inicial, o URL dos termos de serviço e as propriedades do URL da declaração de privacidade em aplicativos de locatário único e multilocatário. Concede acesso a todos os campos na página de marca de registro do aplicativo:

Essa permissão concede acesso à página de marca de registro do aplicativo

microsoft.directory/applications.myOrganization/basic/update

Concede as mesmas permissões que microsoft.directory/applications/basic/update, mas apenas para aplicativos de locatário único.

microsoft.directory/aplicativos/credenciais/atualização

Permite a capacidade de atualizar as propriedades de certificados e segredos de cliente em aplicativos de locatário único e multilocatário. Concede acesso a todos os campos na página de certificados de registro de aplicativo & segredos:

Essa permissão concede acesso à página de certificados de registro e segredos do aplicativo

microsoft.directory/applications.myOrganization/credentials/update

Concede as mesmas permissões que microsoft.directory/applications/credentials/update, mas apenas para aplicativos de locatário único.

microsoft.directory/aplicativos/proprietários/atualização

Permite a capacidade de atualizar a propriedade do proprietário em inquilino único e multilocatário. Concede acesso a todos os campos na página de proprietários do registro do aplicativo:

Essas permissões concedem acesso à página de proprietários de registro do aplicativo

microsoft.directory/applications.myOrganization/owners/update

Concede as mesmas permissões que microsoft.directory/applications/owners/update, mas apenas para aplicativos de locatário único.

microsoft.directory/aplicativos/permissões/atualização

Essa permissão permite atualizações para várias propriedades em aplicativos de locatário único e multilocatário, incluindo permissões delegadas, permissões de aplicativos, aplicativos cliente autorizados, permissões necessárias e propriedades de consentimento. Não concede a capacidade de realizar o consentimento. Concede acesso a todos os campos nas permissões da API de registro do aplicativo e expõe uma página da API:

Essas permissões concedem acesso à página de permissões da API de registro do aplicativo

Essas permissões concedem acesso ao registro do aplicativo Expor uma página de API

microsoft.directory/applications.myOrganization/permissions/update

Concede as mesmas permissões que microsoft.directory/applications/permissions/update, mas apenas para aplicativos de locatário único.

Próximos passos