Microsoft.Graph servicePrincipals
Importante
As APIs sob a /beta versão no Microsoft Graph estão sujeitas a alterações. A utilização destas APIs em aplicações de produção não é suportada. Para determinar se uma API está disponível na v1.0, use o seletor Versão .
Permissões
Escolha a permissão ou permissões marcadas como menos privilegiadas para esta API. Use uma permissão ou permissões com privilégios mais altos somente se seu aplicativo exigir. Para obter detalhes sobre permissões delegadas e de aplicativo, consulte Tipos de permissão. Para saber mais sobre essas permissões, consulte a referência de permissões.
Nota
As permissões para contas pessoais da Microsoft não podem ser usadas para implantar recursos do Microsoft Graph declarados em arquivos Bicep.
| Tipo de permissão | Permissões menos privilegiadas | Permissões com privilégios mais elevados |
|---|---|---|
| Delegada (conta profissional ou escolar) | Application.ReadWrite.All | Directory.ReadWrite.All |
| Delegada (conta Microsoft pessoal) | Não suportado. | Não suportado. |
| Aplicação | Application.ReadWrite.OwnedBy | Application.ReadWrite.All, Directory.ReadWrite.All |
Formato do recurso
Para criar um recurso Microsoft.Graph/servicePrincipals, adicione o seguinte Bicep ao seu modelo.
resource symbolicname 'Microsoft.Graph/servicePrincipals@beta' = {
accountEnabled: bool
addIns: [
{
id: 'string'
properties: [
{
key: 'string'
value: 'string'
}
]
type: 'string'
}
]
alternativeNames: [
'string'
]
appDescription: 'string'
appDisplayName: 'string'
appId: 'string'
appRoleAssignmentRequired: bool
appRoles: [
{
allowedMemberTypes: [
'string'
]
description: 'string'
displayName: 'string'
id: 'string'
isEnabled: bool
value: 'string'
}
]
description: 'string'
disabledByMicrosoftStatus: 'string'
displayName: 'string'
homepage: 'string'
info: {
marketingUrl: 'string'
privacyStatementUrl: 'string'
supportUrl: 'string'
termsOfServiceUrl: 'string'
}
keyCredentials: [
{
customKeyIdentifier: 'string'
displayName: 'string'
endDateTime: 'string'
key: 'string'
keyId: 'string'
startDateTime: 'string'
type: 'string'
usage: 'string'
}
]
loginUrl: 'string'
logoutUrl: 'string'
notes: 'string'
notificationEmailAddresses: [
'string'
]
passwordCredentials: [
{
displayName: 'string'
endDateTime: 'string'
keyId: 'string'
startDateTime: 'string'
}
]
preferredSingleSignOnMode: 'string'
preferredTokenSigningKeyEndDateTime: 'string'
preferredTokenSigningKeyThumbprint: 'string'
publishedPermissionScopes: [
{
adminConsentDescription: 'string'
adminConsentDisplayName: 'string'
id: 'string'
isEnabled: bool
type: 'string'
userConsentDescription: 'string'
userConsentDisplayName: 'string'
value: 'string'
}
]
publisherName: 'string'
replyUrls: [
'string'
]
samlMetadataUrl: 'string'
samlSingleSignOnSettings: {
relayState: 'string'
}
servicePrincipalNames: [
'string'
]
servicePrincipalType: 'string'
tags: [
'string'
]
tokenEncryptionKeyId: 'string'
verifiedPublisher: {
addedDateTime: 'string'
displayName: 'string'
verifiedPublisherId: 'string'
}
}
Valores de propriedade
servicePrincipals
| Nome | Descrição | valor |
|---|---|---|
| accountEnabled | true se a conta da entidade de serviço estiver ativada; caso contrário, false. Se definido como false, nenhum usuário poderá entrar neste aplicativo, mesmo que esteja atribuído a ele | booleano |
| Suplementos | Define o comportamento personalizado que um serviço consumidor pode usar para chamar um aplicativo em contextos específicos. Por exemplo, aplicativos que podem renderizar fluxos de arquivos podem definir a propriedade addIns para sua funcionalidade 'FileHandler'. Isso permite que serviços como o Microsoft 365 chamem o aplicativo no contexto de um documento no qual o usuário está trabalhando. | MicrosoftGraphAddIn[] |
| alternativeNames | Usado para recuperar entidades de serviço por assinatura, identificar grupos de recursos e IDs de recursos completos para identidades gerenciadas | string[] |
| apiVersion | A versão da api de recursos | 'beta' (Somente leitura) |
| appDescription | A descrição exposta pelo aplicativo associado. | string |
| appDisplayName | O nome para exibição exposto pelo aplicativo associado. | string |
| appId | O identificador exclusivo para o aplicativo associado (sua propriedade appId). Chave alternativa | string (Obrigatório) |
| applicationTemplateId | Identificador exclusivo do applicationTemplate. Só de Leitura. null se o aplicativo não tiver sido criado a partir de um modelo de aplicativo. | string (Somente leitura) |
| appOwnerOrganizationId | Contém a ID do locatário onde o aplicativo está registrado. Isso é aplicável apenas a entidades de serviço apoiadas por aplicativos | string (Somente leitura) Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| appRoleAssignmentRequired | Especifica se os usuários ou outras entidades de serviço precisam receber uma atribuição de função de aplicativo para essa entidade de serviço antes que os usuários possam entrar ou os aplicativos possam obter tokens. O valor predefinido é false. Não anulável | booleano |
| appRoles | As funções expostas pelo aplicativo, que essa entidade de serviço representa. Para obter mais informações, consulte a definição da propriedade appRoles na entidade do aplicativo. Não anulável. | MicrosoftGraphAppRole[] |
| excluídoDateTime | Data e hora em que este objeto foi excluído. Sempre nulo quando o objeto não tiver sido excluído. | string (Somente leitura) |
| descrição | Campo de texto livre para fornecer uma descrição da entidade de serviço voltada para o usuário final interno. Portais de usuário final como MyApps exibe a descrição do aplicativo neste campo. O tamanho máximo permitido é de 1.024 caracteres | string |
| disabledByMicrosoftStatus | Especifica se a Microsoft desabilitou o aplicativo registrado. Os valores possíveis são: null (valor padrão), NotDisabled e DisabledDueToViolationOfServicesAgreement (os motivos podem incluir atividades suspeitas, abusivas ou maliciosas ou uma violação do Contrato de Serviços Microsoft) | string |
| displayName | O nome para exibição da entidade de serviço | string |
| home page | Página inicial ou página de destino do aplicativo. | string |
| id | O identificador exclusivo de uma entidade. Só de Leitura. | string (Somente leitura) |
| informação | Informações básicas de perfil do aplicativo adquirido, como marketing, suporte, termos de serviço e URLs de declaração de privacidade do aplicativo. Os termos de serviço e a declaração de privacidade são apresentados aos usuários através da experiência de consentimento do usuário. Para obter mais informações, consulte Como adicionar termos de serviço e declaração de privacidade para aplicativos registrados do Microsoft Entra | MicrosoftGraphInformationalUrl |
| keyCredenciais | A coleção de credenciais de chave associadas à entidade de serviço. Não anulável | MicrosoftGraphKeyCredential[] |
| loginUrl | Especifica a URL onde o provedor de serviços redireciona o usuário para o Microsoft Entra ID para autenticar. O Microsoft Entra ID usa a URL para iniciar o aplicativo do Microsoft 365 ou do Microsoft Entra My Apps. Quando em branco, o Microsoft Entra ID executa o logon iniciado pelo IdP para aplicativos configurados com logon único baseado em SAML. O usuário inicia o aplicativo a partir do Microsoft 365, do Microsoft Entra My Apps ou da URL do Microsoft Entra SSO. | string |
| logoutUrl | Especifica a URL que o serviço de autorização da Microsoft usa para sair de um usuário usando os protocolos de saída de canal frontal, back-channel ou SAML do OpenId Connect. | string |
| Observações | Campo de texto livre para capturar informações sobre a entidade de serviço, normalmente usado para fins operacionais. O tamanho máximo permitido é de 1.024 caracteres. | string |
| notificaçãoEndereços de e-mail | Especifica a lista de endereços de email para os quais o Microsoft Entra ID envia uma notificação quando o certificado ativo está próximo da data de validade. Isso é apenas para os certificados usados para assinar o token SAML emitido para aplicativos do Microsoft Entra Gallery. | string[] |
| passwordCredenciais | A coleção de credenciais de senha associadas à entidade de serviço. Não anulável. | MicrosoftGraphPasswordCredential[] |
| preferredSingleSignOnMode | Especifica o modo de logon único configurado para este aplicativo. O Microsoft Entra ID usa o modo de logon único preferido para iniciar o aplicativo do Microsoft 365 ou do Microsoft Entra My Apps. Os valores suportados são password, saml, notSupported e oidc. | string |
| preferredTokenSigningKeyEndDateTime | Especifica a data de expiração da keyCredential usada para assinatura de token, marcada por preferredTokenSigningKeyThumbprint. Atualmente, não há suporte para a atualização desse atributo. Para obter detalhes, consulte Diferenças de propriedade ServicePrincipal. | string |
| preferredTokenSigningKeyThumbprint | Essa propriedade pode ser usada em aplicativos SAML (aplicativos que preferiram SingleSignOnMode definido como saml) para controlar qual certificado é usado para assinar as respostas SAML. Para aplicativos que não são SAML, não escreva ou confie nessa propriedade. | string |
| publishedPermissionScopes | As permissões delegadas expostas pelo aplicativo. Para obter mais informações, consulte a propriedade oauth2PermissionScopes na propriedade api da entidade do aplicativo. Não anulável. Nota: Esta propriedade é chamada oauth2PermissionScopes na v1.0. | MicrosoftGraphPermissionScope[] |
| publisherName | O nome do locatário do Microsoft Entra que publicou o aplicativo. | string |
| replyUrls | As URLs para as quais os tokens de usuário são enviados para entrar com o aplicativo associado ou os URIs de redirecionamento para os quais os códigos de autorização OAuth 2.0 e os tokens de acesso são enviados para o aplicativo associado. Não anulável. | string[] |
| samlMetadataUrl | A url onde o serviço expõe metadados SAML para federação. | string |
| samlSingleSignOnConfigurações | A coleção para configurações relacionadas ao logon único saml. | MicrosoftGraphSamlSingleSignOnSettings |
| servicePrincipalNames | Contém a lista de identifiersUris, copiados do aplicativo associado. Mais valores podem ser adicionados às aplicações híbridas. Esses valores podem ser usados para identificar as permissões expostas por este aplicativo dentro do Microsoft Entra ID. Por exemplo, os aplicativos cliente podem especificar um URI de recurso baseado nos valores dessa propriedade para adquirir um token de acesso, que é o URI retornado na declaração 'aud'. O operador any é necessário para expressões de filtro em propriedades de vários valores. Não anulável | string[] |
| servicePrincipalType | Identifica se a entidade de serviço representa um aplicativo ou uma identidade gerenciada. Isso é definido pelo Microsoft Entra ID internamente. Para uma entidade de serviço que representa um aplicativo, isso é definido como Aplicativo. Para uma entidade de serviço que representa uma identidade gerenciada, ela é definida como ManagedIdentity. O tipo SocialIdp é para uso interno. | string |
| signInAudience | Especifica as contas da Microsoft com suporte para o aplicativo atual. Só de Leitura. Os valores suportados são:AzureADMyOrg: Usuários com uma conta corporativa ou escolar da Microsoft no locatário Microsoft Entra da minha organização (locatário único). AzureADMultipleOrgs: Usuários com uma conta corporativa ou escolar da Microsoft em qualquer locatário Microsoft Entra (multilocatário) da organização. AzureADandPersonalMicrosoftAccount: Usuários com uma conta pessoal da Microsoft ou uma conta corporativa ou de estudante no locatário Microsoft Entra de qualquer organização. PersonalMicrosoftAccount: Utilizadores apenas com uma conta Microsoft pessoal. | string (Somente leitura) |
| etiquetas | Cadeias de caracteres personalizadas que podem ser usadas para categorizar e identificar a entidade de serviço. Não anulável | string[] |
| tokenEncryptionKeyId | Especifica o keyId de uma chave pública da coleção keyCredentials. Quando configurado, o Microsoft Entra ID emite tokens para este aplicativo criptografado usando a chave especificada por essa propriedade. O código do aplicativo que recebe o token criptografado deve usar a chave privada correspondente para descriptografar o token antes que ele possa ser usado para o usuário conectado. | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| tipo | O tipo de recurso | 'Microsoft.Graph/servicePrincipals' (Somente leitura) |
| verifiedPublisher | Especifica o editor verificado do aplicativo vinculado a essa entidade de serviço. | MicrosoftGraphVerifiedPublisher |
MicrosoftGraphKeyValue
| Nome | Descrição | valor |
|---|---|---|
| key | Contém o nome do campo ao qual um valor está associado. | string |
| valor | Contém o valor correspondente para a chave especificada. | string |
MicrosoftGraphAddIn
| Nome | Descrição | valor |
|---|---|---|
| id | O identificador exclusivo para o objeto addIn. | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| propriedades | A coleção de pares chave-valor que definem parâmetros que o serviço consumidor pode usar ou chamar. Você deve especificar essa propriedade ao executar uma operação POST ou PATCH na coleção addIns. Obrigatório. | MicrosoftGraphKeyValue[] |
| tipo | O nome exclusivo para a funcionalidade exposta pelo aplicativo. | string |
MicrosoftGraphAppRole
| Nome | Descrição | valor |
|---|---|---|
| allowedMemberTypes | Especifica se essa função de aplicativo pode ser atribuída a usuários e grupos (definindo como ['Usuário']), a outros aplicativos (definindo como ['Aplicativo'] ou a ambos (definindo como ['Usuário', 'Aplicativo']). As funções de aplicativo que suportam a atribuição a entidades de serviço de outros aplicativos também são conhecidas como permissões de aplicativo. O valor 'Application' só é suportado para funções de aplicativo definidas em entidades de aplicativo. | string[] |
| descrição | A descrição da função do aplicativo. Isso é exibido quando a função do aplicativo está sendo atribuída e, se a função do aplicativo funcionar como uma permissão do aplicativo, durante as experiências de consentimento. | string |
| displayName | Nome para exibição da permissão que aparece na atribuição de função do aplicativo e experiências de consentimento. | string |
| id | Identificador de função exclusivo dentro da coleção appRoles. Você deve especificar um novo identificador GUID ao criar uma nova função de aplicativo. | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | Ao criar ou atualizar uma função de aplicativo, isso deve ser definido como true (que é o padrão). Para excluir uma função, ela deve primeiro ser definida como false. Nesse ponto, em uma chamada subsequente, essa função pode ser removida. | booleano |
| origem | Especifica se a função do aplicativo é definida no objeto do aplicativo ou na entidade servicePrincipal. Não deve ser incluído em nenhum pedido de POST ou PATCH. Só de Leitura. | string (Somente leitura) |
| valor | Especifica o valor a ser incluído na declaração de funções em tokens de ID e tokens de acesso autenticando um usuário ou entidade de serviço atribuída. Não deve exceder 120 caracteres de comprimento. Os caracteres permitidos são: ! # $ % & ' ( ) * + , -. / : ; = ? @ [ ] ^ + _ { } ~, e caracteres nos intervalos 0-9, A-Z e a-z. Qualquer outro personagem, incluindo o caractere de espaço, não é permitido. Pode não começar com .. | string |
MicrosoftGraphInformationalUrl
| Nome | Descrição | valor |
|---|---|---|
| logoUrl | URL da CDN para o logotipo do aplicativo, somente leitura. | string (Somente leitura) |
| marketingUrl | Link para a página de marketing do aplicativo. Por exemplo, https://www.contoso.com/app/marketing | string |
| privacyStatementUrl | Link para a declaração de privacidade do aplicativo. Por exemplo, https://www.contoso.com/app/privacy | string |
| supportUrl | Link para a página de suporte do aplicativo. Por exemplo, https://www.contoso.com/app/support | string |
| termosOfServiceUrl | Link para a declaração de termos de serviço do aplicativo. Por exemplo, https://www.contoso.com/app/termsofservice | string |
MicrosoftGraphKeyCredential
| Nome | Descrição | valor |
|---|---|---|
| customKeyIdentifier | Um tipo binário de 40 caracteres que pode ser usado para identificar a credencial. Opcional. Quando não fornecido na carga útil, o padrão é a impressão digital do certificado. | string |
| displayName | Nome amigável para a chave. Opcional. | string |
| endDateTime | A data e a hora em que a credencial expira. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre na hora UTC. Por exemplo, meia-noite UTC de 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. | string |
| key | Valor para a credencial de chave. Deve ser um valor codificado em Base64. A partir de um certificado .cer, você pode ler a chave usando o método Convert.ToBase64String(). Para obter mais informações, consulte Obter a chave do certificado. | string |
| keyId | O identificador exclusivo da chave. | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| startDateTime | A data e a hora em que a credencial se torna válida. O tipo de carimbo de data/hora representa informações de data e hora usando o formato ISO 8601 e está sempre em hora UTC. Por exemplo, meia-noite UTC de 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. | string |
| tipo | O tipo de credencial de chave; por exemplo, Symmetric, AsymmetricX509Cert ou X509CertAndPassword. | cadeia |
| ativa | Uma cadeia de caracteres que descreve a finalidade para a qual a chave pode ser usada; por exemplo, None, Verify, PairwiseIdentifier, Delegation, Decrypt, Encrypt, HashedIdentifier, SelfSignedTls ou Sign. Se o uso for Sign, o tipo deve ser X509CertAndPassword e passwordCredentials para assinatura deve ser definida. | string |
MicrosoftGraphPasswordCredential
| Nome | Descrição | valor |
|---|---|---|
| displayName | Nome amigável para a senha. Opcional. | string |
| endDateTime | A data e a hora em que a senha expira são representadas usando o formato ISO 8601 e estão sempre no horário UTC. Por exemplo, meia-noite UTC de 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. Opcional. | string |
| hint | Contém os três primeiros caracteres da senha. Só de Leitura. | string (Somente leitura) |
| keyId | O identificador exclusivo da senha. | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| secretText | Somente leitura; Contém as senhas fortes geradas pelo Microsoft Entra ID com 16 a 64 caracteres. O valor da senha gerada só é retornado durante a solicitação POST inicial para addPassword. Não há como recuperar essa senha no futuro. | string (Somente leitura) |
| startDateTime | A data e a hora em que a senha se torna válida. O tipo de carimbo de data/hora representa informações de data e hora usando o formato ISO 8601 e está sempre em hora UTC. Por exemplo, meia-noite UTC de 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. Opcional. | string |
MicrosoftGraphPermissionScope
| Nome | Descrição | valor |
|---|---|---|
| adminConsentDescrição | Uma descrição das permissões delegadas, destinadas a serem lidas por um administrador que concede a permissão em nome de todos os usuários. Este texto aparece em experiências de consentimento de administrador em todo o locatário. | string |
| adminConsentDisplayName | O título da permissão, destinado a ser lido por um administrador que concede a permissão em nome de todos os usuários. | string |
| id | Identificador de permissão delegado exclusivo dentro da coleção de permissões delegadas definidas para um aplicativo de recurso. | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | Quando você cria ou atualiza uma permissão, essa propriedade deve ser definida como true (que é o padrão). Para excluir uma permissão, essa propriedade deve primeiro ser definida como false. Nesse momento, em uma chamada subsequente, a permissão pode ser removida. | booleano |
| tipo | Os valores possíveis são: Usuário e Administrador Especifica se essa permissão delegada deve ser considerada segura para usuários não administradores consentirem em nome de si mesmos ou se um consentimento de administrador deve ser sempre necessário. Embora o Microsoft Graph defina o requisito de consentimento padrão para cada permissão, o administrador do locatário pode substituir o comportamento em sua organização (permitindo, restringindo ou limitando o consentimento do usuário para essa permissão delegada). Para obter mais informações, consulte Configurar como os usuários consentem com aplicativos. | string |
| userConsentDescription | Uma descrição das permissões delegadas, destinadas a serem lidas por um usuário que concede a permissão em seu próprio nome. Este texto aparece em experiências de consentimento em que o usuário está consentindo apenas em seu nome. | string |
| userConsentDisplayName | Um título para a permissão, destinado a ser lido por um usuário que concede a permissão em seu próprio nome. Este texto aparece em experiências de consentimento em que o usuário está consentindo apenas em seu nome. | string |
| valor | Especifica o valor a ser incluído na declaração scp (escopo) em tokens de acesso. Não deve exceder 120 caracteres de comprimento. Os caracteres permitidos são: ! # $ % & ' ( ) * + , -. / : ; = ? @ [ ] ^ + _ { } ~, e caracteres nos intervalos 0-9, A-Z e a-z. Qualquer outro personagem, incluindo o caractere de espaço, não é permitido. Pode não começar com .. | string |
MicrosoftGraphSamlSingleSignOnSettings
| Nome | Descrição | valor |
|---|---|---|
| Estado de retransmissão | O URI relativo para o qual o provedor de serviços redirecionaria após a conclusão do fluxo de logon único. | string |
MicrosoftGraphVerifiedPublisher
| Nome | Descrição | valor |
|---|---|---|
| adicionadoDateTime | O carimbo de data/hora quando o editor verificado foi adicionado pela primeira vez ou atualizado mais recentemente. | string |
| displayName | O nome do editor verificado da conta do Microsoft Partner Network (MPN) do editor do aplicativo. | string |
| verifiedPublisherId | A ID do editor verificado da conta do Partner Center do editor do aplicativo. | string |