Поделиться через

Разрешения на регистрацию приложений для пользовательских ролей в идентификаторе Microsoft Entra

  • Статья

В этой статье описаны разрешения на регистрацию приложения, доступные для определений пользовательских ролей в идентификаторе Microsoft Entra ID. Эти разрешения позволяют администраторам управлять регистрацией приложений с определенными уровнями доступа, обеспечивая безопасное и эффективное управление приложениями в организации.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

Разрешения для управления приложениями с одним клиентом

При выборе разрешений для пользовательской роли вы можете предоставить доступ только к приложениям с одним клиентом. Однотенантные приложения доступны только пользователям в организации Microsoft Entra, где зарегистрировано приложение.

Приложения с одним клиентом определяются как поддерживаемые типы учетных записей, равные "Учетные записи только в этом каталоге организации". В API Graph однотенантные приложения имеют свойство signInAudience с значением "AzureADMyOrg".

Чтобы предоставить доступ к управлению только однотенантными приложениями, используйте разрешения, указанные ниже в приложениях подтипа.myOrganization. Например, microsoft.directory/applications.myOrganization/basic/update.

Общие сведения о пользовательских ролях см. в описании подтипа терминов, разрешений и набора свойств. Следующие сведения относятся к регистрации приложений.

Создание и удаление

Создавать регистрации приложений можно при наличии по крайней мере одного из двух разрешений, отличающихся принципом действия:

microsoft.directory/applications/createAsOwner

Назначение этого разрешения приводит к добавлению создателя в качестве первого владельца регистрации созданного приложения. Регистрация созданного приложения рассчитывает на квоту созданных объектов создателя 250.

microsoft.directory/applications/create

Предоставление этого разрешения запрещает добавлению создателя в качестве первого владельца регистрации приложения и исключает регистрацию приложения из квоты 250-объектов создателя. Используйте это разрешение тщательно, так как нет ничего, чтобы не препятствовать назначению создавать регистрации приложений до достижения квоты на уровне каталога.

Если назначены оба разрешения, то разрешение /create имеет приоритет. Хотя разрешение /createAsOwner не добавляет создателя в качестве первого владельца, владельцы могут быть указаны во время создания регистрации приложения при использовании API Graph или командлетов PowerShell.

Разрешения на создание предоставляют доступ к команде создания регистрации.

Эти разрешения предоставляют доступ к команде создания регистрации на портале

Существует два разрешения для предоставления возможности удалять регистрации приложений:

microsoft.directory/applications/delete

Предоставляет возможность удалять регистрации приложений независимо от подтипа, включая однотенантные и мультитенантные приложения.

microsoft.directory/applications.myOrganization/delete

Предоставляет возможность удалять регистрации приложений, которые доступны только для учетных записей в организации, или приложений с одним клиентом (подтип myOrganization).

Эти разрешения предоставляют доступ к команде удаления регистрации приложения.

Примечание.

При назначении роли, содержащей разрешения create, назначение роли должно быть выполнено в области каталога. Разрешение на создание, назначенное в области ресурсов, не предоставляет возможность создавать регистрации приложений.

Читать

Все пользователи, входящие в организацию, могут читать сведения о регистрации приложения по умолчанию. Однако гостевые пользователи и субъекты-службы приложений не могут этого делать. Если вы планируете назначить роль гостевому пользователю или приложению, необходимо включить соответствующие разрешения на чтение.

microsoft.directory/applications/allProperties/read

Предоставляет возможность считывать все свойства однотенантных и мультитенантных приложений за пределами свойств, которые не могут быть прочитаны в любой ситуации, например учетные данные.

microsoft.directory/applications.myOrganization/allProperties/read

Предоставляет те же разрешения, что и microsoft.directory/applications/allProperties/read, но только для приложений с одним клиентом.

microsoft.directory/applications/owners/read

Предоставляет возможность чтения свойств владельцев в однотенантных и мультитенантных приложениях. Предоставляет доступ ко всем полям на странице владельцев регистрации приложений:

Эти разрешения предоставляют доступ к странице владельцев регистрации приложений

microsoft.directory/applications/standard/read

Предоставляет доступ на чтение стандартных свойств регистрации приложения. К ним относятся свойства на страницах регистрации приложений.

microsoft.directory/applications.myOrganization/standard/read

Предоставляет те же разрешения, что и microsoft.directory/applications/standard/read, но только для приложений с одним клиентом.

Обновить

Разрешения Update в идентификаторе Microsoft Entra позволяют администраторам изменять различные свойства регистрации приложений. Эти разрешения необходимы для обслуживания и управления приложениями с одним клиентом и мультитенантными приложениями. В зависимости от предоставленного разрешения администраторы могут обновлять свойства, такие как поддерживаемые типы учетных записей, параметры проверки подлинности, сведения о фирменной символии и многое другое. Ниже приведен подробный список доступных разрешений на обновление и их конкретные возможности.

microsoft.directory/applications/allProperties/update

Позволяет обновлять все свойства в однотенантных и мультитенантных приложениях.

microsoft.directory/applications.myOrganization/allProperties/update

Предоставляет те же разрешения, что и microsoft.directory/applications/allProperties/update, но только для приложений с одним клиентом.

microsoft.directory/applications/audience/update

Позволяет обновлять свойство поддерживаемой учетной записи (signInAudience) в однотенантных и мультитенантных приложениях.

Это разрешение предоставляет доступ к свойству типа учетной записи, поддерживаемой регистрацией приложения, на странице проверки подлинности

microsoft.directory/applications.myOrganization/audience/update

Предоставляет те же разрешения, что и microsoft.directory/applications/audience/update, но только для приложений с одним клиентом.

microsoft.directory/applications/authentication/update

Позволяет обновлять URL-адрес ответа, URL-адрес выхода, неявный поток и свойства домена издателя в однотенантных и мультитенантных приложениях. Предоставляет доступ ко всем полям на странице проверки подлинности регистрации приложения, за исключением поддерживаемых типов учетных записей:

Предоставляет доступ к проверке подлинности регистрации приложений, но не к поддерживаемым типам учетных записей

microsoft.directory/applications.myOrganization/authentication/update

Предоставляет те же разрешения, что и microsoft.directory/applications/authentication/update, но только для приложений с одним клиентом.

microsoft.directory/applications/basic/update

Позволяет обновлять имя, логотип, URL-адрес домашней страницы, URL-адрес службы и URL-адрес заявления о конфиденциальности для однотенантных и мультитенантных приложений. Предоставляет доступ ко всем полям на странице фирменной символики регистрации приложений:

Это разрешение предоставляет доступ к странице фирменной символики регистрации приложения

microsoft.directory/applications.myOrganization/basic/update

Предоставляет те же разрешения, что и microsoft.directory/applications/basic/update, но только для приложений с одним клиентом.

microsoft.directory/applications/credentials/update

Позволяет обновлять сертификаты и свойства секретов клиента в однотенантных и мультитенантных приложениях. Предоставляет доступ ко всем полям на странице сертификатов и секретов регистрации приложений:

Это разрешение предоставляет доступ к странице сертификатов и секретов регистрации приложения

microsoft.directory/applications.myOrganization/credentials/update

Предоставляет те же разрешения, что и microsoft.directory/applications/credentials/update, но только для приложений с одним клиентом.

microsoft.directory/applications/owners/update

Позволяет обновлять свойство владельца в однотенантном и мультитенантном режиме. Предоставляет доступ ко всем полям на странице владельцев регистрации приложений:

Эти разрешения предоставляют доступ к странице владельцев регистрации приложений

microsoft.directory/applications.myOrganization/owners/update

Предоставляет те же разрешения, что и microsoft.directory/applications/owners/update, но только для приложений с одним клиентом.

microsoft.directory/applications/permissions/update

Это разрешение позволяет обновлять различные свойства для однотенантных и мультитенантных приложений, включая делегированные разрешения, разрешения приложения, авторизованные клиентские приложения, необходимые разрешения и свойства согласия. Он не предоставляет возможность выполнять согласие. Предоставляет доступ ко всем полям в разрешениях API регистрации приложения и страницам предоставления API:

Эти разрешения предоставляют доступ к странице разрешений API регистрации приложений

Эти разрешения предоставляют доступ к странице предоставления API регистрации приложений

microsoft.directory/applications.myOrganization/permissions/update

Предоставляет те же разрешения, что и microsoft.directory/applications/permissions/update, но только для приложений с одним клиентом.

Следующие шаги