Поделиться через


Разрешения на регистрацию приложений для пользовательских ролей в идентификаторе Microsoft Entra

В этой статье описаны разрешения на регистрацию приложения, доступные для определений пользовательских ролей в идентификаторе Microsoft Entra ID. Эти разрешения позволяют администраторам управлять регистрацией приложений с определенными уровнями доступа, обеспечивая безопасное и эффективное управление приложениями в организации.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

Разрешения для управления приложениями с одним клиентом

При выборе разрешений для пользовательской роли вы можете предоставить доступ к управлению только приложениями с одним клиентом. Однотенантные приложения доступны только пользователям в организации Microsoft Entra, где зарегистрировано приложение.

Приложения с одним клиентом определяются как поддерживаемые типы учетных записей, равные "Учетные записи только в этом каталоге организации". В API Graph однотенантные приложения имеют свойство signInAudience с значением "AzureADMyOrg".

Чтобы предоставить доступ к управлению только однотенантными приложениями, используйте разрешения, указанные ниже в приложениях подтипа.myOrganization. Например, microsoft.directory/applications.myOrganization/basic/update.

Общие сведения о пользовательских ролях см. в описании подтипа терминов, разрешений и набора свойств. Следующие сведения относятся к регистрации приложений.

Создание и удаление

Для создания регистраций приложений доступны два разрешения, каждое из которых отличается своим поведением:

microsoft.directory/applications/createAsOwner

Назначение этого разрешения приводит к добавлению создателя в качестве первого владельца регистрации созданного приложения. Регистрация созданного приложения включается в квоту создателя из 250 созданных объектов.

microsoft.directory/приложения/создать

Предоставление этого разрешения предотвращает добавление создателя в качестве первого владельца регистрации приложения и исключает регистрацию приложения из лимита в 250 объектов для создателя. Используйте это разрешение с осторожностью, так как ничто не мешает обладателю разрешения создавать регистрации приложений до достижения квоты на уровне каталога.

Если назначены оба разрешения, то разрешение /create имеет приоритет. Хотя разрешение /createAsOwner не добавляет создателя в качестве первого владельца, владельцы могут быть указаны во время создания регистрации приложения при использовании API Graph или командлетов PowerShell.

Разрешения предоставляют доступ к команде New registration.

Эти права доступа предоставляют доступ к команде портала Новой Регистрации

Существует два разрешения для предоставления возможности удалять регистрации приложений:

microsoft.directory/applications/delete

Предоставляет возможность удалять регистрации приложений независимо от подтипа, включая однотенантные и мультитенантные приложения.

microsoft.directory/applications.myOrganization/delete

Предоставляет возможность удалять регистрации приложений, которые доступны только для учетных записей в организации, или приложений с одним клиентом (подтип myOrganization).

Эти разрешения предоставляют доступ к команде удаления регистрации приложения.

Примечание.

При назначении роли, содержащей разрешения на создание, назначение роли должно происходить в области каталога. Разрешение на создание, назначенное на уровне области ресурсов, не предоставляет возможности создавать регистрации приложений.

Читать

Все пользователи, входящие в организацию, могут читать сведения о регистрации приложения по умолчанию. Однако гостевые пользователи и главные службы приложений не могут. Если вы планируете назначить роль гостевому пользователю или приложению, необходимо включить соответствующие разрешения на чтение.

всё свойства (read) приложения в microsoft.directory

Предоставляет возможность считывать все свойства однотенантных и мультитенантных приложений за пределами свойств, которые не могут быть прочитаны в любой ситуации, например учетные данные.

microsoft.directory/applications.myOrganization/allProperties/read

Предоставляет те же разрешения, что и microsoft.directory/applications/allProperties/read, но только для приложений с одним клиентом.

microsoft.directory/applications/owners/read

Обеспечивает возможность чтения свойств владельцев в одноарендаторных и многоарендаторных приложениях. Предоставляет доступ ко всем полям на странице владельцев регистрации приложений:

Эти разрешения предоставляют доступ к странице владельцев регистрации приложений

microsoft.directory/applications/standard/read

Предоставляет доступ на чтение стандартных свойств регистрации приложения. К ним относятся свойства на страницах регистрации приложений.

microsoft.directory/applications.myOrganization/standard/read

Предоставляет те же разрешения, что и microsoft.directory/applications/standard/read, но только для приложений с одним клиентом.

Обновить

Разрешения Update в идентификаторе Microsoft Entra позволяют администраторам изменять различные свойства регистрации приложений. Эти разрешения необходимы для обслуживания и управления приложениями с одним клиентом и мультитенантными приложениями. В зависимости от предоставленного разрешения администраторы могут обновлять свойства, такие как поддерживаемые типы учетных записей, параметры проверки подлинности, сведения о фирменной символии и многое другое. Ниже приведен подробный список доступных разрешений на обновление и их конкретные возможности.

microsoft.directory/applications/allProperties/update

Позволяет обновлять все свойства в однотенантных и мультитенантных приложениях.

microsoft.directory/applications.myOrganization/allProperties/update

Предоставляет те же разрешения, что и microsoft.directory/applications/allProperties/update, но только для приложений с одним клиентом.

microsoft.directory/applications/audience/update

Позволяет возможность обновления свойства типа поддерживаемой учетной записи (signInAudience) в однотенантных и мультитенантных приложениях.

Это разрешение предоставляет доступ к свойству типа учетной записи, поддерживаемой регистрацией приложения, на странице проверки подлинности

microsoft.directory/applications.myOrganization/audience/update

Предоставляет те же разрешения, что и microsoft.directory/applications/audience/update, но только для приложений с одним клиентом.

microsoft.directory/applications/authentication/update

Позволяет обновлять URL-адрес ответа, URL-адрес выхода, неявный поток и свойства домена издателя в однотенантных и мультитенантных приложениях. Предоставляет доступ ко всем полям на странице проверки подлинности регистрации приложения, за исключением поддерживаемых типов учетных записей:

Предоставляет доступ к проверке подлинности регистрации приложений, но не к поддерживаемым типам учетных записей

microsoft.directory/applications.myOrganization/authentication/update

Предоставляет те же разрешения, что и microsoft.directory/applications/authentication/update, но только для приложений с одним клиентом.

microsoft.directory/приложения/базовый/обновление

Позволяет обновлять имя, логотип, URL-адрес домашней страницы, URL-адрес службы и URL-адрес заявления о конфиденциальности для однотенантных и мультитенантных приложений. Предоставляет доступ ко всем полям на странице фирменной символики регистрации приложений:

Это разрешение предоставляет доступ к странице фирменной символики регистрации приложения

microsoft.directory/applications.myOrganization/basic/update

Предоставляет те же разрешения, что и microsoft.directory/applications/basic/update, но только для приложений с одним клиентом.

microsoft.directory/applications/credentials/update

Позволяет обновлять сертификаты и свойства секретов клиента в однотенантных и мультитенантных приложениях. Предоставляет доступ ко всем полям на странице сертификатов и секретов регистрации приложений:

Это разрешение предоставляет доступ к странице сертификатов и секретов регистрации приложения

microsoft.directory/applications.myOrganization/credentials/update

Предоставляет те же разрешения, что и microsoft.directory/applications/credentials/update, но только для приложений с одним клиентом.

microsoft.directory/applications/owners/update

Позволяет обновлять свойство владельца в одноарендном и многоарендном режиме. Предоставляет доступ ко всем полям на странице владельцев регистрации приложений:

Эти разрешения предоставляют доступ к странице владельцев регистрации приложений

microsoft.directory/applications.myOrganization/owners/update

Предоставляет те же разрешения, что и microsoft.directory/applications/owners/update, но только для приложений с одним клиентом.

microsoft.directory/applications/permissions/update

Это разрешение позволяет обновлять различные свойства для однотенантных и мультитенантных приложений, включая делегированные разрешения, разрешения приложения, авторизованные клиентские приложения, необходимые разрешения и свойства согласия. Он не предоставляет возможность давать согласие. Предоставляет доступ ко всем полям в разрешениях API на страницах регистрации приложения и раскрытия API.

Эти разрешения предоставляют доступ к странице разрешений API регистрации приложений

Это разрешение предоставляет доступ к странице

microsoft.directory/applications.myOrganization/permissions/update

Предоставляет те же разрешения, что и microsoft.directory/applications/permissions/update, но только для приложений с одним клиентом.

Следующие шаги