Тип ресурса application
Пространство имен: microsoft.graph
Представляет приложение. Любое приложение, которое передает проверку подлинности в Microsoft Entra ID, должно быть зарегистрировано в платформа удостоверений Майкрософт. Регистрация приложения включает Microsoft Entra ID о приложении, включая URL-адрес, в котором оно находится, URL-адрес для отправки ответов после проверки подлинности, универсальный код ресурса (URI) для идентификации приложения и многое другое.
Наследуется от directoryObject.
Этот ресурс относится к открытому типу, который позволяет передавать другие свойства.
Этот ресурс поддерживает:
- добавление собственных данных к настраиваемым свойствам в виде расширений;
- отслеживание дополнений, удалений и обновлений с помощью запроса изменений (функция delta).
- Синтаксис альтернативного ключа. Свойство
appIdявляется поддерживаемым альтернативным ключом. Дополнительные сведения см. в разделе Получение приложения.
Методы
| Метод | Возвращаемый тип | Описание |
|---|---|---|
| Список | Коллекция application | Получение списка приложений в организации. |
| Создание | application | Создает (регистрирует) новое приложение. |
| Получение | application | Считывание свойств и связей объекта application. |
| Обновление | Нет | Обновление объекта application. |
| Upsert | application | Создайте новое приложение, если оно не существует, или обновите свойства существующего приложения. |
| удаление; | Нет | Удаление объекта application. |
| Получение дельты | application | Создавайте, обновляйте или удаляйте приложения без необходимости чтения всей коллекции ресурсов. |
| Удаленные элементы | ||
| List | Коллекция directoryObject | Получение списка недавно удаленных приложений. |
| Получение | directoryObject | Получение свойств недавно удаленного приложения. |
| Восстановление | directoryObject | Восстановление недавно удаленного приложения. |
| Удалить без возможности восстановления | Нет | Окончательное удаление приложения. |
| Перечисление удаленных элементов, принадлежащих пользователю | Коллекция directoryObject | Получение приложений, принадлежащих пользователю, которые удалены в клиенте за последние 30 дней. |
| Сертификаты и секреты | ||
| Добавление пароля | passwordCredential | Добавление надежного пароля в приложение. |
| Удаление пароля | passwordCredential | Удаление пароля приложения. |
| Добавление ключа | keyCredential | Добавление учетных данных ключа в приложение. |
| Удаление ключа | Нет | Удаление учетных данных ключа из приложения. |
| Владельцы | ||
| List | Коллекция directoryObject | Получение владельцев приложения. |
| Добавление | directoryObject | Назначение владельца приложению. Владельцами приложений могут быть пользователи или субъекты-службы. |
| Remove | Нет | Удаление владельца приложения. Рекомендуется, чтобы у приложений было по крайней мере два владельца. |
| Проверенный издатель | ||
| Set | Нет | Установка проверенного издателя приложения. |
| Отмена установки | Нет | Удаление проверенного издателя приложения. |
Свойства
Важно!
Определенное использование $filter и параметра запроса $search поддерживается только при применении заголовка ConsistencyLevel с присвоенным значением eventual и $count. Дополнительные сведения см. в разделе Расширенные возможности запросов к объектам каталогов.
| Свойство | Тип | Описание |
|---|---|---|
| addIns | Коллекция addIn | Определяет пользовательское поведение, которое служба может использовать для вызова приложения в определенных контекстах. Например, приложения, которые могут визуализировать потоки файлов , могут задать свойство addIns для функции FileHandler. Это позволяет таким службам, как Microsoft 365, вызывать приложение в контексте документа, над которым работает пользователь. |
| api | apiApplication | Задает параметры приложения, реализующего веб-API. |
| appId | String | Уникальный идентификатор приложения, назначенного приложению Microsoft Entra ID. Значение null не допускается. Только для чтения. Альтернативный ключ. Поддерживает $filter (eq). |
| applicationTemplateId | Строка | Уникальный идентификатор applicationTemplate. Поддерживает $filter (eq, not, ne). Только для чтения.
null Значение , если приложение не было создано на основе шаблона приложения. |
| appRoles | Коллекция appRole | Коллекция ролей, определенных для приложения. С помощью команды назначения ролей приложений эти роли можно назначать пользователям, группам или субъектам-службам, связанным с другими приложениями. Значение null не допускается. |
| certification | certification | Указывает состояние сертификации приложения. |
| createdDateTime | DateTimeOffset | Дата и время регистрации приложения. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда указывает время в формате UTC. Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. Только для чтения. Поддерживает $filter (eq, ne, not, ge, le, in и eq для значений null) и $orderby. |
| deletedDateTime | DateTimeOffset | Дата и время удаления приложения. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда указывает время в формате UTC. Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. Только для чтения. |
| description | Строка | Произвольное текстовое поле для описания объекта приложения конечным пользователям. Максимальный допустимый размер — 1024 символа. Поддерживает $filter (eq, ne, not, ge, le, startsWith) и $search. |
| disabledByMicrosoftStatus | Строка | Указывает, отключила ли корпорация Майкрософт зарегистрированное приложение. Возможные значения: null (значение по умолчанию), NotDisabled, и DisabledDueToViolationOfServicesAgreement (причины включают подозрительные, оскорбительные или вредоносные действия или нарушение Соглашения об использовании служб Майкрософт). Поддерживает $filter (eq, ne, not). |
| displayName | String | Отображаемое имя приложения. Максимальная длина: 256 символов. Поддерживает $filter (eq, ne, not, ge, le, in, startsWith и eq для значений null), $search и $orderby. |
| groupMembershipClaims | String | Настраивает утверждение groups, выданное в маркере пользователя или маркере доступа OAuth 2.0, которого ожидает приложение. Чтобы задать этот атрибут, используйте одно из следующих допустимых строковых значений: None, SecurityGroup (для групп безопасности и Microsoft Entra ролей), All (при этом получаются все группы безопасности, группы рассылки и Microsoft Entra роли каталогов, членом которыми является пользователь, вошедшего в систему. |
| id | String | Уникальный идентификатор объекта приложения. Это свойство называется идентификатором объекта в Центр администрирования Microsoft Entra. Наследуется от directoryObject. Ключ. Значение null не допускается. Только для чтения. Поддерживает $filter (eq, ne, not, in). |
| identifierUris | Коллекция String | Это значение, также известное как URI идентификатора приложения, задается, когда приложение используется в качестве приложения-ресурса. ИдентификаторUris выступает в качестве префикса для областей, на которые вы ссылаетесь в коде API, и он должен быть глобально уникальным. Можно использовать предоставленное по умолчанию значение, которое находится в форме api://<appId>, или указать более читаемый URI, например https://contoso.com/api. Дополнительные сведения о допустимых шаблонах идентификаторовUris и рекомендациях см. в Microsoft Entra рекомендациях по обеспечению безопасности регистрации приложений. Значение null не допускается. Поддерживает $filter (eq, ne, ge, le, startsWith). |
| info | informationalUrl | Основные сведения о профиле приложения, такие как маркетинг приложения, поддержка, условия обслуживания и URL-адреса заявлений о конфиденциальности. Условия обслуживания и заявление о конфиденциальности отображаются в окне запроса согласия пользователя. Дополнительные сведения см. в разделе Практическое руководство. Добавление условий обслуживания и заявления о конфиденциальности для зарегистрированных Microsoft Entra приложений. Поддерживает $filter (eq, ne, not, ge, le и eq для значений null). |
| isDeviceOnlyAuthSupported | Логический | Указывает, поддерживает ли приложение проверку подлинности устройства без пользователя. Значение по умолчанию: false. |
| isFallbackPublicClient | Boolean | Указывает резервный тип приложения как общедоступный клиент, например установленное приложение, запущенное на мобильном устройстве. Значение по умолчанию — false, что означает, что резервный тип приложения является конфиденциальным клиентом, например веб-приложением. Существуют определенные сценарии, в которых Microsoft Entra ID не могут определить тип клиентского приложения. Например, поток ROPC , в котором он настроен без указания URI перенаправления. В таких случаях Microsoft Entra ID интерпретирует тип приложения на основе значения этого свойства. |
| keyCredentials | Коллекция keyCredential | Коллекция ключевых учетных данных, связанных с приложением. Значение null не допускается. Поддерживает $filter (eq, not, ge, le). |
| logo | Stream | Основной логотип для приложения. Значение null не допускается. |
| nativeAuthenticationApisEnabled | nativeAuthenticationApisEnabled | Указывает, включены ли api собственной проверки подлинности для приложения. Возможные значения: none и all. Значение по умолчанию: none. Дополнительные сведения см. в статье Собственная проверка подлинности. |
| notes | String | Заметки, важные для управления приложением. |
| oauth2RequiredPostResponse | Boolean | Указывает, разрешает ли Microsoft Entra ID в составе запросов маркера OAuth 2.0 запросы POST, а не запросы GET. Значение по умолчанию — false. В таком случае позволяются только запросы GET. |
| optionalClaims | optionalClaims | Разработчики приложений могут настроить необязательные утверждения в своих приложениях Microsoft Entra, чтобы указать утверждения, отправляемые в приложение службой маркеров безопасности Майкрософт. Дополнительные сведения см. в статье Инструкции: предоставление необязательных утверждений для приложения. |
| parentalControlSettings | parentalControlSettings | Указывает параметры родительского контроля для приложения. |
| passwordCredentials | Коллекция passwordCredential | Коллекция учетных данных паролей, связанных с приложением. Значение null не допускается. |
| publicClient | publicClientApplication | Указывает параметры для установленных клиентов, например классических или мобильных устройств. |
| publisherDomain | String | Проверенный домен издателя для приложения. Только для чтения. Дополнительные сведения см. в статье Практическое руководство. Настройка домена издателя приложения. Поддерживает $filter (eq, ne, ge, le, startsWith). |
| requestSignatureVerification | requestSignatureVerification | Указывает, требуется ли приложению Microsoft Entra ID для проверки подписанных запросов проверки подлинности. |
| requiredResourceAccess | Коллекция requiredResourceAccess | Указывает ресурсы, к которым приложению необходимо получить доступ. В этом свойстве также указывается набор делегированных разрешений и ролей приложения, необходимых для каждого из этих ресурсов. Эта настройка доступа к необходимым ресурсам определяет порядок предоставления согласия. Можно настроить не более 50 служб ресурсов (API). С середины октября 2021 г. общее количество необходимых разрешений не должно превышать 400. Дополнительные сведения см. в разделе Ограничения запрашиваемых разрешений для каждого приложения. Значение null не допускается. Поддерживает $filter (eq, not, ge, le). |
| samlMetadataUrl | Строка | URL-адрес, по которому служба предоставляет метаданные SAML для федерации. Это свойство допустимо только для приложений с одним клиентом. Допускается значение null. |
| serviceManagementReference | Строка | Ссылается на контактные данные приложения или службы из базы данных службы или управления активами. Допускается значение null. |
| servicePrincipalLockConfiguration | servicePrincipalLockConfiguration | Указывает, должны ли конфиденциальные свойства мультитенантного приложения быть заблокированы для редактирования после подготовки приложения в клиенте. Допускается значение null.
null по умолчанию. |
| signInAudience | String | Указывает, учетные записи Майкрософт, которые поддерживаются для текущего приложения. Возможные значения: AzureADMyOrg (по умолчанию), AzureADMultipleOrgs, AzureADandPersonalMicrosoftAccount, и PersonalMicrosoftAccount. Дополнительные сведения см. в таблице. Значение этого объекта также ограничивает количество разрешений, которые приложение может запрашивать. Дополнительные сведения см. в разделе Ограничения запрашиваемых разрешений для каждого приложения. Значение этого свойства влияет на другие свойства объекта приложения. В результате при изменении этого свойства может потребоваться сначала изменить другие свойства. Дополнительные сведения см. в разделе Различия в проверке для signInAudience. Поддерживает $filter (eq, ne, not). |
| spa | spaApplication | Указывает параметры для одностраничного приложения, в том числе URL-адреса выхода и URI перенаправления для кодов авторизации и маркеров доступа. |
| tags | Коллекция String | Настраиваемые строки, которые можно использовать для классификации и определения приложения. Значение null не допускается. Строки, добавленные здесь, также будут отображаться в свойстве tags всех связанных субъектов-служб. Поддерживает $filter (eq, , genot, le, startsWith) и $search. |
| tokenEncryptionKeyId | String | Задает значение открытого ключа keyId из коллекции keyCredentials. После настройки Microsoft Entra ID шифрует все выдаваемые маркеры с помощью ключа, на который указывает это свойство. Код приложения, получающий зашифрованный маркер, должен использовать соответствующий закрытый ключ для расшифровки маркера, прежде чем его можно будет применить для пользователя, выполнившего вход. |
| uniqueName | Строка | Уникальный идентификатор, который можно назначить приложению и использовать в качестве альтернативного ключа. Неизменяемый. Только для чтения. |
| verifiedPublisher | verifiedPublisher | Указывает проверенного издателя приложения. Дополнительные сведения о том, как проверка издателя помогает поддерживать безопасность приложений, надежность и соответствие требованиям, см. в разделе Проверка издателя. |
| web | webApplication | Указывает параметры для веб-приложения. |
Значения signInAudience
| Значение | Описание |
|---|---|
| AzureADMyOrg | Пользователи с рабочей или учебной учетной записью Майкрософт в клиенте Microsoft Entra моей организации (один клиент). Это значение по умолчанию для свойства signInAudience. |
| AzureADMultipleOrgs | Пользователи с рабочей или учебной учетной записью Майкрософт в клиенте Microsoft Entra организации (мультитенантном). |
| AzureADandPersonalMicrosoftAccount | Пользователи с личной учетной записью Майкрософт или рабочей или учебной учетной записью в Microsoft Entra клиенте любой организации. Для проверки подлинности пользователей с помощью пользовательских потоков Azure AD B2C используйте AzureADandPersonalMicrosoftAccount. Это значение позволяет использовать самый широкий набор удостоверений пользователей, включая локальные учетные записи и удостоверения пользователей из Microsoft, Facebook, Google, Twitter или любого поставщика OpenID Connect. |
| PersonalMicrosoftAccount | Пользователи только с личной учетной записью Майкрософт. |
Ограничения на запрашиваемые разрешения на приложение
Microsoft Entra ID ограничивает количество разрешений, которые могут быть запрошены и разрешены клиентским приложением. Эти ограничения зависят signInAudience от значения приложения, которое отображается в манифесте приложения.
| signInAudience | Разрешенные пользователи | Максимальное количество разрешений, которое может запросить приложение | Максимальное количество разрешений Microsoft Graph, которые может запросить приложение | Максимальное количество разрешений, которые можно дать в одном запросе |
|---|---|---|---|---|
| AzureADMyOrg | Пользователи из организации, в которой зарегистрировано приложение | 400 | 400 | Около 155 делегированных разрешений и около 300 разрешений приложения |
| AzureADMultipleOrgs | Пользователи из любой Microsoft Entra организации | 400 | 400 | Около 155 делегированных разрешений и около 300 разрешений приложения |
| PersonalMicrosoftAccount | Пользователи-потребители (например, учетные записи Outlook.com или Live.com) | 30 | 30 | 30 |
| AzureADandPersonalMicrosoftAccount | Пользователи-потребители и пользователи из любой Microsoft Entra организации | 30 | 30 | 30 |
Связи
Важно!
Конкретное $filter использование параметра запроса поддерживается только при использовании заголовка ConsistencyLevel и eventual$count. Дополнительные сведения см. в разделе Расширенные возможности запросов к объектам каталогов.
| Связь | Тип | Описание |
|---|---|---|
| appManagementPolicies | Коллекция appManagementPolicy | Параметр appManagementPolicy, примененный к этому приложению. |
| createdOnBehalfOf | directoryObject | Поддерживает $filter (/$count eq 0, /$count ne 0). Только для чтения. |
| extensionProperties | Коллекция extensionProperty | Только для чтения. Допускается значение null. Поддерживает $expand и $filter (/$count eq 0, /$count ne 0). |
| federatedIdentityCredentials | Коллекция federatedIdentityCredential | Федеративные удостоверения для приложений. Поддерживает $expand и $filter (startsWith, /$count eq 0, /$count ne 0). |
| owners | Коллекция directoryObject | Объекты каталогов, владеющие приложением. Только для чтения. Допускается значение null. Поддерживает $expand, $filter (/$count eq 0, /$count ne 0, /$count eq 1, /$count ne 1), и $select , вложенные в $expand. |
| синхронизация | синхронизация | Представляет возможность синхронизации Microsoft Entra удостоверений через API Graph Майкрософт. |
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"addIns": [{"@odata.type": "microsoft.graph.addIn"}],
"api": {"@odata.type": "microsoft.graph.apiApplication"},
"appId": "String",
"applicationTemplateId": "String",
"appRoles": [{"@odata.type": "microsoft.graph.appRole"}],
"certification": {"@odata.type": "microsoft.graph.certification"},
"createdDateTime": "String (timestamp)",
"deletedDateTime": "String (timestamp)",
"disabledByMicrosoftStatus": "String",
"displayName": "String",
"groupMembershipClaims": "String",
"id": "String (identifier)",
"identifierUris": ["String"],
"info": {"@odata.type": "microsoft.graph.informationalUrl"},
"isDeviceOnlyAuthSupported": false,
"isFallbackPublicClient": false,
"keyCredentials": [{"@odata.type": "microsoft.graph.keyCredential"}],
"logo": "Stream",
"nativeAuthenticationApisEnabled": "String",
"notes": "String",
"oauth2RequiredPostResponse": false,
"optionalClaims": {"@odata.type": "microsoft.graph.optionalClaims"},
"parentalControlSettings": {"@odata.type": "microsoft.graph.parentalControlSettings"},
"passwordCredentials": [{"@odata.type": "microsoft.graph.passwordCredential"}],
"publicClient": {"@odata.type": "microsoft.graph.publicClientApplication"},
"publisherDomain": "String",
"requestSignatureVerification": {"@odata.type": "microsoft.graph.requestSignatureVerification"},
"requiredResourceAccess": [{"@odata.type": "microsoft.graph.requiredResourceAccess"}],
"servicePrincipalLockConfiguration": {"@odata.type": "microsoft.graph.servicePrincipalLockConfiguration"},
"serviceManagementReference": "String",
"signInAudience": "String",
"spa": {"@odata.type": "microsoft.graph.spaApplication"},
"tags": ["String"],
"tokenEncryptionKeyId": "String",
"uniqueName": "String",
"verifiedPublisher": {"@odata.type": "microsoft.graph.verifiedPublisher"},
"web": {"@odata.type": "microsoft.graph.webApplication"}
}