Microsoft.Graph servicePrincipals
Разрешения
Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более высокий уровень привилегий или разрешений только в том случае, если приложение требует его. Дополнительные сведения о делегированных и разрешениях приложений см. в разделе "Типы разрешений". Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.
Примечание.
Разрешения для личных учетных записей Майкрософт нельзя использовать для развертывания ресурсов Microsoft Graph, объявленных в файлах Bicep.
| Тип разрешения | Минимальные привилегированные разрешения | Более высокие привилегированные разрешения |
|---|---|---|
| Делегированные (рабочая или учебная учетная запись) | Application.ReadWrite.All | Directory.ReadWrite.All |
| Делегированные (личная учетная запись Майкрософт) | Не поддерживается. | Не поддерживается. |
| Приложение | Application.ReadWrite.OwnedBy | Application.ReadWrite.All, Directory.ReadWrite.All |
Формат ресурсов
Чтобы создать ресурс Microsoft.Graph/servicePrincipals, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.Graph/servicePrincipals@v1.0' = {
accountEnabled: bool
addIns: [
{
id: 'string'
properties: [
{
key: 'string'
value: 'string'
}
]
type: 'string'
}
]
alternativeNames: [
'string'
]
appDescription: 'string'
appDisplayName: 'string'
appId: 'string'
appRoleAssignmentRequired: bool
appRoles: [
{
allowedMemberTypes: [
'string'
]
description: 'string'
displayName: 'string'
id: 'string'
isEnabled: bool
value: 'string'
}
]
customSecurityAttributes: any
description: 'string'
disabledByMicrosoftStatus: 'string'
displayName: 'string'
homepage: 'string'
info: {
marketingUrl: 'string'
privacyStatementUrl: 'string'
supportUrl: 'string'
termsOfServiceUrl: 'string'
}
keyCredentials: [
{
customKeyIdentifier: 'string'
displayName: 'string'
endDateTime: 'string'
key: 'string'
keyId: 'string'
startDateTime: 'string'
type: 'string'
usage: 'string'
}
]
loginUrl: 'string'
logoutUrl: 'string'
notes: 'string'
notificationEmailAddresses: [
'string'
]
oauth2PermissionScopes: [
{
adminConsentDescription: 'string'
adminConsentDisplayName: 'string'
id: 'string'
isEnabled: bool
type: 'string'
userConsentDescription: 'string'
userConsentDisplayName: 'string'
value: 'string'
}
]
passwordCredentials: [
{
displayName: 'string'
endDateTime: 'string'
keyId: 'string'
startDateTime: 'string'
}
]
preferredSingleSignOnMode: 'string'
preferredTokenSigningKeyThumbprint: 'string'
replyUrls: [
'string'
]
samlSingleSignOnSettings: {
relayState: 'string'
}
servicePrincipalNames: [
'string'
]
servicePrincipalType: 'string'
tags: [
'string'
]
tokenEncryptionKeyId: 'string'
verifiedPublisher: {
addedDateTime: 'string'
displayName: 'string'
verifiedPublisherId: 'string'
}
}
Значения свойств
servicePrincipals
| Имя | Описание | Значение |
|---|---|---|
| AccountEnabled | Значение true, если учетная запись субъекта-службы включена; в противном случае значение false. Если задано значение false, пользователи не смогут войти в это приложение, даже если им назначено значение false. | bool |
| addIns | Определяет пользовательское поведение, которое может использоваться службой для вызова приложения в конкретных контекстах. Например, приложения, которые могут отображать потоки файлов, могут задать свойство addIns для его функциональных возможностей FileHandler. Это позволяет службам, таким как Microsoft 365, вызывать приложение в контексте документа, над которым работает пользователь. | MicrosoftGraphAddIn[] |
| alternativeNames | Используется для получения субъектов-служб по подписке, идентификации группы ресурсов и полных идентификаторов ресурсов для управляемых удостоверений | string[] |
| версия_API | Версия API ресурсов | 'v1.0' (ReadOnly) |
| appDescription | Описание, предоставляемое соответствующим приложением. | строка |
| appDisplayName | Отображаемое имя, предоставляемое соответствующим приложением. | строка |
| appId | Уникальный идентификатор связанного приложения (его свойство appId). Альтернативный ключ | строка (обязательный) |
| applicationTemplateId | Уникальный идентификатор applicationTemplate. Только чтение. Значение NULL, если субъект-служба не был создан из шаблона приложения. | string (ReadOnly) |
| appOwnerOrganizationId | Содержит идентификатор клиента, в котором зарегистрировано приложение. Это применимо только к субъектам-службам, поддерживаемым приложениями | string (ReadOnly) Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| appRoleAssignmentRequired | Указывает, должны ли пользователи или другие субъекты-службы предоставлять назначение роли приложения для этого субъекта-службы, прежде чем пользователи смогут войти в систему или приложения могут получить маркеры. По умолчанию используется значение false. Недопустимое значение NULL | bool |
| appRoles | Роли, предоставляемые приложением, связанному с этим субъектом-службой. Дополнительные сведения см. в определении свойства appRoles для сущности приложения. Не допускает значения NULL. | MicrosoftGraphAppRole[] |
| customSecurityAttributes | Открытый сложный тип, содержащий значение настраиваемого атрибута безопасности, назначенного объекту каталога. Допускает значение NULL. Значение фильтра учитывает регистр. | любое |
| deletedDateTime | Дата и время удаления этого объекта. Всегда значение NULL, если объект не был удален. | string (ReadOnly) |
| описание | Свободное текстовое поле для предоставления внутреннего пользовательского описания субъекта-службы. Порталы конечных пользователей, такие как MyApps, отображают описание приложения в этом поле. Максимальный допустимый размер — 1024 символов | строка |
| disabledByMicrosoftStatus | Указывает, отключила ли корпорация Майкрософт зарегистрированное приложение. Возможные значения: null (значение по умолчанию), NotDisabled и DisabledDueToViolationOfServicesAgreement (причины включают подозрительные, оскорбительные или вредоносные действия или нарушение соглашения об службах Майкрософт) | строка |
| displayName | Отображаемое имя субъекта-службы | строка |
| homepage | Домашняя страница или целевая страница приложения. | строка |
| id | Уникальный идентификатор сущности. Только чтение. | string (ReadOnly) |
| info | Основные сведения о профиле приобретенного приложения, такие как маркетинг приложения, поддержка, условия обслуживания и URL-адреса заявления о конфиденциальности. Условия обслуживания и заявление о конфиденциальности отображаются в окне запроса согласия пользователя. Дополнительные сведения см. в разделе "Практическое руководство. Добавление условий обслуживания и заявления о конфиденциальности для зарегистрированных приложений Microsoft Entra" | MicrosoftGraphInformationalUrl |
| keyCredentials | Коллекция ключевых учетных данных, связанных с субъектом-службой. Недопустимое значение NULL | MicrosoftGraphKeyCredential[] |
| loginUrl | Указывает URL-адрес, в котором поставщик услуг перенаправляет пользователя на идентификатор Microsoft Entra для проверки подлинности. Идентификатор Microsoft Entra использует URL-адрес для запуска приложения из Microsoft 365 или Мои приложения Microsoft Entra. При пустом идентификаторе Microsoft Entra ida выполняет вход, инициированный поставщиком удостоверений для приложений, настроенных с использованием единого входа на основе SAML. Пользователь запускает приложение из Microsoft 365, Мои приложения Microsoft Entra или URL-адрес единого входа Microsoft Entra. | строка |
| logoutUrl | Указывает URL-адрес, используемый службой авторизации Майкрософт для выхода пользователя с помощью интерфейсного канала OpenID Connect, внутренних каналов или протоколов выхода SAML. | строка |
| примечаниями | Свободное текстовое поле для записи сведений о субъекте-службе, обычно используемом в операционных целях. Максимальный допустимый размер — 1024 символов. | строка |
| notificationEmailAddresses | Указывает список адресов электронной почты, в которых идентификатор Microsoft Entra отправляет уведомление, когда активный сертификат близок к дате окончания срока действия. Это касается только сертификатов, используемых для подписи токена SAML, выданного для приложений коллекции Microsoft Entra. | string[] |
| oauth2PermissionScopes | Делегированные разрешения, предоставляемые приложением. Дополнительные сведения см. в свойстве api сущности приложения oauth2PermissionScopes. Не допускает значения NULL. | MicrosoftGraphPermissionScope[] |
| passwordCredentials | Коллекция учетных данных паролей, связанных с приложением. Не допускает значения NULL. | MicrosoftGraphPasswordCredential[] |
| preferredSingleSignOnMode | Указывает режим единого входа, настроенный для этого приложения. Идентификатор Microsoft Entra использует предпочтительный режим единого входа для запуска приложения с Microsoft 365 или портала Мои приложения. Поддерживаемые значения : password, saml, notSupported и oidc. | строка |
| preferredTokenSigningKeyThumbprint | Это свойство можно использовать в приложениях SAML (приложениях, которые предпочтительнее, чтобы задать для saml значение SamL), чтобы контролировать, какой сертификат используется для подписывания ответов SAML. Для приложений, которые не являются SAML, не записывайте или иначе полагаться на это свойство. | строка |
| replyUrls | URL-адреса, на которые отправляются маркеры пользователей для входа в связанное приложение, или URI перенаправления, на которые отправляются коды авторизации OAuth 2.0 и маркеры доступа для связанного приложения. Не допускает значения NULL. | string[] |
| resourceSpecificApplicationPermissions | Разрешения приложения для конкретного ресурса, предоставляемые этим приложением. В настоящее время разрешения, относящиеся к ресурсам, поддерживаются только для приложений Teams, обращаюющихся к определенным чатам и командам с помощью Microsoft Graph. Только чтение. | MicrosoftGraphResourceSpecificPermission[] (ReadOnly) |
| samlSingleSignOnSettings | Коллекция параметров, связанных с единым входом saml. | MicrosoftGraphSamlSingleSignOnSettings |
| servicePrincipalNames | Содержит список идентификаторовUris, скопированный из связанного приложения. Дополнительные значения можно добавить в гибридные приложения. Эти значения можно использовать для идентификации разрешений, предоставляемых этим приложением в идентификаторе Microsoft Entra. Например, клиентские приложения могут указать URI ресурса, основанный на значениях этого свойства для получения маркера доступа, который является URI, возвращенным в утверждении aud. Любой оператор необходим для выражений фильтра в многозначных свойствах. Недопустимое значение NULL | string[] |
| servicePrincipalType | Определяет, представляет ли субъект-службу приложение, управляемое удостоверение или устаревшее приложение. Это определяется идентификатором Microsoft Entra ID внутри системы. Свойство servicePrincipalType может иметь три разных значения: Application — субъект-служба, представляющий приложение или службу. Свойство appId определяет связанную регистрацию приложения и соответствует идентификатору приложения, возможно, из другого клиента. Если связанная регистрация приложения отсутствует, маркеры не выдаются для субъекта-службы. ManagedIdentity — субъект-служба, представляющий управляемое удостоверение. Субъекты-службы, представляющие управляемые удостоверения, могут быть предоставлены доступ и разрешения, но не могут быть обновлены или изменены напрямую. Устаревшая версия — субъект-служба, представляющий приложение, созданное перед регистрацией приложений или с помощью устаревших интерфейсов. Устаревший субъект-служба может иметь учетные данные, имена субъектов-служб, URL-адреса ответа и другие свойства, редактируемые авторизованным пользователем, но не имеют связанной регистрации приложения. Значение appId не связывает субъект-службу с регистрацией приложения. Субъект-служба может использоваться только в клиенте, где он был создан. SocialIdp — для внутреннего использования. | строка |
| signInAudience | Указывает учетные записи Майкрософт, поддерживаемые для текущего приложения. Только чтение. Поддерживаемые значения: AzureADMyOrg: пользователи с рабочей или учебной учетной записью Майкрософт в клиенте Microsoft Entra организации (один клиент). AzureADMultipleOrgs: пользователи с рабочей или учебной учетной записью Майкрософт в клиенте Microsoft Entra любой организации (мультитенант). AzureADandPersonalMicrosoftAccount: пользователи с личной учетной записью Майкрософт или рабочей или учебной учетной записью в клиенте Microsoft Entra любой организации. PersonalMicrosoftAccount: пользователи только с личной учетной записью Майкрософт. | string (ReadOnly) |
| tags | Пользовательские строки, которые можно использовать для классификации и идентификации субъекта-службы. Недопустимое значение NULL | string[] |
| tokenEncryptionKeyId | Указывает идентификатор ключа открытого ключа из коллекции keyCredentials. При настройке идентификатор Microsoft Entra id выдает маркеры для этого приложения, зашифрованные с помощью ключа, указанного этим свойством. Код приложения, получающий зашифрованный маркер, должен использовать соответствующий закрытый ключ для расшифровки маркера, прежде чем его можно будет использовать для вошедшего пользователя. | строка Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| type | Тип ресурса | "Microsoft.Graph/servicePrincipals" (ReadOnly) |
| verifiedPublisher | Указывает проверяемого издателя приложения, связанного с этим субъектом-службой. | MicrosoftGraphVerifiedPublisher |
MicrosoftGraphKeyValue
| Имя | Описание | Значение |
|---|---|---|
| key | Ключ для пары "ключ-значение". | строка |
| значение | Значение пары "ключ-значение". | строка |
MicrosoftGraphAddIn
| Имя | Описание | Значение |
|---|---|---|
| id | Уникальный идентификатор объекта addIn. | строка Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| свойства | Коллекция пар "ключ-значение", определяющих параметры, которые потребляющая служба может использовать или вызывать. Это свойство необходимо указать при выполнении операции POST или PATCH в коллекции addIns. Обязательный. | MicrosoftGraphKeyValue[] |
| type | Уникальное имя функциональных возможностей, предоставляемых приложением. | строка |
MicrosoftGraphAppRole
| Имя | Описание | Значение |
|---|---|---|
| allowedMemberTypes | Указывает, может ли эта роль приложения назначаться пользователям и группам (задав значение ['User']), другим приложениям (задав значение ['Application'], или оба (задав значение ['User', 'Application']). Роли приложений, поддерживающие назначение субъектам-службам других приложений, также называются разрешениями приложения. Значение Application поддерживается только для ролей приложений, определенных в сущностях приложений. | string[] |
| описание | Описание роли приложения. Это отображается при назначении роли приложения и, если роль приложения работает в качестве разрешения приложения во время предоставления согласия. | строка |
| displayName | Отображаемое имя разрешения, которое отображается в интерфейсе назначения ролей приложения и согласия. | строка |
| id | Уникальный идентификатор роли в коллекции appRoles. При создании роли приложения необходимо указать новый идентификатор GUID. | строка Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | При создании или обновлении роли приложения необходимо задать значение true (это значение по умолчанию). Чтобы удалить роль, сначала необходимо задать значение false. На этом этапе в последующем вызове эта роль может быть удалена. | bool |
| origin | Указывает, определена ли роль приложения в объекте приложения или в сущности servicePrincipal. Не следует включать в запросы POST или PATCH. Только чтение. | string (ReadOnly) |
| значение | Указывает значение, которое необходимо включить в утверждение ролей в маркерах идентификатора и маркерах доступа для проверки подлинности назначенного пользователя или субъекта-службы. Не должно превышать 120 символов длиной. Допустимые символы: ! # $ % & ' ( ) * + , -. / : ; = ? @ [ ^ + _ { } ~ и символы в диапазонах 0-9, A-Z и a-z. Любые другие символы, включая символ пробела, не допускаются. Может не начинаться с .. | строка |
MicrosoftGraphInformationalUrl
| Имя | Описание | Значение |
|---|---|---|
| logoUrl | URL-адрес CDN для логотипа приложения только для чтения. | string (ReadOnly) |
| marketingUrl | Ссылка на маркетинговую страницу приложения. Например: https://www.contoso.com/app/marketing | строка |
| privacyStatementUrl | Ссылка на заявление о конфиденциальности приложения. Например: https://www.contoso.com/app/privacy | строка |
| supportUrl | Ссылка на страницу поддержки приложения. Например: https://www.contoso.com/app/support | строка |
| termsOfServiceUrl | Ссылка на условия обслуживания приложения. Например: https://www.contoso.com/app/termsofservice | строка |
MicrosoftGraphKeyCredential
| Имя | Описание | Значение |
|---|---|---|
| customKeyIdentifier | 40-символьный двоичный тип, который можно использовать для идентификации учетных данных. Необязательно. Если он не указан в полезных данных, по умолчанию используется отпечаток сертификата. | строка |
| displayName | Понятное имя ключа. Необязательно. | строка |
| endDateTime | Дата и время истечения срока действия учетных данных. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда находится в формате UTC. Например, полночь UTC 1 января 2014 г. — 2014-01-01T00:00:00Z. | строка |
| key | Необработанные данные сертификата в массиве байтов, преобразованные в строку Base64. Из сертификата .cer можно считывать ключ с помощью метода Convert.ToBase64String(). Дополнительные сведения см. в разделе "Получение ключа сертификата". | строка |
| keyId | Уникальный идентификатор (GUID) для ключа. | строка Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| startDateTime | Дата и время, в течение которого учетные данные становятся допустимыми. Тип метки времени представляет сведения о дате и времени с использованием формата ISO 8601 и всегда находится в формате UTC. Например, полночь UTC 1 января 2014 г. — 2014-01-01T00:00:00Z. | строка |
| type | Тип учетных данных ключа; Например, Symmetric, AsymmetricX509Cert. | строка |
| использование | Строка, описывающая назначение, для которого можно использовать ключ; Например, проверьте. | строка |
MicrosoftGraphPermissionScope
| Имя | Описание | Значение |
|---|---|---|
| adminConsentDescription | Описание делегированных разрешений, предназначенных для чтения администратором, предоставляющим разрешение от имени всех пользователей. Этот текст отображается в интерфейсах согласия администратора на уровне клиента. | строка |
| adminConsentDisplayName | Заголовок разрешения, предназначенный для чтения администратором, предоставляющим разрешение от имени всех пользователей. | строка |
| id | Уникальный идентификатор делегированного разрешения внутри коллекции делегированных разрешений, определенных для приложения ресурсов. | строка Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | При создании или обновлении разрешения это свойство должно иметь значение true (которое является значением по умолчанию). Чтобы удалить разрешение, это свойство сначала должно иметь значение false. На этом этапе при последующем вызове разрешение может быть удалено. | bool |
| type | Возможные значения: пользователь и администратор. Указывает, следует ли считать это делегированное разрешение безопасным для пользователей, не являющихся администраторами, для предоставления согласия от имени себя или обязательного согласия администратора. Хотя Microsoft Graph определяет требование согласия по умолчанию для каждого разрешения, администратор клиента может переопределить поведение в своей организации (разрешая, ограничивать или ограничивать согласие пользователя на это делегированное разрешение). Дополнительные сведения см. в статье Настройка способа согласия пользователей на использование приложений. | строка |
| userConsentDescription | Описание делегированных разрешений, предназначенных для чтения пользователем, предоставляющим разрешение от собственного имени. Этот текст отображается в интерфейсах согласия, когда пользователь дает согласие только от имени себя. | строка |
| userConsentDisplayName | Заголовок разрешения, предназначенный для чтения пользователем, предоставляющим разрешение от своего имени. Этот текст отображается в интерфейсах согласия, когда пользователь дает согласие только от имени себя. | строка |
| значение | Указывает значение для включения в утверждение scp (scope) в маркеры доступа. Не должно превышать 120 символов длиной. Допустимые символы: ! # $ % & ' ( ) * + , -. / : ; = ? @ [ ^ + _ { } ~ и символы в диапазонах 0-9, A-Z и a-z. Любые другие символы, включая символ пробела, не допускаются. Может не начинаться с .. | строка |
MicrosoftGraphPasswordCredential
| Имя | Описание | Значение |
|---|---|---|
| displayName | Понятное имя пароля. Необязательно. | строка |
| endDateTime | Дата и время истечения срока действия пароля с использованием формата ISO 8601 и всегда находится в формате UTC. Например, полночь UTC 1 января 2014 г. — 2014-01-01T00:00:00Z. Необязательно. | строка |
| hint | Содержит первые три символа пароля. Только чтение. | string (ReadOnly) |
| keyId | Уникальный идентификатор пароля. | строка Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| secretText | Только для чтения; Содержит надежные пароли, созданные идентификатором Microsoft Entra, длиной 16–64 символов. Созданное значение пароля возвращается только во время первоначального запроса POST для добавленияPassword. В будущем невозможно получить этот пароль. | string (ReadOnly) |
| startDateTime | Дата и время, в течение которого пароль становится допустимым. Тип метки времени представляет сведения о дате и времени с использованием формата ISO 8601 и всегда находится в формате UTC. Например, полночь UTC 1 января 2014 г. — 2014-01-01T00:00:00Z. Необязательно. | строка |
MicrosoftGraphResourceSpecificPermission
| Имя | Описание | значение |
|---|---|---|
| описание | Описывает уровень доступа, который представляет разрешение для конкретного ресурса. | строка |
| displayName | Отображаемое имя разрешения для конкретного ресурса. | строка |
| id | Уникальный идентификатор разрешения приложения для конкретного ресурса. | строка Ограничения целостности: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | Указывает, включена ли разрешение. | bool |
| значение | Значение разрешения. | строка |
MicrosoftGraphSamlSingleSignOnSettings
| Имя | Описание | Значение |
|---|---|---|
| relayState | Относительный универсальный код ресурса (URI), на который поставщик услуг перенаправляется после завершения потока единого входа. | строка |
MicrosoftGraphVerifiedPublisher
| Имя | Описание | Значение |
|---|---|---|
| addedDateTime | Метка времени при первом добавлении или обновлении проверенного издателя. | строка |
| displayName | Проверенное имя издателя из учетной записи Центра партнеров издателя приложений. | строка |
| verifiedPublisherId | Идентификатор проверенного издателя из учетной записи Центра партнеров издателя приложения. | строка |