Dela via


Programregistreringsbehörigheter för anpassade roller i Microsoft Entra-ID

Den här artikeln beskriver de appregistreringsbehörigheter som är tillgängliga för anpassade rolldefinitioner i Microsoft Entra-ID. Med dessa behörigheter kan administratörer hantera programregistreringar med specifika åtkomstnivåer, vilket säkerställer säker och effektiv hantering av program i organisationen.

Licenskrav

För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.

Behörigheter för att hantera applikationer med en enda hyresgäst

När du väljer behörigheter för din anpassade roll kan du bevilja åtkomst för att endast hantera program med en enda klientorganisation. Enanvändarapplikationer är endast tillgängliga för användare i den Microsoft Entra-organisation där applikationen är registrerad.

Program med en enda klient definieras som att kontotyper som stöds är inställda till "Endast konton i den här organisationens katalog". I Graph API har program med en enda klient egenskapen signInAudience inställd på "AzureADMyOrg".

Om du bara vill ge åtkomst till att hantera program med en enda klientorganisation använder du de behörigheter som anges enligt följande med undertypen applications.myOrganization. Till exempel: microsoft.directory/applications.myOrganization/basic/update.

Se översikten över anpassade roller för en förklaring av termerna undertyp, behörighet och egenskapsuppsättning. Följande information är specifik för programregistreringar.

Skapa och ta bort

Det finns två behörigheter för att ge möjlighet att skapa programregistreringar, var och en med olika beteende:

microsoft.directory/tillämpningar/skapaSomÄgare

Om du tilldelar den här behörigheten läggs skaparen till som den första ägaren av den skapade appregistreringen. Den skapade appregistreringen räknas mot skaparens kvot på 250 skapade objekt.

microsoft.directory/applications/create

Om du beviljar den här behörigheten förhindras skaparen från att läggas till som den första ägaren av appregistreringen och exkluderar appregistreringen från skaparens kvot på 250 objekt. Använd den här behörigheten noggrant eftersom det inte finns något som hindrar den tilldelade från att skapa appregistreringar tills kvoten på katalognivå har nåtts.

Om båda behörigheterna tilldelas har behörigheten /create företräde. Även om behörigheten /createAsOwner inte automatiskt lägger till skaparen som första ägare, kan ägare anges när appregistreringen skapas när graph-API:er eller PowerShell-cmdletar används.

Skapa behörigheter bevilja åtkomst till kommandot Ny registrering .

Dessa behörigheter beviljar åtkomst till kommandot för portalen för ny registrering

Det finns två behörigheter för att ge möjlighet att ta bort appregistreringar:

microsoft.directory/applications/delete - kommando för att ta bort en ansökan

Ger möjlighet att ta bort appregistreringar oavsett undertyp, inklusive program med både en klientorganisation och flera klientorganisationer.

microsoft.directory/applications.myOrganization/delete

Ger möjlighet att ta bort appregistreringar som är begränsade till dem som endast är tillgängliga för konton i din organisation eller program med en enda klientorganisation (myOrganization-undertyp).

Dessa behörigheter ger åtkomst till kommandot Ta bort appregistrering

Anteckning

När du tilldelar en roll som innehåller skapa-behörigheter måste rolltilldelningen göras i katalogomfånget. En skaparbehörighet som tilldelats ett resursomfång ger inte möjlighet att skapa appregistreringar.

Läs

Alla medlemsanvändare i organisationen kan läsa appregistreringsinformation som standard. Gästanvändare och applikationstjänsthuvudprincipaler kan dock inte. Om du planerar att tilldela en roll till en gästanvändare eller ett program måste du inkludera lämpliga läsbehörigheter.

microsoft.directory/applications/allProperties/read

Ger möjlighet att läsa alla egenskaper i single-tenant- och multitenant-program, förutom de egenskaper som aldrig kan läsas, som autentiseringsuppgifter.

microsoft.directory/applications.myOrganization/allProperties/read

Ger samma rättigheter som microsoft.directory/applications/allProperties/read, men endast för single-tenantsapplikationer.

microsoft.directory/applications/owners/read

Ger möjlighet att läsa ägarens egenskaper i program för enskild klientorganisation samt flerklientslösningar. Ger åtkomst till alla fält på sidan för programregistreringsägare:

Den här behörigheten ger åtkomst till sidan för appregistreringsägare

microsoft.directory/applications/standard/read

Ger åtkomst för att läsa standardegenskaper för applikationsregistrering. Detta omfattar egenskaper på alla applikationsregistreringssidor.

microsoft.directory/applikationer.myOrganization/standard/läsa

Ger samma behörigheter som microsoft.directory/applications/standard/read, men endast för program med en enda hyresgäst.

Uppdatera

Med behörigheterna "Uppdatera" i Microsoft Entra-ID kan administratörer ändra olika egenskaper för programregistreringar. Dessa behörigheter är nödvändiga för att underhålla och hantera både program med en enda klientorganisation och flera klientorganisationer. Beroende på den specifika behörighet som beviljas kan administratörer uppdatera egenskaper som kontotyper som stöds, autentiseringsinställningar, varumärkesinformation med mera. Följande är en detaljerad lista över tillgängliga uppdateringsbehörigheter och deras specifika funktioner.

microsoft.mappdirectory/applikationer/allaEgenskaper/uppdatera

Gör att du kan uppdatera alla egenskaper för program med en klientorganisation och flera klientorganisationer.

microsoft.katalog/applikationer.minOrganisation/allaEgenskaper/uppdatera

Ger samma behörigheter som microsoft.directory/applications/allProperties/update, men endast för program med en enda klientorganisation.

microsoft.directory/applications/audience/update

Tillåter möjligheten att uppdatera den kontotypsegenskap som stöds (signInAudience) för program med en klientorganisation och flera klientorganisationer.

Den här behörigheten ger åtkomst till kontotypsegenskap som stöds för appregistrering på autentiseringssidan

microsoft.directory/applications.myOrganization/audience/update

Ger samma behörigheter som microsoft.directory/applications/audience/update, men endast för applikationer med en enda klientorganisation.

microsoft.directory/applikationer/autentisering/uppdatering

Gör att du kan uppdatera egenskaperna för svars-URL, utloggnings-URL, implicit flöde och utgivardomän i program med en klientorganisation och flera klientorganisationer. Ger åtkomst till alla fält på autentiseringssidan för programregistrering förutom kontotyper som stöds:

Beviljar åtkomst till appregistreringsautentisering men inte kontotyper som stöds

microsoft.directory/applications.myOrganization/authentication/update

Ger samma behörigheter som microsoft.directory/applications/authentication/update, men endast för program med en enda klientorganisation.

microsoft.katalog/program/bas/uppdatera

Gör det möjligt att uppdatera egenskaperna för namn, logotyp, webbadress till startsidan, URL-adress för användarvillkor och URL-adress för sekretesspolicy för program för enskild klientorganisation och för flera klientorganisationer. Ger åtkomst till alla fält på registreringssidan för applikationsvarumärke:

Den här behörigheten ger åtkomst till varumärkessidan för appregistrering

microsoft.directory/applications.myOrganization/basic/update

Ger samma behörigheter som microsoft.directory/applications/basic/update, men endast för applikationer med en enda klientorganisation.

microsoft.directory/applications/credentials/update

Möjliggör uppdatering av certifikat- och klienthemlighetsegenskaper i enkel- och fleranvändarappar. Ger åtkomst till alla fält på sidan programregistreringscertifikat och hemligheter:

Den här behörigheten ger åtkomst till sidan för appregistreringscertifikat och hemligheter

microsoft.directory/applications.myOrganization/referenser/uppdatering

Ger samma behörigheter som microsoft.directory/applications/credentials/update, men endast för program med en enda klientorganisation.

microsoft.directory/applications/owners/update

Ger möjlighet att uppdatera ägaregenskapen på enkelhyresgäst och fleranvändare. Ger åtkomst till alla fält på sidan för programregistreringsägare:

Den här behörigheten ger åtkomst till sidan för appregistreringsägare

microsoft.directory/applications.myOrganization/owners/update

Ger samma behörigheter som microsoft.directory/applications/owners/update, men endast för program med en enda klientorganisation.

microsoft.directory/applications/permissions/update

Den här behörigheten tillåter uppdateringar av olika egenskaper för program med en klientorganisation och flera klientorganisationer, inklusive delegerade behörigheter, programbehörigheter, auktoriserade klientprogram, nödvändiga behörigheter och medgivandeegenskaper. Det ger inte möjlighet att ge samtycke. Ger åtkomst till alla fält på api-behörigheterna för programregistrering och Exponera en API-sida:

Den här behörigheten ger åtkomst till sidan api-behörigheter för appregistrering

Den här behörigheten ger åtkomst till appregistreringen Exponera en API-sida

microsoft.directory/applications.myOrganization/permissions/update

Ger samma behörigheter som microsoft.directory/applications/permissions/update, men endast för program som endast används av en enda klientorganisation.

Nästa steg