Programregistreringsbehörigheter för anpassade roller i Microsoft Entra-ID
Den här artikeln beskriver de appregistreringsbehörigheter som är tillgängliga för anpassade rolldefinitioner i Microsoft Entra-ID. Med dessa behörigheter kan administratörer hantera programregistreringar med specifika åtkomstnivåer, vilket säkerställer säker och effektiv hantering av program i organisationen.
Licenskrav
För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.
Behörigheter för att hantera applikationer med en enda hyresgäst
När du väljer behörigheter för din anpassade roll kan du bevilja åtkomst för att endast hantera program med en enda klientorganisation. Enanvändarapplikationer är endast tillgängliga för användare i den Microsoft Entra-organisation där applikationen är registrerad.
Program med en enda klient definieras som att kontotyper
Om du bara vill ge åtkomst till att hantera program med en enda klientorganisation använder du de behörigheter som anges enligt följande med undertypen applications.myOrganization. Till exempel: microsoft.directory/applications.myOrganization/basic/update.
Se översikten över anpassade roller för en förklaring av termerna undertyp, behörighet och egenskapsuppsättning. Följande information är specifik för programregistreringar.
Skapa och ta bort
Det finns två behörigheter för att ge möjlighet att skapa programregistreringar, var och en med olika beteende:
microsoft.directory/tillämpningar/skapaSomÄgare
Om du tilldelar den här behörigheten läggs skaparen till som den första ägaren av den skapade appregistreringen. Den skapade appregistreringen räknas mot skaparens kvot på 250 skapade objekt.
microsoft.directory/applications/create
Om du beviljar den här behörigheten förhindras skaparen från att läggas till som den första ägaren av appregistreringen och exkluderar appregistreringen från skaparens kvot på 250 objekt. Använd den här behörigheten noggrant eftersom det inte finns något som hindrar den tilldelade från att skapa appregistreringar tills kvoten på katalognivå har nåtts.
Om båda behörigheterna tilldelas har behörigheten /create företräde. Även om behörigheten /createAsOwner inte automatiskt lägger till skaparen som första ägare, kan ägare anges när appregistreringen skapas när graph-API:er eller PowerShell-cmdletar används.
Skapa behörigheter bevilja åtkomst till kommandot Ny registrering .
Det finns två behörigheter för att ge möjlighet att ta bort appregistreringar:
microsoft.directory/applications/delete - kommando för att ta bort en ansökan
Ger möjlighet att ta bort appregistreringar oavsett undertyp, inklusive program med både en klientorganisation och flera klientorganisationer.
microsoft.directory/applications.myOrganization/delete
Ger möjlighet att ta bort appregistreringar som är begränsade till dem som endast är tillgängliga för konton i din organisation eller program med en enda klientorganisation (myOrganization-undertyp).
Anteckning
När du tilldelar en roll som innehåller skapa-behörigheter måste rolltilldelningen göras i katalogomfånget. En skaparbehörighet som tilldelats ett resursomfång ger inte möjlighet att skapa appregistreringar.
Läs
Alla medlemsanvändare i organisationen kan läsa appregistreringsinformation som standard. Gästanvändare och applikationstjänsthuvudprincipaler kan dock inte. Om du planerar att tilldela en roll till en gästanvändare eller ett program måste du inkludera lämpliga läsbehörigheter.
microsoft.directory/applications/allProperties/read
Ger möjlighet att läsa alla egenskaper i single-tenant- och multitenant-program, förutom de egenskaper som aldrig kan läsas, som autentiseringsuppgifter.
microsoft.directory/applications.myOrganization/allProperties/read
Ger samma rättigheter som microsoft.directory/applications/allProperties/read, men endast för single-tenantsapplikationer.
microsoft.directory/applications/owners/read
Ger möjlighet att läsa ägarens egenskaper i program för enskild klientorganisation samt flerklientslösningar. Ger åtkomst till alla fält på sidan för programregistreringsägare:
microsoft.directory/applications/standard/read
Ger åtkomst för att läsa standardegenskaper för applikationsregistrering. Detta omfattar egenskaper på alla applikationsregistreringssidor.
microsoft.directory/applikationer.myOrganization/standard/läsa
Ger samma behörigheter som microsoft.directory/applications/standard/read, men endast för program med en enda hyresgäst.
Uppdatera
Med behörigheterna "Uppdatera" i Microsoft Entra-ID kan administratörer ändra olika egenskaper för programregistreringar. Dessa behörigheter är nödvändiga för att underhålla och hantera både program med en enda klientorganisation och flera klientorganisationer. Beroende på den specifika behörighet som beviljas kan administratörer uppdatera egenskaper som kontotyper som stöds, autentiseringsinställningar, varumärkesinformation med mera. Följande är en detaljerad lista över tillgängliga uppdateringsbehörigheter och deras specifika funktioner.
microsoft.mappdirectory/applikationer/allaEgenskaper/uppdatera
Gör att du kan uppdatera alla egenskaper för program med en klientorganisation och flera klientorganisationer.
microsoft.katalog/applikationer.minOrganisation/allaEgenskaper/uppdatera
Ger samma behörigheter som microsoft.directory/applications/allProperties/update, men endast för program med en enda klientorganisation.
microsoft.directory/applications/audience/update
Tillåter möjligheten att uppdatera den kontotypsegenskap som stöds (signInAudience) för program med en klientorganisation och flera klientorganisationer.
microsoft.directory/applications.myOrganization/audience/update
Ger samma behörigheter som microsoft.directory/applications/audience/update, men endast för applikationer med en enda klientorganisation.
microsoft.directory/applikationer/autentisering/uppdatering
Gör att du kan uppdatera egenskaperna för svars-URL, utloggnings-URL, implicit flöde och utgivardomän i program med en klientorganisation och flera klientorganisationer. Ger åtkomst till alla fält på autentiseringssidan för programregistrering förutom kontotyper som stöds:
microsoft.directory/applications.myOrganization/authentication/update
Ger samma behörigheter som microsoft.directory/applications/authentication/update, men endast för program med en enda klientorganisation.
microsoft.katalog/program/bas/uppdatera
Gör det möjligt att uppdatera egenskaperna för namn, logotyp, webbadress till startsidan, URL-adress för användarvillkor och URL-adress för sekretesspolicy för program för enskild klientorganisation och för flera klientorganisationer. Ger åtkomst till alla fält på registreringssidan för applikationsvarumärke:
microsoft.directory/applications.myOrganization/basic/update
Ger samma behörigheter som microsoft.directory/applications/basic/update, men endast för applikationer med en enda klientorganisation.
microsoft.directory/applications/credentials/update
Möjliggör uppdatering av certifikat- och klienthemlighetsegenskaper i enkel- och fleranvändarappar. Ger åtkomst till alla fält på sidan programregistreringscertifikat och hemligheter:
microsoft.directory/applications.myOrganization/referenser/uppdatering
Ger samma behörigheter som microsoft.directory/applications/credentials/update, men endast för program med en enda klientorganisation.
microsoft.directory/applications/owners/update
Ger möjlighet att uppdatera ägaregenskapen på enkelhyresgäst och fleranvändare. Ger åtkomst till alla fält på sidan för programregistreringsägare:
microsoft.directory/applications.myOrganization/owners/update
Ger samma behörigheter som microsoft.directory/applications/owners/update, men endast för program med en enda klientorganisation.
microsoft.directory/applications/permissions/update
Den här behörigheten tillåter uppdateringar av olika egenskaper för program med en klientorganisation och flera klientorganisationer, inklusive delegerade behörigheter, programbehörigheter, auktoriserade klientprogram, nödvändiga behörigheter och medgivandeegenskaper. Det ger inte möjlighet att ge samtycke. Ger åtkomst till alla fält på api-behörigheterna för programregistrering och Exponera en API-sida:
microsoft.directory/applications.myOrganization/permissions/update
Ger samma behörigheter som microsoft.directory/applications/permissions/update, men endast för program som endast används av en enda klientorganisation.