Microsoft.Graph servicePrincipals
Viktigt!
API:er under /beta versionen i Microsoft Graph kan komma att ändras. Användning av dessa API:er i produktionsprogram stöds inte. Om du vill avgöra om ett API är tillgängligt i v1.0 använder du versionsväljaren.
Behörigheter
Välj behörigheten eller behörigheterna som markerats som minst privilegierade för det här API:et. Använd endast behörigheter med högre privilegier om din app kräver det. Mer information om delegerade behörigheter och programbehörigheter finns i Behörighetstyper. Mer information om dessa behörigheter finns i behörighetsreferensen.
Kommentar
Behörigheter för personliga Microsoft-konton kan inte användas för att distribuera Microsoft Graph-resurser som deklarerats i Bicep-filer.
Resursdistribution
Välj den minst privilegierade behörigheten från följande tabell för att skapa eller uppdatera en Microsoft.Graph/servicePrincipals-resurs.
| Behörighetstyp | Minst privilegierade behörigheter | Behörigheter med högre privilegier |
|---|---|---|
| Delegerad (arbets- eller skolkonto) | Application.ReadWrite.All | Directory.ReadWrite.All |
| Delegerad (personligt Microsoft-konto) | Stöds inte. | Stöds inte. |
| Program | Application.ReadWrite.OwnedBy | Application.ReadWrite.All, Directory.ReadWrite.All |
Skrivskyddade befintliga resurser
Välj den minst privilegierade behörigheten från följande tabell för att läsa en Microsoft.Graph/servicePrincipals-resurs med hjälp av nyckelordet existing.
| Behörighetstyp | Minst privilegierade behörigheter | Behörigheter med högre privilegier |
|---|---|---|
| Delegerad (arbets- eller skolkonto) | Application.Read.All | Application.ReadWrite.All, Directory.Read.All, Directory.ReadWrite.All |
| Delegerad (personligt Microsoft-konto) | Stöds inte. | Stöds inte. |
| Program | Application.Read.All | Application.ReadWrite.OwnedBy, Application.ReadWrite.All, Directory.Read.All, Directory.ReadWrite.All |
Resursformat
Om du vill skapa en Microsoft.Graph/servicePrincipals-resurs lägger du till följande Bicep i mallen.
resource symbolicname 'Microsoft.Graph/servicePrincipals@beta' = {
accountEnabled: bool
addIns: [
{
id: 'string'
properties: [
{
key: 'string'
value: 'string'
}
]
type: 'string'
}
]
alternativeNames: [
'string'
]
appDescription: 'string'
appDisplayName: 'string'
appId: 'string'
appRoleAssignmentRequired: bool
appRoles: [
{
allowedMemberTypes: [
'string'
]
description: 'string'
displayName: 'string'
id: 'string'
isEnabled: bool
value: 'string'
}
]
description: 'string'
disabledByMicrosoftStatus: 'string'
displayName: 'string'
homepage: 'string'
info: {
marketingUrl: 'string'
privacyStatementUrl: 'string'
supportUrl: 'string'
termsOfServiceUrl: 'string'
}
keyCredentials: [
{
customKeyIdentifier: 'string'
displayName: 'string'
endDateTime: 'string'
key: 'string'
keyId: 'string'
startDateTime: 'string'
type: 'string'
usage: 'string'
}
]
loginUrl: 'string'
logoutUrl: 'string'
notes: 'string'
notificationEmailAddresses: [
'string'
]
passwordCredentials: [
{
displayName: 'string'
endDateTime: 'string'
keyId: 'string'
startDateTime: 'string'
}
]
preferredSingleSignOnMode: 'string'
preferredTokenSigningKeyEndDateTime: 'string'
preferredTokenSigningKeyThumbprint: 'string'
publishedPermissionScopes: [
{
adminConsentDescription: 'string'
adminConsentDisplayName: 'string'
id: 'string'
isEnabled: bool
type: 'string'
userConsentDescription: 'string'
userConsentDisplayName: 'string'
value: 'string'
}
]
publisherName: 'string'
replyUrls: [
'string'
]
samlMetadataUrl: 'string'
samlSingleSignOnSettings: {
relayState: 'string'
}
servicePrincipalNames: [
'string'
]
servicePrincipalType: 'string'
tags: [
'string'
]
tokenEncryptionKeyId: 'string'
}
Egenskapsvärden
servicePrincipals
| Name | Beskrivning | Värde |
|---|---|---|
| accountEnabled | sant om kontot för tjänstens huvudnamn är aktiverat. annars falskt. Om värdet är falskt kan inga användare logga in på den här appen, även om de har tilldelats den | bool |
| addIns | Definierar anpassat beteende som en förbrukningstjänst kan använda för att anropa en app i specifika kontexter. Till exempel kan program som kan rendera filströmmar ange egenskapen addIns för dess "FileHandler"-funktioner. På så sätt kan tjänster som Microsoft 365 anropa programmet i kontexten för ett dokument som användaren arbetar med. | MicrosoftGraphAddIn[] |
| alternativeNames | Används för att hämta tjänstens huvudnamn per prenumeration, identifiera resursgrupp och fullständiga resurs-ID:n för hanterade identiteter | string[] |
| apiVersion | Resurs-API-versionen | 'beta' (ReadOnly) |
| appDescription | Beskrivningen som exponeras av det associerade programmet. | sträng |
| appDisplayName | Visningsnamnet som exponeras av det associerade programmet. Maximal längd är 256 tecken. | sträng |
| appId | Den unika identifieraren för det associerade programmet (dess appId-egenskap). Alternativ nyckel | sträng (krävs) |
| applicationTemplateId | Unik identifierare för applicationTemplate. Skrivskyddat. null om appen inte skapades från en programmall. | sträng (ReadOnly) |
| appOwnerOrganizationId | Innehåller klientorganisations-ID:t där programmet är registrerat. Detta gäller endast för tjänsthuvudnamn som backas upp av program | sträng (ReadOnly) Begränsningar: Min längd = 36 Maximal längd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| appRoleAssignmentRequired | Anger om användare eller andra tjänsthuvudnamn måste beviljas en approlltilldelning för tjänstens huvudnamn innan användare kan logga in eller appar kan hämta token. Standardvärdet är "false". Inte nullbar | bool |
| appRoles | De roller som exponeras av programmet, som tjänstens huvudnamn representerar. Mer information finns i appRoles-egenskapsdefinitionen för programentiteten. Inte nullbar. | MicrosoftGraphAppRole[] |
| deletedDateTime | Datum och tid då objektet togs bort. Alltid null när objektet inte har tagits bort. | sträng (ReadOnly) |
| description | Fältet Fritext för att ge en intern beskrivning av tjänstens huvudnamn som användaren har. Slutanvändarportaler som MyApps visar programbeskrivningen i det här fältet. Den maximala tillåtna storleken är 1 024 tecken | sträng |
| disabledByMicrosoftStatus | Anger om Microsoft har inaktiverat det registrerade programmet. Möjliga värden är: null (standardvärde), NotDisabled och DisabledDueToViolationOfServicesAgreement (orsaker kan vara misstänkt, missbruk eller skadlig aktivitet eller ett brott mot Microsoft-tjänsteavtalet) | sträng |
| displayName | Visningsnamnet för tjänstens huvudnamn | sträng |
| startsida | Startsida eller landningssida för programmet. | sträng |
| id | Den unika identifieraren för en entitet. Skrivskyddat. | sträng (ReadOnly) |
| information | Grundläggande profilinformation för det förvärvade programmet, till exempel appens marknadsföring, support, användarvillkor och URL:er för sekretesspolicy. Användarvillkoren och sekretesspolicyn visas för användarna via användarmedgivandeupplevelsen. Mer information finns i Så här lägger du till användarvillkor och sekretesspolicy för registrerade Microsoft Entra-appar | MicrosoftGraphInformationalUrl |
| keyCredentials | Samlingen med viktiga autentiseringsuppgifter som är associerade med tjänstens huvudnamn. Inte nullbar | MicrosoftGraphKeyCredential[] |
| loginUrl | Anger den URL där tjänstleverantören omdirigerar användaren till Microsoft Entra-ID för att autentisera. Microsoft Entra-ID använder URL:en för att starta programmet från Microsoft 365 eller Microsoft Entra Mina appar. När det är tomt utför Microsoft Entra ID ID IdP-initierad inloggning för program som konfigurerats med SAML-baserad enkel inloggning. Användaren startar programmet från Microsoft 365, Microsoft Entra Mina appar eller Microsoft Entra SSO URL. | sträng |
| logoutUrl | Anger den URL som Microsofts auktoriseringstjänst använder för att logga ut en användare med OpenId Connect-protokoll för front-channel, back-channel eller SAML-utloggning. | sträng |
| Anteckningar | Fritextfält för att samla in information om tjänstens huvudnamn, som vanligtvis används i driftssyfte. Maximal tillåten storlek är 1 024 tecken. | sträng |
| notificationEmailAddresses | Anger listan över e-postadresser där Microsoft Entra-ID skickar ett meddelande när det aktiva certifikatet är nära förfallodatumet. Detta gäller endast för de certifikat som används för att signera SAML-token som utfärdats för Microsoft Entra-galleriprogram. | string[] |
| passwordCredentials | Samlingen med lösenordsautentiseringsuppgifter som är associerade med tjänstens huvudnamn. Inte nullbar. | MicrosoftGraphPasswordCredential[] |
| preferredSingleSignOnMode | Anger det läge för enkel inloggning som konfigurerats för det här programmet. Microsoft Entra ID använder det föredragna läget för enkel inloggning för att starta programmet från Microsoft 365 eller Microsoft Entra Mina appar. De värden som stöds är lösenord, saml, notSupported och oidc. Obs! Det här fältet kan vara null för äldre SAML-appar och för OIDC-program där det inte anges automatiskt. | sträng |
| preferredTokenSigningKeyEndDateTime | Anger förfallodatumet för keyCredential som används för tokensignering, markerat med preferredTokenSigningKeyThumbprint. Uppdatering av det här attributet stöds inte för närvarande. Mer information finns i ServicePrincipal-egenskapsskillnader. | sträng |
| preferredTokenSigningKeyThumbprint | Den här egenskapen kan användas i SAML-program (appar som har valtSingleSignOnMode inställt på saml) för att styra vilket certifikat som används för att signera SAML-svar. För program som inte är SAML ska du inte skriva eller på annat sätt förlita dig på den här egenskapen. | sträng |
| publishedPermissionScopes | De delegerade behörigheter som exponeras av programmet. Mer information finns i egenskapen oauth2PermissionScopes på programentitetens API-egenskap. Inte nullbar. Obs! Den här egenskapen heter oauth2PermissionScopes i v1.0. | MicrosoftGraphPermissionScope[] |
| publisherName | Namnet på den Microsoft Entra-klientorganisation som publicerade programmet. | sträng |
| replyUrls | URL:er som användartoken skickas till för inloggning med det associerade programmet eller de omdirigerings-URI:er som OAuth 2.0-auktoriseringskoder och åtkomsttoken skickas till för det associerade programmet. Inte nullbar. | string[] |
| samlMetadataUrl | Url:en där tjänsten exponerar SAML-metadata för federation. | sträng |
| samlSingleSignOnSettings | Samlingen för inställningar som rör enkel inloggning med saml. | MicrosoftGraphSamlSingleSignOnSettings |
| servicePrincipalNames | Innehåller listan över identifiersUris som kopieras från det associerade programmet. Fler värden kan läggas till i hybridprogram. Dessa värden kan användas för att identifiera de behörigheter som exponeras av den här appen i Microsoft Entra-ID. Klientappar kan till exempel ange en resurs-URI som baseras på värdena för den här egenskapen för att hämta en åtkomsttoken, vilket är den URI som returneras i "aud"-anspråket. Alla operatorer krävs för filteruttryck på egenskaper med flera värden. Inte nullbar | string[] |
| servicePrincipalType | Identifierar om tjänstens huvudnamn representerar ett program eller en hanterad identitet. Detta anges av Microsoft Entra ID internt. För ett huvudnamn för tjänsten som representerar ett program anges detta som Program. För ett huvudnamn för tjänsten som representerar en hanterad identitet anges detta som ManagedIdentity. Typen SocialIdp är avsedd för intern användning. | sträng |
| signInAudience | Anger de Microsoft-konton som stöds för det aktuella programmet. Skrivskyddat. Värden som stöds är:AzureADMyOrg: Användare med ett Microsoft-arbets- eller skolkonto i min organisations Microsoft Entra-klientorganisation (enskild klientorganisation). AzureADMultipleOrgs: Användare med ett Microsoft-arbets- eller skolkonto i någon organisations Microsoft Entra-klientorganisation (multitenant). AzureADandPersonalMicrosoftAccount: Användare med ett personligt Microsoft-konto eller ett arbets- eller skolkonto i någon organisations Microsoft Entra-klientorganisation. PersonalMicrosoftAccount: Användare med ett personligt Microsoft-konto. | sträng (ReadOnly) |
| taggar | Anpassade strängar som kan användas för att kategorisera och identifiera tjänstens huvudnamn. Inte nullbar | string[] |
| tokenEncryptionKeyId | Anger keyId för en offentlig nyckel från samlingen keyCredentials. När det är konfigurerat utfärdar Microsoft Entra-ID token för det här programmet krypterade med hjälp av nyckeln som anges av den här egenskapen. Programkoden som tar emot den krypterade token måste använda den matchande privata nyckeln för att dekryptera token innan den kan användas för den inloggade användaren. | sträng Begränsningar: Min längd = 36 Maximal längd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| type | Resurstypen | "Microsoft.Graph/servicePrincipals" (ReadOnly) |
| verifiedPublisher | Anger den verifierade utgivaren av programmet som är länkat till tjänstens huvudnamn. | MicrosoftGraphVerifiedPublisher (ReadOnly) |
MicrosoftGraphKeyValue
| Name | Beskrivning | Värde |
|---|---|---|
| key | Nyckel. | sträng |
| värde | Värde. | sträng |
MicrosoftGraphAddIn
| Name | Beskrivning | Värde |
|---|---|---|
| id | Den unika identifieraren för addIn-objektet. | sträng Begränsningar: Min längd = 36 Maximal längd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| egenskaper | Samlingen nyckel/värde-par som definierar parametrar som den förbrukande tjänsten kan använda eller anropa. Du måste ange den här egenskapen när du utför en POST- eller PATCH-åtgärd i addIns-samlingen. Obligatoriskt. | MicrosoftGraphKeyValue[] |
| type | Det unika namnet på de funktioner som exponeras av appen. | sträng |
MicrosoftGraphAppRole
| Name | Beskrivning | Värde |
|---|---|---|
| allowedMemberTypes | Anger om den här approllen kan tilldelas till användare och grupper (genom att ange ['Användare']), till andra program (genom att ange ['Program'] eller båda (genom att ange till ['Användare', 'Program']). Approller som stöder tilldelning till andra programtjänsthuvudnamn kallas även programbehörigheter. Värdet "Program" stöds endast för approller som definierats på programentiteter. | string[] |
| description | Beskrivningen för approllen. Detta visas när approllen tilldelas och, om approllen fungerar som en programbehörighet, under medgivandeupplevelser. | sträng |
| displayName | Visningsnamn för behörigheten som visas i approlltilldelningen och medgivandeupplevelserna. | sträng |
| id | Unik rollidentifierare i samlingen appRoles. Du måste ange en ny GUID-identifierare när du skapar en ny approll. | sträng Begränsningar: Min längd = 36 Maximal längd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | När du skapar eller uppdaterar en approll måste detta anges till sant (vilket är standardvärdet). Om du vill ta bort en roll måste den först anges till false. Vid den tidpunkten kan den här rollen tas bort i ett efterföljande anrop. | bool |
| ursprung | Anger om approllen har definierats för programobjektet eller på entiteten servicePrincipal. Får inte ingå i post- eller PATCH-begäranden. Skrivskyddat. | sträng (ReadOnly) |
| värde | Anger värdet som ska inkluderas i rollanspråket i ID-token och åtkomsttoken som autentiserar en tilldelad användare eller tjänstens huvudnamn. Får inte överstiga 120 tecken. Tillåtna tecken är : ! # $ % & ' ( ) * + , -. / : ; = ? @ [ ] ^ + _ { } ~, och tecken i intervallen 0-9, A-Z och a-z. Andra tecken, inklusive blankstegstecknet, tillåts inte. Kanske inte börjar med .. | sträng |
MicrosoftGraphInformationalUrl
| Name | Beskrivning | Värde |
|---|---|---|
| logoUrl | CDN-URL till programmets logotyp, skrivskyddad. | sträng (ReadOnly) |
| marketingUrl | Länka till programmets marknadsföringssida. Till exempel: https://www.contoso.com/app/marketing | sträng |
| privacyStatementUrl | Länka till programmets sekretesspolicy. Till exempel: https://www.contoso.com/app/privacy | sträng |
| supportUrl | Länka till programmets supportsida. Till exempel: https://www.contoso.com/app/support | sträng |
| termsOfServiceUrl | Länka till programmets tjänstevillkor. Till exempel: https://www.contoso.com/app/termsofservice | sträng |
MicrosoftGraphKeyCredential
| Name | Beskrivning | Värde |
|---|---|---|
| customKeyIdentifier | En binär typ på 40 tecken som kan användas för att identifiera autentiseringsuppgifterna. Valfritt. När det inte anges i nyttolasten är standardvärdet för certifikatets tumavtryck. | sträng |
| displayName | Det egna namnet på nyckeln, med en maximal längd på 90 tecken. Längre värden accepteras men förkortas. Valfritt. | sträng |
| endDateTime | Datum och tid då autentiseringsuppgifterna upphör att gälla. DateTimeOffset-typen representerar datum- och tidsinformation med ISO 8601-format och är alltid i UTC-tid. Till exempel är midnatt UTC den 1 januari 2014 2014-01-01T00:00:00Z. | sträng |
| key | Värde för nyckelautentiseringsuppgifterna. Ska vara ett Base64-kodat värde. Från ett .cer certifikat kan du läsa nyckeln med hjälp av metoden Convert.ToBase64String(). Mer information finns i Hämta certifikatnyckeln. | sträng |
| keyId | Den unika identifieraren för nyckeln. | sträng Begränsningar: Min längd = 36 Maximal längd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| startDateTime | Datum och tid då autentiseringsuppgifterna blir giltiga. Tidsstämpeltypen representerar datum- och tidsinformation med ISO 8601-format och är alltid i UTC-tid. Till exempel är midnatt UTC den 1 januari 2014 2014-01-01T00:00:00Z. | sträng |
| type | Typ av nyckelautentiseringsuppgifter. Till exempel Symmetrisk, AsymmetriskX509Cert eller X509CertAndPassword. | sträng |
| användning | En sträng som beskriver syftet med att använda nyckeln. Till exempel None, Verify, PairwiseIdentifier, Decrypt, Encrypt, HashedIdentifier, SelfSignedTls eller Sign. Om användningen är Sign ska typen vara X509CertAndPassword och passwordCredentials för signering ska definieras. | sträng |
MicrosoftGraphPasswordCredential
| Name | Beskrivning | Värde |
|---|---|---|
| displayName | Eget namn på lösenordet. Valfritt. | sträng |
| endDateTime | Datum och tid då lösenordet upphör att gälla representeras med ISO 8601-format och är alltid i UTC-tid. Till exempel är midnatt UTC den 1 januari 2014 2014-01-01T00:00:00Z. Valfritt. | sträng |
| hint | Innehåller de tre första tecknen i lösenordet. Skrivskyddat. | sträng (ReadOnly) |
| keyId | Den unika identifieraren för lösenordet. | sträng Begränsningar: Min längd = 36 Maximal längd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| secretText | Skrivskyddad; Innehåller de starka lösenord som genereras av Microsoft Entra-ID:t som är 16–64 tecken långa. Det genererade lösenordsvärdet returneras endast under den första POST-begäran om att lägga tillPassword. Det finns inget sätt att hämta det här lösenordet i framtiden. | sträng (ReadOnly) |
| startDateTime | Datum och tid då lösenordet blir giltigt. Tidsstämpeltypen representerar datum- och tidsinformation med ISO 8601-format och är alltid i UTC-tid. Till exempel är midnatt UTC den 1 januari 2014 2014-01-01T00:00:00Z. Valfritt. | sträng |
MicrosoftGraphPermissionScope
| Name | Beskrivning | Värde |
|---|---|---|
| adminConsentDescription | En beskrivning av delegerade behörigheter som är avsedda att läsas av en administratör som beviljar behörigheten för alla användares räkning. Den här texten visas i klientorganisationens administratörsmedgivandeupplevelser. | sträng |
| adminConsentDisplayName | Behörighetens titel, avsedd att läsas av en administratör som beviljar behörigheten för alla användares räkning. | sträng |
| id | Unik delegerad behörighetsidentifierare i samlingen med delegerade behörigheter som definierats för ett resursprogram. | sträng Begränsningar: Min längd = 36 Maximal längd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| isEnabled | När du skapar eller uppdaterar en behörighet måste den här egenskapen vara inställd på true (vilket är standardvärdet). Om du vill ta bort en behörighet måste den här egenskapen först anges till false. Vid den tidpunkten kan behörigheten tas bort i ett efterföljande anrop. | bool |
| type | Möjliga värden är: Användare och administratör. Anger om den delegerade behörigheten ska anses vara säker för icke-administratörsanvändare att samtycka till för sig själva eller om ett administratörsmedgivande alltid ska krävas. Medan Microsoft Graph definierar standardkravet för medgivande för varje behörighet kan klientadministratören åsidosätta beteendet i organisationen (genom att tillåta, begränsa eller begränsa användarens medgivande till denna delegerade behörighet). Mer information finns i Konfigurera hur användarna godkänner program. | sträng |
| userConsentDescription | En beskrivning av delegerade behörigheter som är avsedda att läsas av en användare som beviljar behörigheten för sin egen räkning. Den här texten visas i medgivandeupplevelser där användaren endast samtycker för sig själva. | sträng |
| userConsentDisplayName | En rubrik för behörigheten, avsedd att läsas av en användare som beviljar behörigheten för sin egen räkning. Den här texten visas i medgivandeupplevelser där användaren endast samtycker för sig själva. | sträng |
| värde | Anger värdet som ska inkluderas i scp-anspråket (omfånget) i åtkomsttoken. Får inte överstiga 120 tecken. Tillåtna tecken är : ! # $ % & ' ( ) * + , -. / : ; = ? @ [ ] ^ + _ { } ~, och tecken i intervallen 0-9, A-Z och a-z. Andra tecken, inklusive blankstegstecknet, tillåts inte. Kanske inte börjar med .. | sträng |
MicrosoftGraphSamlSingleSignOnSettings
| Name | Beskrivning | Värde |
|---|---|---|
| relayState | Den relativa URI som tjänsteleverantören omdirigerar till efter slutförandet av flödet för enkel inloggning. | sträng |
MicrosoftGraphVerifiedPublisher
| Name | Beskrivning | Värde |
|---|---|---|
| addedDateTime | Tidsstämpeln när den verifierade utgivaren först lades till eller senast uppdaterades. | sträng |
| displayName | Det verifierade utgivarens namn från apputgivarens MPN-konto (Microsoft Partner Network). | sträng |
| verifiedPublisherId | ID för den verifierade utgivaren från apputgivarens Partnercenter-konto. | sträng |