应用程序资源类型
命名空间:microsoft.graph
重要
Microsoft Graph /beta
版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
表示应用程序。 必须将身份验证外包给Microsoft Entra ID的任何应用程序在Microsoft 标识平台中注册。 应用程序注册涉及告知Microsoft Entra ID应用程序的相关信息,包括应用程序所在的 URL、身份验证后发送答复的 URL、用于标识应用程序的 URI 等。
继承自 directoryObject。
此资源是允许传入其他属性的开放类型。
该资源支持:
- 将你自己的数据作为扩展添加到自定义属性。
- 通过提供 delta 函数,使用 delta 查询跟踪增量添加、删除和更新。
- 备用键语法。 属性
appId
是支持的备用键。 有关详细信息,请参阅 获取应用程序。
方法
方法 | 返回类型 | Description |
---|---|---|
List | application 集合 | 检索该组织中应用程序的列表。 |
创建 | application | 创建(注册)新应用程序。 |
Get | application | 读取 application 对象的属性和关系。 |
更新 | 无 | 更新 application 对象。 |
Upsert | application | 如果不存在,请创建一个新应用程序,或更新现有应用程序的属性。 |
删除 | 无 | 删除 application 对象。 |
Get delta | application 集合 | 获取应用程序的增量更改。 |
已删除项目 | ||
List | directoryObject 集合 | 检索最近删除的应用程序的列表。 |
Get | directoryObject | 检索最近删除的应用程序的属性。 |
还原 | directoryObject | 还原最近删除的应用程序。 |
永久删除 | None | 永久删除应用程序。 |
列出用户拥有的已删除项目 | directoryObject collection | 检索租户中最近 30 天内删除的应用程序以及用户拥有的应用程序。 |
证书和密码 | ||
添加密码 | passwordCredential | 向应用程序添加强密码或机密。 |
删除密码 | passwordCredential | 从应用程序中删除密码或机密。 |
加号键 | keyCredential | 向应用程序添加密钥凭据。 |
删除键 | 无 | 从应用程序中删除密钥凭据。 |
Owners | ||
List | directoryObject collection | 获取应用程序的所有者。 |
添加 | directoryObject | 将所有者分配到应用程序。 应用程序所有者可以是用户或服务主体。 |
Remove | 无 | 从应用程序删除所有者。 作为建议的最佳做法,应用应至少有两个所有者。 |
已验证发布者 | ||
Set | 无 | 设置应用程序的已验证发布者。 |
未凝固的 | 无 | 取消设置应用程序的已验证发布者。 |
属性
重要
仅当使用设置为 eventual
和 $count
的 ConsistencyLevel 标头时,才支持 $filter
和 $search
查询参数的特定用法。 有关详细信息,请参阅 目录对象的高级查询功能。
属性 | 类型 | Description |
---|---|---|
addIns | addIn 集合 | 定义使用服务可用于调用特定上下文中的应用的自定义行为。 例如,可以呈现文件流的应用程序可以为其“FileHandler”功能 设置 addIns 属性 。 这样,Office 365等服务就可以在用户正在处理的文档上下文中调用应用程序。 |
api | apiApplication | 指定实现 Web API 的应用程序的设置。 |
appId | String | 由 Microsoft Entra ID 分配的应用程序的唯一标识符。 不可为 null。 只读。 备用键。 支持 $filter (eq )。 |
applicationTemplateId | String |
applicationTemplate 的唯一标识符。 支持 $filter (eq 、not 、ne )。 只读。
null 如果应用不是从应用程序模板创建的,则为 。 |
appRoles | appRole 集合 | 为应用程序定义的角色集合。 使用应用角色分配,可将这些角色分配给与其他应用程序关联的用户、组或服务主体。 不可为空。 |
authenticationBehaviors | authenticationBehaviors | 与为应用程序配置的令牌颁发相关的中断性变更行为的集合。 默认情况下,身份验证行为未设置 (null ) ,必须显式启用或禁用。 可为 NULL。 仅在 $select 上返回。 有关身份验证行为的详细信息,请参阅 管理应用程序身份验证操作以避免未经验证地使用电子邮件声明进行用户标识或授权。 |
认证 | 认证 | 指定应用程序的认证状态。 |
createdDateTime | DateTimeOffset | 注册应用程序的日期和时间。 DateTimeOffset 表示使用 ISO 8601 格式的日期和时间信息,并且始终处于 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z 。 只读。 支持 $filter (eq 、ne 、not 、ge 、le 、in 和 null 值上的 eq ) 和 $orderby 。 |
defaultRedirectUri | String | 默认重定向 URI。 如果已指定,并且 SAML 和 OIDC 流的登录请求中没有显式重定向 URI,Microsoft Entra ID将令牌发送到此重定向 URI。 Microsoft Entra ID还会在 SAML IdP 发起的单一登录中将令牌发送到此默认 URI。 该值必须与为应用程序配置的重定向 URI 之一匹配。 |
deletedDateTime | DateTimeOffset | 删除应用程序的日期和时间。 DateTimeOffset 表示使用 ISO 8601 格式的日期和时间信息,并且始终处于 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z 。 只读。 |
description | String | 用于向最终用户提供应用程序对象说明的空闲文本字段。 允许的最大大小为 1,024 个字符。 默认情况下返回。 支持 $filter (eq 、ne 、not 、ge 、le 、startsWith )和 $search 。 |
disabledByMicrosoftStatus | String | 指定 Microsoft 是否已禁用已注册应用程序。 可能值是:null (默认值)、NotDisabled 和 DisabledDueToViolationOfServicesAgreement (原因可能包括可疑、滥用或恶意活动,或违反 Microsoft 服务协议)。 支持 $filter (eq 、ne 、not )。 |
displayName | String | 应用程序的显示名称。 最大长度为 256 个字符。 支持 $filter (eq 、ne 、not 、ge 、le 、in 、startsWith 和 null 值上的 eq )、$search 和 $orderby 。 |
groupMembershipClaims | String | 配置应用程序所需的用户访问令牌或 OAuth 2.0 访问令牌中颁发的 groups 声明。 若要设置此属性,请使用以下字符串值之一:None 、 SecurityGroup (安全组和Microsoft Entra角色) , All (这会获取登录用户是) 成员的所有安全组、通讯组和Microsoft Entra目录角色。 |
id | 字符串 | 应用程序对象的唯一标识符。 此属性在Microsoft Entra 管理中心中称为“对象 ID”。 继承自 directoryObject。 键。 不可为 null。 只读。 支持 $filter (eq 、 ne 、 not 、 in )。 |
identifierUris | String collection | 也称为应用 ID URI,此值在将应用程序用作资源应用时设置。 identifierUris 充当在 API 代码中引用的范围的前缀,并且必须全局唯一。 可以使用提供的默认值(采用 api://<appId> 形式)或指定更具有可读性的 URI(如 https://contoso.com/api )。 有关有效 identifierUris 模式和最佳做法的详细信息,请参阅Microsoft Entra应用程序注册安全最佳做法。 不可为 null。 支持 $filter (eq 、ne 、ge 、le 、startsWith )。 |
info | informationalUrl | 应用程序的基本配置文件信息,如应用的市场营销、支持、服务条款和隐私声明 URL。 服务条款和隐私声明通过用户同意体验展示给用户。 有关详细信息,请参阅如何:为已注册Microsoft Entra应用添加服务条款和隐私声明。 支持 $filter (eq 、ne 、not 、ge 、le 和 null 值上的 eq )。 |
isDeviceOnlyAuthSupported | 布尔值 | 指定此应用程序是否支持在无用户的情况下进行设备身份验证。 默认值为 false 。 |
isFallbackPublicClient | Boolean | 将回退应用程序类型指定为公共客户端,例如在移动设备上运行的已安装应用程序。 默认值 false 为 ,这意味着回退应用程序类型是机密客户端,例如 Web 应用。 在某些情况下,Microsoft Entra ID无法确定客户端应用程序类型。 例如,在未指定重定向 URI 的情况下配置应用程序的 ROPC 流。 在这些情况下,Microsoft Entra ID根据此属性的值解释应用程序类型。 |
keyCredentials | keyCredential 集合 | 与应用程序关联的密钥凭据集合。 不可为 null。 支持 $filter (eq 、not 、ge 、le )。 |
logo | Stream | 应用程序的主徽标。 不可为空。 |
nativeAuthenticationApisEnabled | nativeAuthenticationApisEnabled | 指定是否为应用程序启用本机身份验证 API。 可能的值为: none 和 all 。 默认值为“none ”。 有关详细信息,请参阅 本机身份验证。 |
notes | String | 与应用程序管理相关的备注。 |
oauth2RequiredPostResponse | Boolean | 指定作为 OAuth 2.0 令牌请求的一部分,Microsoft Entra ID是否允许 POST 请求,而不是 GET 请求。 默认值为 false ,即指定只允许 GET 请求。 |
onPremisesPublishing | onPremisesPublishing | 表示为此应用程序配置应用程序代理所需的属性集。 配置这些属性允许你发布本地应用程序以实现安全远程访问。 |
optionalClaims | optionalClaims | 应用程序开发人员可以在其Microsoft Entra应用程序中配置可选声明,以指定Microsoft安全令牌服务发送到其应用程序的声明。 有关详细信息,请参阅如何向你的应用提供可选声明。 |
parentalControlSettings | parentalControlSettings | 指定应用程序的家长控制设置。 |
passwordCredentials | passwordCredential 集合 | 与应用程序关联的密码凭据集合。 不可为 Null。 |
publicClient | publicClientApplication | 指定已安装客户端(如台式设备或移动设备)的设置。 |
publisherDomain | String | 应用程序的已验证发布者域。 只读。 支持 $filter (eq 、 ne 、 ge 、 le 、 startsWith )。 |
requestSignatureVerification | requestSignatureVerification | 指定此应用程序是否需要Microsoft Entra ID来验证已签名的身份验证请求。 |
requiredResourceAccess | requiredResourceAccess 集合 | 指定应用程序需要访问的资源。 此属性还指定每个资源所需的委派权限和应用程序角色的集合。 该配置对所需的资源的访问将推动许可体验。 可配置的资源服务 (API) 不能超过 50 个。 从 2021 年 10 月中旬开始,所需权限总数不得超过 400 个。 有关详细信息,请参阅 对每个应用请求的权限的限制。 不可为 null。 支持 $filter (eq 、not 、ge 、le )。 |
samlMetadataUrl | String | 服务用于公开联合身份验证的 SAML 元数据的 URL。 此属性仅对单租户应用程序有效。 可为 Null。 |
serviceManagementReference | 字符串 | 引用服务或资产管理数据库中的应用程序或服务联系人信息。 可为 NULL。 |
signInAudience | String | 指定当前应用程序支持的 Microsoft 帐户。 可能的值为: AzureADMyOrg (默认) 、 AzureADMultipleOrgs AzureADandPersonalMicrosoftAccount 和 PersonalMicrosoftAccount 。 有关详细信息,请参阅 表格。 此对象的值还限制应用可以请求的权限数。 有关详细信息,请参阅 对每个应用请求的权限的限制。 此属性的值对其他应用对象属性具有影响。 因此,如果更改此属性,可能需要先更改其他属性。 有关详细信息,请参阅 signInAudience 的验证差异。 支持 $filter (eq 、ne 、not )。 |
servicePrincipalLockConfiguration | servicePrincipalLockConfiguration | 指定在租户中预配应用程序后,是否应锁定多租户应用程序的敏感属性以供编辑。 可为 Null。
null 默认情况下。 |
spa | spaApplication | 指定单页应用程序的设置,包括注销 URL 并重定向授权代码和访问令牌的 URI。 |
标记 | String 集合 | 可用于分类和标识应用程序的自定义字符串。 不可为空。 此处添加的字符串也显示在任何关联的服务主体的 tags 属性中。 支持 $filter (eq 、not 、、 startsWith le ge ) 和 $search 。 |
tokenEncryptionKeyId | Guid | 指定 keyCredentials 集合中的公共密钥的 keyId。 配置后,Microsoft Entra ID使用此属性指向的密钥加密它发出的所有令牌。 接收加密令牌的应用程序代码必须先使用匹配的私钥来解密该令牌,然后才能将该令牌用于登录用户。 |
唯一名称 | String | 可分配给应用程序并用作备用键的唯一标识符。 不可变。 只读。 |
verifiedPublisher | verifiedPublisher | 指定已验证的应用程序发布者。 有关发布者验证如何帮助支持应用程序安全性、可信度和合规性的详细信息,请参阅 发布者验证。 |
web | webApplication | 指定 Web 应用程序的设置。 |
windows | windowsApplication | 指定运行 Microsoft Windows 并在 Microsoft Store 或 Xbox 游戏商店中发布的应用的设置。 |
signInAudience 值
值 | 说明 |
---|---|
AzureADMyOrg | 在组织的Microsoft Entra租户中具有Microsoft工作或学校帐户的用户 (单租户) 。 这是 signInAudience 属性的默认值。 |
AzureADMultleOrgs | 在任何组织的Microsoft Entra租户中具有Microsoft工作或学校帐户的用户 (多租户) 。 |
AzureADandPersonalMicrosoftAccount | 在任何组织的Microsoft Entra租户中具有个人Microsoft帐户或工作或学校帐户的用户。 要使用 Azure Active Directory B2C 用户流程对用户进行身份验证,请使用 AzureADandPersonalMicrosoftAccount 。 该值允许最广泛的用户标识集,包括本地账户和 Microsoft、Facebook、谷歌、Twitter 或任何 OpenID Connect 提供商的用户标识。 |
PersonalMicrosoftAccount | 仅具有个人 Microsoft 帐户的用户。 |
每个应用请求的权限限制
Microsoft Entra ID限制客户端应用可以请求和同意的权限数。 这些限制取决于 signInAudience
应用的值,如 应用清单中所示。
signInAudience | 允许的用户 | 应用可以请求的最大权限 | 应用可以请求的最大 Microsoft Graph 权限 | 单个请求中可同意的最大权限 |
---|---|---|---|---|
AzureADMyOrg | 注册应用的组织中的用户 | 400 | 400 | 大约 155 个委派权限和大约 300 个应用程序权限 |
AzureADMultleOrgs | 任何Microsoft Entra组织中的用户 | 400 | 400 | 大约 155 个委派权限和大约 300 个应用程序权限 |
PersonalMicrosoftAccount | 消费者用户(如 Outlook.com 或 Live.com 帐户) | 30 | 30 | 30 |
AzureADandPersonalMicrosoftAccount | 使用者用户和来自任何Microsoft Entra组织的用户 | 30 | 30 | 30 |
关系
重要
仅当使用设置为 eventual
和 $count
的 ConsistencyLevel 标头时,才支持查询参数的特定用法$filter
。 有关详细信息,请参阅 目录对象的高级查询功能。
关系 | 类型 | 说明 |
---|---|---|
appManagementPolicies | appManagementPolicy 集合 | 应用到此应用程序的 appManagementPolicy。 |
calls | call 集合 | 只读。 可为 Null。 |
connectorGroup | connectorGroup | 应用程序正在使用的 connectorGroup 与Microsoft Entra应用程序代理。 可为 Null。 |
createdOnBehalfOf | directoryObject | 支持 $filter (/$count eq 0 、/$count ne 0 )。 只读。 |
extensionProperties | extensionProperty 集合 | 只读。 可为 NULL。 支持 $expand 和 $filter (/$count eq 0 、 /$count ne 0 ) 。 |
federatedIdentityCredentials | federatedIdentityCredential 集合 | 应用程序的联合标识。 支持 $expand 和 $filter (startsWith 、 /$count eq 0 /$count ne 0 ) 。 |
onlineMeetings | onlineMeeting 集合 | 只读。 可为空。 |
所有者 | directoryObject 集合 | 拥有此应用程序的目录对象。 只读。 可为 NULL。 支持 $expand 、 $filter (/$count eq 0 、 /$count ne 0 、 /$count eq 1 、 /$count ne 1 ) 和 $select 嵌套在 中 $expand 。 |
同步 | 同步 | 表示通过Microsoft图形 API Microsoft Entra标识同步的功能。 |
tokenLifetimePolicies | tokenLifetimePolicy 集合 | 为此应用分配的 tokenLifetimePolicies。 支持 $expand 。 |
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"addIns": [{"@odata.type": "microsoft.graph.addIn"}],
"api": {"@odata.type": "microsoft.graph.apiApplication"},
"appId": "String",
"applicationTemplateId": "String",
"appRoles": [{"@odata.type": "microsoft.graph.appRole"}],
"authenticationBehaviors": {"@odata.type": "microsoft.graph.authenticationBehaviors"},
"certification": {"@odata.type": "microsoft.graph.certification"},
"createdDateTime": "String (timestamp)",
"deletedDateTime": "String (timestamp)",
"disabledByMicrosoftStatus": "String",
"displayName": "String",
"groupMembershipClaims": "String",
"id": "String (identifier)",
"identifierUris": ["String"],
"info": {"@odata.type": "microsoft.graph.informationalUrl"},
"isDeviceOnlyAuthSupported": false,
"isFallbackPublicClient": false,
"keyCredentials": [{"@odata.type": "microsoft.graph.keyCredential"}],
"logo": "Stream",
"nativeAuthenticationApisEnabled": "String",
"notes": "String",
"oauth2RequiredPostResponse": false,
"optionalClaims": {"@odata.type": "microsoft.graph.optionalClaims"},
"parentalControlSettings": {"@odata.type": "microsoft.graph.parentalControlSettings"},
"passwordCredentials": [{"@odata.type": "microsoft.graph.passwordCredential"}],
"publicClient": {"@odata.type": "microsoft.graph.publicClientApplication"},
"publisherDomain": "String",
"requestSignatureVerification": {"@odata.type": "microsoft.graph.requestSignatureVerification"},
"requiredResourceAccess": [{"@odata.type": "microsoft.graph.requiredResourceAccess"}],
"servicePrincipalLockConfiguration": {"@odata.type": "microsoft.graph.servicePrincipalLockConfiguration"},
"serviceManagementReference": "String",
"signInAudience": "String",
"spa": {"@odata.type": "microsoft.graph.spaApplication"},
"tags": ["String"],
"tokenEncryptionKeyId": "String",
"uniqueName": "String",
"verifiedPublisher": {"@odata.type": "microsoft.graph.verifiedPublisher"},
"web": {"@odata.type": "microsoft.graph.webApplication"},
"windows": {"@odata.type": "microsoft.graph.windowsApplication"}
}