Microsoft Entra ID 中自訂角色的應用程式註冊權限

發行項
11/19/2024

本文概述 Microsoft Entra ID 中自定義角色定義的可用應用程式註冊許可權。這些許可權可讓系統管理員管理具有特定存取層級的應用程式註冊，確保組織內應用程式的安全且有效率的管理。

授權需求

使用此功能需要 Microsoft Entra ID P1 授權。若要尋找適合您需求的授權，請參閱比較 Microsoft Entra ID 正式推出的功能。

管理單一租用戶應用程式的權限

選擇自訂角色的許可權時，您可以授與僅管理單一租使用者應用程式的存取權。單一租用戶應用程式僅適用於註冊應用程式的 Microsoft Entra 組織中的使用者。

單一租使用者應用程式定義為將支援的帳戶類型設定為「僅限此組織目錄中的帳戶」。在圖形 API 中，單一租使用者應用程式將 signInAudience 屬性設定為 “AzureADMyOrg”。

若要授與只管理單一租使用者應用程式的存取權，請使用子類型 applications.myOrganization 所指示的許可權，如下所示。例如，microsoft.directory/applications.myOrganization/basic/update。

如需子類型、許可權和屬性集的說明，請參閱自定義角色概觀。以下是專屬於應用程式註冊的資訊。

建立與刪除

有兩種權限可用於授與建立應用程式註冊的能力，兩者各有其不同的行為：

microsoft.directory/applications/createAsOwner

指派此許可權會導致建立者新增為所建立應用程式註冊的第一個擁有者。建立的應用程式註冊會計入建立者的250個已建立物件配額。

microsoft.directory/applications/create

授與此許可權可防止建立者新增為應用程式註冊的第一個擁有者，並將應用程式註冊從建立者的 250 物件配額中排除。請小心使用此許可權，因為沒有任何阻礙被指派者建立應用程式註冊，直到達到目錄層級配額為止。

如果指派這兩個許可權，則 /create 許可權優先。雖然 /createAsOwner 許可權不會自動將建立者新增為第一個擁有者，但在使用 Graph API 或 PowerShell Cmdlet 時，可以在建立應用程式註冊期間指定擁有者。

建立權限，授與對新增註冊命令的存取權。

這些權限可授與對新增註冊入口網站命令的存取權

有兩種權限可授與刪除應用程式註冊的能力：

microsoft.directory/applications/delete

授與刪除應用程式註冊的能力，不論子類型包括單一租使用者和多租用戶應用程式。

microsoft.directory/applications.myOrganization/delete

授與刪除應用程式註冊的能力，範圍限於僅可從您組織或單一租用戶應用程式 (子類型為 myOrganization ) 中之帳戶，進行存取的應用程式。

這些權限會授與「刪除應用程式註冊」命令的存取權

注意

指派包含「建立」權限的角色時，必須對目錄範圍建立該角色指派。在資源範圍指派的建立許可權不會授與建立應用程式註冊的能力。

參閱

組織中的所有成員使用者，預設皆可讀取應用程式註冊資訊。但來賓使用者和應用程式服務主體，則無法讀取。如果計劃要對來賓使用者或應用程式指派角色，則必須包含適當的讀取權限。

microsoft.directory/applications/allProperties/read

授與讀取單一租使用者和多租使用者應用程式屬性的能力，這些屬性在認證等任何情況下都無法讀取。

microsoft.directory/applications.myOrganization/allProperties/read

授與和 microsoft.directory/applications/allProperties/read 相同的權限，但僅於單一租用戶應用程式。

microsoft.directory/applications/owners/read

授與讀取單一租使用者和多租使用者應用程式擁有者屬性的能力。授與 [應用程式註冊擁有者] 頁面上所有欄位的存取權：

此權限會授與對應用程式註冊擁有者頁面的存取權

microsoft.directory/applications/standard/read

授與讀取標準應用程式註冊屬性的存取權。此包括應用程式註冊頁面之間的屬性。

microsoft.directory/applications.myOrganization/standard/read

授與和 microsoft.directory/applications/standard/read 相同的權限，但僅於單一租用戶應用程式。

更新

Microsoft Entra ID 中的「更新」許可權可讓系統管理員修改應用程式註冊的各種屬性。這些許可權對於維護及管理單一租使用者和多租使用者應用程式至關重要。根據授與的特定許可權，系統管理員可以更新屬性，例如支援的帳戶類型、驗證設定、品牌詳細數據等等。以下是可用更新許可權及其特定功能的詳細清單。

microsoft.directory/applications/allProperties/update

允許更新單一租使用者和多租用戶應用程式上的所有屬性。

microsoft.directory/applications.myOrganization/allProperties/update

授與和 microsoft.directory/applications/allProperties/update 相同的權限，但僅於單一租用戶應用程式。

microsoft.directory/applications/audience/update

允許在單一租使用者和多租使用者應用程式上更新支援的帳戶類型（signInAudience）屬性。

此權限會授權以供存取驗證頁面上受應用程式註冊支援的帳戶類型屬性

microsoft.directory/applications.myOrganization/audience/update

授與和 microsoft.directory/applications/audience/update 相同的權限，但僅於單一租用戶應用程式。

microsoft.directory/applications/authentication/update

允許在單一租使用者和多租使用者應用程式上更新回復 URL、註銷 URL、隱含流程和發行者網域屬性。授與 [應用程式註冊驗證] 頁面上所有欄位的存取權，但受支援帳戶類型除外：

授與應用程式註冊驗證的存取權，但無法存取支援的帳戶類型

microsoft.directory/applications.myOrganization/authentication/update

授與和 microsoft.directory/applications/authentication/update 相同的權限，但僅於單一租用戶應用程式。

microsoft.directory/applications/basic/update

允許在單一租使用者和多租使用者應用程式上更新名稱、標誌、首頁 URL、服務條款 URL 和隱私聲明 URL 屬性的能力。授與 [應用程式註冊商標] 頁面上所有欄位的存取權：

此權限會授與應用程式注冊商標頁面的存取權

microsoft.directory/applications.myOrganization/basic/update

授與和 microsoft.directory/applications/basic/update 相同的權限，但僅於單一租用戶應用程式。

microsoft.directory/applications/credentials/update

允許在單一租使用者和多租使用者應用程式上更新憑證和用戶端秘密屬性的能力。授與 [應用程式註冊憑證和密碼] 頁面上所有欄位的存取權：

此權限會授與應用程式注冊憑證和秘密頁面的存取權

microsoft.directory/applications.myOrganization/credentials/update

授與和 microsoft.directory/applications/credentials/update 相同的權限，但僅於單一租用戶應用程式。

microsoft.directory/applications/owners/update

允許在單一租使用者和多租使用者上更新擁有者屬性的功能。授與 [應用程式註冊擁有者] 頁面上所有欄位的存取權：