Поделиться через

Разрешения на регистрацию приложений для пользовательских ролей в идентификаторе Microsoft Entra

В этой статье описаны разрешения на регистрацию приложения, доступные для определений пользовательских ролей в идентификаторе Microsoft Entra ID. Эти разрешения позволяют администраторам управлять регистрацией приложений с определенными уровнями доступа, обеспечивая безопасное и эффективное управление приложениями в организации.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

Разрешения для управления приложениями с одним клиентом

При выборе разрешений для пользовательской роли вы можете предоставить доступ к управлению только приложениями с одним клиентом. Однотенантные приложения доступны только пользователям в организации Microsoft Entra, где зарегистрировано приложение.

Приложения с одним клиентом определяются как поддерживаемые типы учетных записей, равные "Учетные записи только в этом каталоге организации". В API Graph однотенантные приложения имеют свойство signInAudience с значением "AzureADMyOrg".

Чтобы предоставить доступ к управлению только однотенантными приложениями, используйте разрешения, указанные ниже в приложениях подтипа.myOrganization. Например, microsoft.directory/applications.myOrganization/basic/update.

Общие сведения о пользовательских ролях см. в описании подтипа терминов, разрешений и набора свойств. Следующие сведения относятся к регистрации приложений.

Создание и удаление

Для создания регистраций приложений доступны два разрешения, каждое из которых отличается своим поведением:

microsoft.directory/applications/createAsOwner

Назначение этого разрешения приводит к добавлению создателя в качестве первого владельца регистрации созданного приложения. Регистрация созданного приложения включается в квоту создателя из 250 созданных объектов.

microsoft.directory/applications/create (Майкрософт.директория/приложения/создать)

Предоставление этого разрешения предотвращает добавление создателя в качестве первого владельца регистрации приложения и исключает регистрацию приложения из лимита в 250 объектов для создателя. Используйте это разрешение с осторожностью, так как ничто не мешает обладателю разрешения создавать регистрации приложений до достижения квоты на уровне каталога.

Если назначены оба разрешения, то разрешение /create имеет приоритет. Хотя разрешение /createAsOwner не добавляет создателя в качестве первого владельца, владельцы могут быть указаны во время создания регистрации приложения при использовании API Graph или командлетов PowerShell.

Разрешения предоставляют доступ к команде New registration.

Снимок экрана: разрешения на предоставление доступа к команде нового портала регистрации.

Существует два разрешения для предоставления возможности удалять регистрации приложений:

microsoft.directory/applications/delete

Предоставляет возможность удалять регистрации приложений независимо от подтипа, включая однотенантные и мультитенантные приложения.

microsoft.directory/applications.myOrganization/delete

Предоставляет возможность удалять регистрации приложений, которые доступны только для учетных записей в организации, или приложений с одним клиентом (подтип myOrganization).

Снимок экрана: разрешения для предоставления доступа к команде

Примечание.

При назначении роли, содержащей разрешения на создание, назначение роли должно происходить в области каталога. Разрешение на создание, назначенное на уровне области ресурсов, не предоставляет возможности создавать регистрации приложений.

Читайте

Все пользователи, входящие в организацию, могут читать сведения о регистрации приложения по умолчанию. Однако гостевые пользователи и главные службы приложений не могут. Если вы планируете назначить роль гостевому пользователю или приложению, необходимо включить соответствующие разрешения на чтение.

всё свойства (read) приложения в microsoft.directory

Предоставляет возможность считывать все свойства однотенантных и мультитенантных приложений за пределами свойств, которые не могут быть прочитаны в любой ситуации, например учетные данные.

microsoft.directory/applications.myOrganization/allProperties/read

Предоставляет те же разрешения, что и microsoft.directory/applications/allProperties/read, но только для приложений с одним клиентом.

microsoft.directory/applications/owners/read

Обеспечивает возможность чтения свойств владельцев в одноарендаторных и многоарендаторных приложениях. Предоставляет доступ ко всем полям на странице владельцев регистрации приложений:

Снимок экрана: разрешения на предоставление доступа к странице владельцев регистрации приложений.

microsoft.directory/applications/standard/read

Предоставляет доступ на чтение стандартных свойств регистрации приложения. К ним относятся свойства на страницах регистрации приложений.

microsoft.directory/applications.myOrganization/standard/read

Предоставляет те же разрешения, что и microsoft.directory/applications/standard/read, но только для приложений с одним клиентом.

Обновить

Разрешения Update в идентификаторе Microsoft Entra позволяют администраторам изменять различные свойства регистрации приложений. Эти разрешения необходимы для обслуживания и управления приложениями с одним клиентом и мультитенантными приложениями. В зависимости от предоставленного разрешения администраторы могут обновлять свойства, такие как поддерживаемые типы учетных записей, параметры проверки подлинности, сведения о фирменной символии и многое другое. Ниже приведен подробный список доступных разрешений на обновление и их конкретные возможности.

microsoft.directory/applications/allProperties/update

Позволяет обновлять все свойства в однотенантных и мультитенантных приложениях.

microsoft.directory/applications.myOrganization/allProperties/update

Предоставляет те же разрешения, что и microsoft.directory/applications/allProperties/update, но только для приложений с одним клиентом.

microsoft.directory/applications/audience/обновление

Позволяет возможность обновления свойства типа поддерживаемой учетной записи (signInAudience) в однотенантных и мультитенантных приложениях.

Снимок экрана: разрешение на предоставление доступа к свойству типа учетной записи для регистрации приложения на странице проверки подлинности.

microsoft.directory/applications.myOrganization/audience/update

Предоставляет те же разрешения, что и microsoft.directory/applications/audience/update, но только для приложений с одним клиентом.

microsoft.каталог/приложения/аутентификация/обновление

Позволяет обновлять URL-адрес ответа, URL-адрес выхода, неявный поток и свойства домена издателя в однотенантных и мультитенантных приложениях. Предоставляет доступ ко всем полям на странице проверки подлинности регистрации приложения, за исключением поддерживаемых типов учетных записей:

Снимок экрана: разрешения для доступа к аутентификации при регистрации приложения, но не для поддерживаемых типов учетных записей.

microsoft.directory/applications.myOrganization/authentication/update

Предоставляет те же разрешения, что и microsoft.directory/applications/authentication/update, но только для приложений с одним клиентом.

microsoft.директория/приложения/основное/обновить

Позволяет обновлять имя, логотип, URL-адрес домашней страницы, URL-адрес службы и URL-адрес заявления о конфиденциальности для однотенантных и мультитенантных приложений. Предоставляет доступ ко всем полям на странице фирменной символики регистрации приложений:

Снимок экрана: разрешение на предоставление доступа к странице фирменной символики регистрации приложения.

microsoft.directory/applications.myOrganization/basic/update

Предоставляет те же разрешения, что и microsoft.directory/applications/basic/update, но только для приложений с одним клиентом.

microsoft.directory/applications/credentials/update

Позволяет обновлять сертификаты и свойства секретов клиента в однотенантных и мультитенантных приложениях. Предоставляет доступ ко всем полям на странице сертификатов и секретов регистрации приложений:

Снимок экрана: разрешение на предоставление доступа к сертификатам регистрации приложения и странице секретов.

microsoft.directory/приложения.myOrganization/учетные_данные/обновить

Предоставляет те же разрешения, что и microsoft.directory/applications/credentials/update, но только для приложений с одним клиентом.

microsoft.directory/applications/owners/update

Позволяет обновлять свойство владельца в одноарендном и многоарендном режиме. Предоставляет доступ ко всем полям на странице владельцев регистрации приложений:

Снимок экрана: разрешения на предоставление доступа к странице владельцев регистрации приложений.

microsoft.directory/applications.myOrganization/owners/update

Предоставляет те же разрешения, что и microsoft.directory/applications/owners/update, но только для приложений с одним клиентом.

microsoft.directory/applications/permissions/обновление

Это разрешение позволяет обновлять различные свойства для однотенантных и мультитенантных приложений, включая делегированные разрешения, разрешения приложения, авторизованные клиентские приложения, необходимые разрешения и свойства согласия. Он не предоставляет возможность давать согласие. Предоставляет доступ ко всем полям в разрешениях API на страницах регистрации приложения и раскрытия API.

Снимок экрана: разрешения на предоставление доступа к странице разрешений API регистрации приложения.

Скриншот с разрешениями для предоставления доступа на странице регистрации приложения «Expose an API».

microsoft.directory/applications.myOrganization/permissions/update

Предоставляет те же разрешения, что и microsoft.directory/applications/permissions/update, но только для приложений с одним клиентом.

Следующие шаги

  • Last updated on