Поделиться через

Application registration permissions for custom roles in Microsoft Entra ID

  • Статья

В этой статье описаны разрешения на регистрацию приложения, доступные для определений пользовательских ролей в идентификаторе Microsoft Entra ID. Эти разрешения позволяют администраторам управлять регистрацией приложений с определенными уровнями доступа, обеспечивая безопасное и эффективное управление приложениями в организации.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

Разрешения для управления приложениями с одним клиентом

When choosing the permissions for your custom role, you can grant access to manage only single-tenant applications. Однотенантные приложения доступны только пользователям в организации Microsoft Entra, где зарегистрировано приложение.

Single-tenant applications are defined as having Supported account types set to "Accounts in this organizational directory only." In the Graph API, single-tenant applications have the signInAudience property set to "AzureADMyOrg."

To grant access to manage only single-tenant applications, use the permissions indicated as follows with the subtype applications.myOrganization. For example, microsoft.directory/applications.myOrganization/basic/update.

Общие сведения о пользовательских ролях см. в описании подтипа терминов, разрешений и набора свойств. Следующие сведения относятся к регистрации приложений.

Создание и удаление

Для создания регистраций приложений доступны два разрешения, каждое из которых отличается своим поведением:

microsoft.directory/applications/createAsOwner

Назначение этого разрешения приводит к добавлению создателя в качестве первого владельца регистрации созданного приложения. The created app registration counts towards the creator's 250 created objects quota.

microsoft.directory/applications/create

Предоставление этого разрешения предотвращает добавление создателя в качестве первого владельца регистрации приложения и исключает регистрацию приложения из лимита в 250 объектов для создателя. Используйте это разрешение с осторожностью, так как ничто не мешает обладателю разрешения создавать регистрации приложений до достижения квоты на уровне каталога.

Если назначены оба разрешения, то разрешение /create имеет приоритет. Хотя разрешение /createAsOwner не добавляет создателя в качестве первого владельца, владельцы могут быть указаны во время создания регистрации приложения при использовании API Graph или командлетов PowerShell.

Create permissions grant access to the New registration command.

Screenshot of permissions to grant access to the New Registration portal command.

Существует два разрешения для предоставления возможности удалять регистрации приложений:

microsoft.directory/applications/delete

Предоставляет возможность удалять регистрации приложений независимо от подтипа, включая однотенантные и мультитенантные приложения.

microsoft.directory/applications.myOrganization/delete

Предоставляет возможность удалять регистрации приложений, которые доступны только для учетных записей в организации, или приложений с одним клиентом (подтип myOrganization).

Screenshot of permissions to grant access to the Delete app registration command.

Примечание.

When assigning a role that contains create permissions, the role assignment must be made at the directory scope. A create permission assigned at a resource scope doesn't grant the ability to create app registrations.

Read

Все пользователи, входящие в организацию, могут читать сведения о регистрации приложения по умолчанию. However, guest users and application service principals can't. Если вы планируете назначить роль гостевому пользователю или приложению, необходимо включить соответствующие разрешения на чтение.

microsoft.directory/applications/allProperties/read

Предоставляет возможность считывать все свойства однотенантных и мультитенантных приложений за пределами свойств, которые не могут быть прочитаны в любой ситуации, например учетные данные.

microsoft.directory/applications.myOrganization/allProperties/read

Предоставляет те же разрешения, что и microsoft.directory/applications/allProperties/read, но только для приложений с одним клиентом.

microsoft.directory/applications/owners/read

Grants the ability to read owners property on single-tenant and multitenant applications. Предоставляет доступ ко всем полям на странице владельцев регистрации приложений:

Screenshot of permissions to grant access to the app registration owners page.

microsoft.directory/applications/standard/read

Предоставляет доступ на чтение стандартных свойств регистрации приложения. К ним относятся свойства на страницах регистрации приложений.

microsoft.directory/applications.myOrganization/standard/read

Предоставляет те же разрешения, что и microsoft.directory/applications/standard/read, но только для приложений с одним клиентом.

Обновить

Разрешения Update в идентификаторе Microsoft Entra позволяют администраторам изменять различные свойства регистрации приложений. Эти разрешения необходимы для обслуживания и управления приложениями с одним клиентом и мультитенантными приложениями. В зависимости от предоставленного разрешения администраторы могут обновлять свойства, такие как поддерживаемые типы учетных записей, параметры проверки подлинности, сведения о фирменной символии и многое другое. Ниже приведен подробный список доступных разрешений на обновление и их конкретные возможности.

microsoft.directory/applications/allProperties/update

Позволяет обновлять все свойства в однотенантных и мультитенантных приложениях.

microsoft.directory/applications.myOrganization/allProperties/update

Предоставляет те же разрешения, что и microsoft.directory/applications/allProperties/update, но только для приложений с одним клиентом.

microsoft.directory/applications/audience/update

Позволяет возможность обновления свойства типа поддерживаемой учетной записи (signInAudience) в однотенантных и мультитенантных приложениях.

Screenshot of permission to grant access to app registration supported account type property on authentication page.

microsoft.directory/applications.myOrganization/audience/update

Предоставляет те же разрешения, что и microsoft.directory/applications/audience/update, но только для приложений с одним клиентом.

microsoft.directory/applications/authentication/update

Allows the ability to update the reply URL, sign-out URL, implicit flow, and publisher domain properties on single-tenant and multitenant applications. Предоставляет доступ ко всем полям на странице проверки подлинности регистрации приложения, за исключением поддерживаемых типов учетных записей:

Screenshot of permissions to grant access to app registration authentication, but not supported account types.

microsoft.directory/applications.myOrganization/authentication/update

Предоставляет те же разрешения, что и microsoft.directory/applications/authentication/update, но только для приложений с одним клиентом.

microsoft.directory/applications/basic/update

Позволяет обновлять имя, логотип, URL-адрес домашней страницы, URL-адрес службы и URL-адрес заявления о конфиденциальности для однотенантных и мультитенантных приложений. Предоставляет доступ ко всем полям на странице фирменной символики регистрации приложений:

Screenshot of permission to grant access to the app registration branding page.

microsoft.directory/applications.myOrganization/basic/update

Предоставляет те же разрешения, что и microsoft.directory/applications/basic/update, но только для приложений с одним клиентом.

microsoft.directory/applications/credentials/update

Позволяет обновлять сертификаты и свойства секретов клиента в однотенантных и мультитенантных приложениях. Предоставляет доступ ко всем полям на странице сертификатов и секретов регистрации приложений:

Screenshot of permission to grant access to the app registration certificates & secrets page.

microsoft.directory/applications.myOrganization/credentials/update

Предоставляет те же разрешения, что и microsoft.directory/applications/credentials/update, но только для приложений с одним клиентом.

microsoft.directory/applications/owners/update

Allows the ability to update the owner property on single-tenant and multitenant. Предоставляет доступ ко всем полям на странице владельцев регистрации приложений:

Screenshot of permissions to grant access to the app registration owners page.

microsoft.directory/applications.myOrganization/owners/update

Предоставляет те же разрешения, что и microsoft.directory/applications/owners/update, но только для приложений с одним клиентом.

microsoft.directory/applications/permissions/update

Это разрешение позволяет обновлять различные свойства для однотенантных и мультитенантных приложений, включая делегированные разрешения, разрешения приложения, авторизованные клиентские приложения, необходимые разрешения и свойства согласия. Он не предоставляет возможность давать согласие. Предоставляет доступ ко всем полям в разрешениях API на страницах регистрации приложения и раскрытия API.

Screenshot of permissions to grant access to the app registration API permissions page.

Screenshot of permissions to grant access to the app registration Expose an API page.

microsoft.directory/applications.myOrganization/permissions/update

Предоставляет те же разрешения, что и microsoft.directory/applications/permissions/update, но только для приложений с одним клиентом.

Следующие шаги