Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Схема удостоверений агента служит шаблоном для создания удостоверений агента в экосистеме Microsoft Entra ID.
Наследует от приложения.
Этот ресурс является открытым типом, который позволяет использовать дополнительные свойства, помимо описанных здесь.
Методы
| Метод | Тип возвращаемых данных | Описание |
|---|---|---|
| Список | Коллекция agentIdentityBlueprint | Получите список объектов agentIdentityBlueprint и их свойств. |
| Создание | agentIdentityBlueprint | Создайте (зарегистрируйте) новый agentIdentityBlueprint. |
| Получение | agentIdentityBlueprint | Чтение свойств и связей объекта agentIdentityBlueprint . |
| Обновление | agentIdentityBlueprint | Обновление свойств объекта agentIdentityBlueprint. |
| Upsert | agentIdentityBlueprint | Создайте новую схему удостоверения агента, если она не существует, или обновите свойства существующей схемы. |
| Delete | Нет | Удаление объекта agentIdentityBlueprint. |
| Учетные данные | ||
| Добавление пароля | passwordCredential | Добавьте надежный пароль или секрет в схему удостоверения агента. |
| Удаление пароля | passwordCredential | Удалите пароль или секрет из схемы удостоверения агента. |
| Добавление ключа | keyCredential | Добавьте учетные данные ключа в схему удостоверения агента. |
| Удаление ключа | Нет | Удалите учетные данные ключа из схемы удостоверения агента. |
| Вывод списка учетных данных федеративного удостоверения | Коллекция federatedIdentityCredential | Получение списка объектов federatedIdentityCredential и их свойств. |
| Создание учетных данных федеративного удостоверения | federatedIdentityCredential | Создайте новый объект federatedIdentityCredential . |
| Получение учетных данных федеративного удостоверения | federatedIdentityCredential | Чтение свойств и связей объекта federatedIdentityCredential . |
| Обновление учетных данных федеративного удостоверения | Нет | Обновите свойства объекта federatedIdentityCredential . |
| Учетные данные федеративного удостоверения upsert | federatedIdentityCredential | Создайте новый объект federatedIdentityCredential , если он не существует, или обновите свойства существующего объекта federatedIdentityCredential . |
| Удаление учетных данных федеративного удостоверения | Нет | Удалите объект federatedIdentityCredential . |
| Удаленные элементы | ||
| List | Коллекция directoryObject | Получите список недавно удаленных удостоверений агентов. |
| Получение | directoryObject | Получите свойства недавно удаленного удостоверения агента. |
| Восстановление | directoryObject | Восстановите недавно удаленное удостоверение агента. |
| Удалить без возможности восстановления | Нет | Окончательное удаление удостоверения агента. |
| Владельцы | ||
| Список владельцев | Коллекция directoryObject | Получите владельцев этого субъекта схемы удостоверений агента. |
| Добавление владельцев | directoryObject | Назначьте владельца этому субъекту схемы удостоверений агента. |
| Удаление владельцев | Нет | Удалите владельца из этого субъекта схемы удостоверений агента. |
| Спонсоров | ||
| Список спонсоров | Коллекция directoryObject | Получите спонсоров для схемы удостоверений агента. Спонсорами являются пользователи или субъекты-службы, которые могут авторизовать жизненный цикл экземпляров удостоверений агента и управлять ими. |
| Добавление спонсоров | directoryObject | Добавьте спонсоров, опубликовав их в коллекцию спонсоров. |
| Удаление спонсоров | Нет | Удаление объекта directoryObject . |
| Проверенный издатель | ||
| Set | Нет | Установка проверенного издателя приложения. |
| Unset | Нет | Удаление проверенного издателя приложения. |
Свойства
Важно!
Хотя этот ресурс наследуется от приложения, некоторые свойства неприменимы и возвращают null значения или значения по умолчанию. Эти свойства исключены из приведенной ниже таблицы.
| Свойство | Тип | Описание |
|---|---|---|
| api | apiApplication | Задает параметры схемы удостоверений агента, реализующей веб-API. Наследуется от приложения. |
| appId | String | Уникальный идентификатор схемы удостоверения агента, назначенной Microsoft Entra ID. Значение null не допускается. Только для чтения. Наследуется от приложения. |
| appRoles | Коллекция appRole | Коллекция ролей, определенных для схемы удостоверений агента. С помощью команды назначения ролей приложений эти роли можно назначать пользователям, группам или субъектам-службам, связанным с другими приложениями. Значение null не допускается. Наследуется от приложения. |
| certification | certification | Указывает состояние сертификации схемы удостоверения агента. Наследуется от приложения. |
| createdByAppId | String | AppId приложения, создавшего схему удостоверения агента. Задается внутренне по Microsoft Entra ID. Только для чтения. Наследуется от приложения. |
| createdDateTime | DateTimeOffset | Дата и время регистрации схемы удостоверения агента. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда указывает время в формате UTC. Только для чтения. Наследуется от приложения. |
| description | String | Свободное текстовое поле для предоставления пользователям описания схемы удостоверений агента. Максимальный допустимый размер — 1024 символа. Минимальным привилегированным разрешением на обновление этого свойства является AgentIdentityBlueprint.UpdateBranding.All. Наследуется от приложения. |
| disabledByMicrosoftStatus | Строка | Указывает, отключила ли корпорация Майкрософт схему удостоверений зарегистрированного агента. Возможные значения: null (значение по умолчанию), NotDisabled, и DisabledDueToViolationOfServicesAgreement (причины могут включать подозрительные, оскорбительные или вредоносные действия или нарушение Соглашения об использовании служб Майкрософт). Наследуется от приложения. |
| displayName | String | Отображаемое имя схемы удостоверения агента. Максимальная длина: 256 символов. Минимальным привилегированным разрешением на обновление этого свойства является AgentIdentityBlueprint.UpdateBranding.All. Наследуется от приложения. |
| groupMembershipClaims | String | Настраивает утверждение, groups выданное в маркере доступа пользователя или OAuth 2.0, ожидаемом схемой идентификации агента. Чтобы задать этот атрибут, используйте одно из следующих строковых значений: None, SecurityGroup (для групп безопасности и Microsoft Entra ролей), All (при этом получаются все группы безопасности, группы рассылки и Microsoft Entra роли каталога, членом которым является пользователь, вошедшего в систему. Наследуется от приложения. |
| id | String | Уникальный идентификатор объекта схемы удостоверения агента. Это свойство называется идентификатором объекта в Центр администрирования Microsoft Entra. Ключ. Значение null не допускается. Только для чтения. Наследуется от directoryObject. |
| identifierUris | Коллекция String | Также известное как URI идентификатора приложения, это значение устанавливается, когда схема удостоверения агента используется в качестве приложения-ресурса. ИдентификаторUris выступает в качестве префикса для областей, на которые вы ссылаетесь в коде API, и он должен быть глобально уникальным в разных Microsoft Entra ID. Значение null не допускается. Наследуется от приложения. |
| info | informationalUrl | Основные сведения о профиле схемы удостоверений агента, такие как маркетинг, поддержка, условия обслуживания и URL-адреса заявлений о конфиденциальности. Условия обслуживания и заявление о конфиденциальности отображаются в окне запроса согласия пользователя. Наследуется от приложения. |
| keyCredentials | Коллекция keyCredential | Коллекция учетных данных ключа, связанная с схемой удостоверений агента. Значение null не допускается. Минимальным привилегированным разрешением на обновление этого свойства является AgentIdentityBlueprint.AddRemoveCreds.All. Наследуется от приложения. |
| managerApplications | Коллекция объектов Guid | Коллекция идентификаторов приложений для приложений, назначенных в качестве диспетчеров схемы удостоверений агента. Приложения диспетчера могут создавать субъекты схемы агента, удостоверения агента и пользователей агентов для управляемых схем, не требуя высокопривилегированных разрешений, таких как AgentIdentityBlueprintPrincipal.ReadWrite.All. В настоящее время в качестве значений можно задать только идентификаторы приложений майкрософт первого производителя. Не более 10 значений. Значение null не допускается. |
| optionalClaims | optionalClaims | Разработчики приложений могут настроить необязательные утверждения в схемах удостоверений агента Microsoft Entra, чтобы указать утверждения, отправляемые в приложение службой маркеров безопасности Майкрософт. Наследуется от приложения. |
| passwordCredentials | Коллекция passwordCredential | Коллекция учетных данных паролей, связанных с схемой удостоверения агента. Значение null не допускается. Минимальным привилегированным разрешением на обновление этого свойства является AgentIdentityBlueprint.AddRemoveCreds.All. Наследуется от приложения. Вы также можете добавить пароли после создания схемы удостоверений агента, вызвав API добавления пароля . |
| publisherDomain | String | Проверенный домен издателя для схемы удостоверения агента. Только для чтения. Наследуется от приложения. |
| requiredResourceAccess | Коллекция requiredResourceAccess | Указывает ресурсы, к которым требуется доступ agentIdentityBlueprint. В этом свойстве также указывается набор делегированных разрешений и ролей приложения, необходимых для каждого из этих ресурсов. Эта настройка доступа к необходимым ресурсам определяет порядок предоставления согласия. Можно настроить не более 50 служб ресурсов (API). Общее количество необходимых разрешений не должно превышать 400. Дополнительные сведения см. в разделе Ограничения запрашиваемых разрешений для каждого приложения. Значение null не допускается. Наследуется от приложения. Поддерживает $filter (eq, not, ge, le). |
| serviceManagementReference | Строка | Ссылается на контактные данные приложения или службы из базы данных службы или управления активами. Допускается значение null. Наследуется от приложения. |
| signInAudience | String | Указывает учетные записи Майкрософт, которые поддерживаются для текущей схемы удостоверений агента. Возможные значения: AzureADMyOrg (по умолчанию), AzureADMultipleOrgs, AzureADandPersonalMicrosoftAccount, и PersonalMicrosoftAccount. Наследуется от приложения. |
| tags | Коллекция String | Пользовательские строки, которые можно использовать для классификации и идентификации схемы удостоверений агента. Значение null не допускается. Наследуется от приложения. |
| tokenEncryptionKeyId | Guid | Задает значение открытого ключа keyId из коллекции keyCredentials. После настройки Microsoft Entra ID шифрует все выдаваемые маркеры с помощью ключа, на который указывает это свойство. Наследуется от приложения. |
| uniqueName | Строка | Уникальный идентификатор, который можно назначить схеме удостоверения агента и использовать в качестве альтернативного ключа. Неизменяемый. Только для чтения. Наследуется от приложения. |
| verifiedPublisher | verifiedPublisher | Указывает проверенный издатель схемы удостоверения агента. Наследуется от приложения. |
| web | webApplication | Указывает параметры для веб-приложения. Наследуется от приложения. |
Ограничения на запрашиваемые разрешения на приложение
Microsoft Entra ID ограничивает количество разрешений, которые могут быть запрошены и разрешены клиентским приложением. Эти ограничения зависят signInAudience от значения приложения, которое отображается в манифесте приложения.
| signInAudience | Разрешенные пользователи | Максимальное количество разрешений, которое может запросить приложение | Максимальное количество разрешений Microsoft Graph, которые может запросить приложение | Максимальное количество разрешений, которые можно дать в одном запросе |
|---|---|---|---|---|
| AzureADMyOrg | Пользователи из организации, в которой зарегистрировано приложение | 400 | 400 | Около 155 делегированных разрешений и около 300 разрешений приложения |
| AzureADMultipleOrgs | Пользователи из любой Microsoft Entra организации | 400 | 400 | Около 155 делегированных разрешений и около 300 разрешений приложения |
| PersonalMicrosoftAccount | Пользователи-потребители (например, учетные записи Outlook.com или Live.com) | 30 | 30 | 30 |
| AzureADandPersonalMicrosoftAccount | Пользователи-потребители и пользователи из любой Microsoft Entra организации | 30 | 30 | 30 |
Примечание.
Для Microsoft Entra ID для агентов некоторые разрешения Microsoft Graph с высоким риском глобально блокируются для агентов и не могут быть предоставлены удостоверениям агента.
Если включить в коллекцию requiredResourceAccess записи делегированное разрешение Microsoft Graph область или роль resourceAccess приложения, запрос отклоняется HTTP-ответом 400 Bad Request и ошибкой, указывающей, что разрешение заблокировано и не может быть предоставлено удостоверениям агента.
Список заблокированных разрешений Microsoft Graph для агентов см. в разделе Разрешения Microsoft Graph, заблокированные для агентов.
Связи
| Связь | Тип | Описание |
|---|---|---|
| appManagementPolicies | Коллекция appManagementPolicy | Схема appManagementPolicy, примененная к этому удостоверению агента. Наследуется от microsoft.graph.application |
| federatedIdentityCredentials | Коллекция federatedIdentityCredential | Федеративные удостоверения для схем удостоверений агента. Наследуется от microsoft.graph.application |
| inheritablePermissions | Коллекция inheritablePermission | Определяет области приложения ресурсов, которые могут автоматически предоставляться удостоверениям агента без дополнительного согласия. |
| owners | Коллекция directoryObject | Объекты каталога, которые являются владельцами схемы удостоверений агента. Владельцы — это набор пользователей, не являющихся администраторами, или субъектов-служб, которым разрешено изменять этот объект. Только для чтения. Допускается значение null. Наследуется от microsoft.graph.application |
| Спонсоров | Коллекция directoryObject | Схема спонсоров для этого удостоверения агента. Спонсоры — это пользователи или группы, которые могут авторизовать жизненный цикл экземпляров удостоверений агента и управлять ими. Требуется во время операции создания. |
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"@odata.type": "#microsoft.graph.agentIdentityBlueprint",
"id": "String (identifier)",
"appId": "String",
"identifierUris": ["String"],
"createdByAppId": "String",
"createdDateTime": "String (timestamp)",
"description": "String",
"disabledByMicrosoftStatus": "String",
"displayName": "String",
"groupMembershipClaims": "String",
"publisherDomain": "String",
"requiredResourceAccess": [{"@odata.type": "microsoft.graph.requiredResourceAccess"}],
"signInAudience": "String",
"tags": ["String"],
"tokenEncryptionKeyId": "Guid",
"uniqueName": "String",
"serviceManagementReference": "String",
"certification": {
"@odata.type": "microsoft.graph.certification"
},
"optionalClaims": {
"@odata.type": "microsoft.graph.optionalClaims"
},
"api": {
"@odata.type": "microsoft.graph.apiApplication"
},
"appRoles": [
{
"@odata.type": "microsoft.graph.appRole"
}
],
"info": {
"@odata.type": "microsoft.graph.informationalUrl"
},
"keyCredentials": [
{
"@odata.type": "microsoft.graph.keyCredential"
}
],
"managerApplications": ["Guid"],
"passwordCredentials": [
{
"@odata.type": "microsoft.graph.passwordCredential"
}
],
"verifiedPublisher": {
"@odata.type": "microsoft.graph.verifiedPublisher"
},
"web": {
"@odata.type": "microsoft.graph.webApplication"
}
}