Oprávnění registrace aplikace pro vlastní role v Microsoft Entra ID

Tento článek obsahuje aktuálně dostupná oprávnění registrace aplikace pro vlastní definice rolí v Microsoft Entra ID.

Požadavky na licenci

Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.

Oprávnění ke správě aplikací s jedním tenantem

Při výběru oprávnění pro vlastní roli máte možnost udělit přístup ke správě pouze aplikací s jedním tenantem. Aplikace s jedním tenantem jsou k dispozici pouze uživatelům v organizaci Microsoft Entra, ve které je aplikace zaregistrovaná. Jednoklientové aplikace jsou definovány jako podporované typy účtů nastavené pouze na Účty v tomto organizačním adresáři. V rozhraní Graph API mají aplikace s jedním tenantem vlastnost signInAudience nastavenou na AzureADMyOrg.

Pokud chcete udělit přístup ke správě pouze aplikací s jedním tenantem, použijte níže uvedená oprávnění s podtypem applications.myOrganization. Například microsoft.directory/applications.myOrganization/basic/update.

Vysvětlení, co znamenají obecné termíny podtypu, oprávnění a sady vlastností, najdete v přehledu vlastních rolí. Následující informace jsou specifické pro registrace aplikací.

Vytváření a odstraňování

K dispozici jsou dvě oprávnění pro udělení možnosti vytvářet registrace aplikací, z nichž každá má jiné chování:

microsoft.directory/applications/createAsOwner

Přiřazení tohoto oprávnění vede k přidání autora jako prvního vlastníka vytvořené registrace aplikace a vytvořená registrace aplikace se započítá do kvóty 250 vytvořených objektů autora.

microsoft.directory/applications/create

Přiřazením tohoto oprávnění se tvůrce nepřidá jako první vlastník vytvořené registrace aplikace a vytvořená registrace aplikace se nezapočítá do kvóty 250 vytvořených objektů tvůrce. Toto oprávnění používejte pečlivě, protože přiřazení nijak nebrání v vytváření registrací aplikací, dokud nedojde k dosažení kvóty na úrovni adresáře.

Pokud jsou přiřazena obě oprávnění, bude mít přednost oprávnění /create. I když oprávnění /createAsOwner automaticky nepřidá tvůrce jako prvního vlastníka, dají se vlastníci zadat při vytváření registrace aplikace při použití rozhraní Graph API nebo rutin PowerShellu.

Vytvoření oprávnění uděluje přístup k příkazu Nová registrace .

These permissions grant access to the New Registration portal command

K dispozici jsou dvě oprávnění pro udělení možnosti odstranit registrace aplikací:

microsoft.directory/applications/delete

Uděluje možnost odstraňovat registrace aplikací bez ohledu na podtyp; to znamená, že aplikace s jedním tenantem i více tenanty.

microsoft.directory/applications.myOrganization/delete

Uděluje možnost odstranit registrace aplikací omezené na ty, které jsou přístupné jenom pro účty ve vaší organizaci nebo jednoklientských aplikacích (podtyp myOrganization).

These permissions grant access to the Delete app registration command

Poznámka:

Při přiřazování role, která obsahuje oprávnění k vytvoření, musí být přiřazení role provedeno v oboru adresáře. Oprávnění k vytvoření přiřazené v oboru prostředků neuděluje možnost vytvářet registrace aplikací.

Přečíst

Všichni členové v organizaci můžou ve výchozím nastavení číst informace o registraci aplikací. Uživatelé typu host a instanční objekty aplikací ale nemůžou. Pokud chcete přiřadit roli uživateli nebo aplikaci typu host, musíte zahrnout příslušná oprávnění ke čtení.

microsoft.directory/applications/allProperties/read

Možnost číst všechny vlastnosti aplikací s jedním tenantem a více tenanty mimo vlastnosti, které nelze číst v žádné situaci, jako jsou přihlašovací údaje.

microsoft.directory/applications.myOrganization/allProperties/read

Uděluje stejná oprávnění jako microsoft.directory/applications/allProperties/read, ale pouze pro aplikace s jedním tenantem.

microsoft.directory/applications/owners/read

Uděluje možnost číst vlastnosti vlastníků v aplikacích s jedním tenantem a více tenanty. Udělí přístup ke všem polím na stránce vlastníci registrace aplikace:

This permissions grants access to the app registration owners page

microsoft.directory/applications/standard/read

Uděluje přístup ke standardním vlastnostem registrace aplikace pro čtení. To zahrnuje vlastnosti na stránkách registrace aplikace.

microsoft.directory/applications.myOrganization/standard/read

Uděluje stejná oprávnění jako microsoft.directory/applications/standard/read, ale pouze pro aplikace s jedním tenantem.

Aktualizovat

microsoft.directory/applications/allProperties/update

Možnost aktualizovat všechny vlastnosti v aplikacích s jedním tenantem a více tenanty

microsoft.directory/applications.myOrganization/allProperties/update

Uděluje stejná oprávnění jako microsoft.directory/applications/allProperties/update, ale pouze pro aplikace s jedním tenantem.

microsoft.directory/applications/audience/update

Možnost aktualizovat podporovanou vlastnost typu účtu (signInAudience) u aplikací s jedním tenantem a více tenanty

This permission grants access to app registration supported account type property on authentication page

microsoft.directory/applications.myOrganization/audience/update

Uděluje stejná oprávnění jako microsoft.directory/applications/audience/update, ale pouze pro aplikace s jedním tenantem.

microsoft.directory/applications/authentication/update

Možnost aktualizovat adresu URL odpovědi, přihlašovací adresu URL, implicitní tok a vlastnosti domény vydavatele v aplikacích s jedním tenantem a více tenanty. Uděluje přístup ke všem polím na stránce ověřování registrace aplikace s výjimkou podporovaných typů účtů:

Grants access to app registration authentication but not supported account types

microsoft.directory/applications.myOrganization/authentication/update

Uděluje stejná oprávnění jako microsoft.directory/applications/authentication/update, ale pouze pro aplikace s jedním tenantem.

microsoft.directory/applications/basic/update

Možnost aktualizovat název, logo, adresu URL domovské stránky, podmínky adresy URL služby a vlastnosti adresy URL prohlášení o zásadách ochrany osobních údajů v aplikacích s jedním tenantem a více tenanty. Udělí přístup ke všem polím na stránce brandingu registrace aplikace:

This permission grants access to the app registration branding page

microsoft.directory/applications.myOrganization/basic/update

Uděluje stejná oprávnění jako microsoft.directory/applications/basic/update, ale pouze pro aplikace s jedním tenantem.

microsoft.directory/applications/credentials/update

Schopnost aktualizovat certifikáty a vlastnosti tajných klíčů klienta v aplikacích s jedním tenantem a více tenanty Udělí přístup ke všem polím na stránce certifikátů pro registraci aplikací a tajných kódů:

This permission grants access to the app registration certificates & secrets page

microsoft.directory/applications.myOrganization/credentials/update

Uděluje stejná oprávnění jako microsoft.directory/applications/credentials/update, ale pouze pro aplikace s jedním tenantem.

microsoft.directory/applications/owners/update

Možnost aktualizovat vlastnost vlastníka v jednom tenantovi a více tenantech Udělí přístup ke všem polím na stránce vlastníci registrace aplikace:

This permissions grants access to the app registration owners page

microsoft.directory/applications.myOrganization/owners/update

Uděluje stejná oprávnění jako microsoft.directory/applications/owners/update, ale pouze pro aplikace s jedním tenantem.

microsoft.directory/applications/permissions/update

Možnost aktualizovat delegovaná oprávnění, oprávnění aplikace, autorizované klientské aplikace, požadovaná oprávnění a udělit vlastnosti souhlasu u aplikací s jedním tenantem a více tenanty. Neuděluje možnost souhlasu. Udělí přístup ke všem polím na oprávněních rozhraní API pro registraci aplikací a zpřístupní stránky rozhraní API:

This permissions grants access to the app registration API permissions page

This permissions grants access to the app registration Expose an API page

microsoft.directory/applications.myOrganization/permissions/update

Uděluje stejná oprávnění jako microsoft.directory/applications/permissions/update, ale pouze pro aplikace s jedním tenantem.

Další kroky