Oprávnění registrace aplikace pro vlastní role v Microsoft Entra ID
Tento článek obsahuje aktuálně dostupná oprávnění registrace aplikace pro vlastní definice rolí v Microsoft Entra ID.
Požadavky na licenci
Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.
Oprávnění ke správě aplikací s jedním tenantem
Při výběru oprávnění pro vlastní roli máte možnost udělit přístup ke správě pouze aplikací s jedním tenantem. Aplikace s jedním tenantem jsou k dispozici pouze uživatelům v organizaci Microsoft Entra, ve které je aplikace zaregistrovaná. Jednoklientové aplikace jsou definovány jako podporované typy účtů nastavené pouze na Účty v tomto organizačním adresáři. V rozhraní Graph API mají aplikace s jedním tenantem vlastnost signInAudience nastavenou na AzureADMyOrg.
Pokud chcete udělit přístup ke správě pouze aplikací s jedním tenantem, použijte níže uvedená oprávnění s podtypem applications.myOrganization. Například microsoft.directory/applications.myOrganization/basic/update.
Vysvětlení, co znamenají obecné termíny podtypu, oprávnění a sady vlastností, najdete v přehledu vlastních rolí. Následující informace jsou specifické pro registrace aplikací.
Vytváření a odstraňování
K dispozici jsou dvě oprávnění pro udělení možnosti vytvářet registrace aplikací, z nichž každá má jiné chování:
microsoft.directory/applications/createAsOwner
Přiřazení tohoto oprávnění vede k přidání autora jako prvního vlastníka vytvořené registrace aplikace a vytvořená registrace aplikace se započítá do kvóty 250 vytvořených objektů autora.
microsoft.directory/applications/create
Přiřazením tohoto oprávnění se tvůrce nepřidá jako první vlastník vytvořené registrace aplikace a vytvořená registrace aplikace se nezapočítá do kvóty 250 vytvořených objektů tvůrce. Toto oprávnění používejte pečlivě, protože přiřazení nijak nebrání v vytváření registrací aplikací, dokud nedojde k dosažení kvóty na úrovni adresáře.
Pokud jsou přiřazena obě oprávnění, bude mít přednost oprávnění /create. I když oprávnění /createAsOwner automaticky nepřidá tvůrce jako prvního vlastníka, dají se vlastníci zadat při vytváření registrace aplikace při použití rozhraní Graph API nebo rutin PowerShellu.
Vytvoření oprávnění uděluje přístup k příkazu Nová registrace .
K dispozici jsou dvě oprávnění pro udělení možnosti odstranit registrace aplikací:
microsoft.directory/applications/delete
Uděluje možnost odstraňovat registrace aplikací bez ohledu na podtyp; to znamená, že aplikace s jedním tenantem i více tenanty.
microsoft.directory/applications.myOrganization/delete
Uděluje možnost odstranit registrace aplikací omezené na ty, které jsou přístupné jenom pro účty ve vaší organizaci nebo jednoklientských aplikacích (podtyp myOrganization).
Poznámka:
Při přiřazování role, která obsahuje oprávnění k vytvoření, musí být přiřazení role provedeno v oboru adresáře. Oprávnění k vytvoření přiřazené v oboru prostředků neuděluje možnost vytvářet registrace aplikací.
Přečíst
Všichni členové v organizaci můžou ve výchozím nastavení číst informace o registraci aplikací. Uživatelé typu host a instanční objekty aplikací ale nemůžou. Pokud chcete přiřadit roli uživateli nebo aplikaci typu host, musíte zahrnout příslušná oprávnění ke čtení.
microsoft.directory/applications/allProperties/read
Možnost číst všechny vlastnosti aplikací s jedním tenantem a více tenanty mimo vlastnosti, které nelze číst v žádné situaci, jako jsou přihlašovací údaje.
microsoft.directory/applications.myOrganization/allProperties/read
Uděluje stejná oprávnění jako microsoft.directory/applications/allProperties/read, ale pouze pro aplikace s jedním tenantem.
microsoft.directory/applications/owners/read
Uděluje možnost číst vlastnosti vlastníků v aplikacích s jedním tenantem a více tenanty. Udělí přístup ke všem polím na stránce vlastníci registrace aplikace:
microsoft.directory/applications/standard/read
Uděluje přístup ke standardním vlastnostem registrace aplikace pro čtení. To zahrnuje vlastnosti na stránkách registrace aplikace.
microsoft.directory/applications.myOrganization/standard/read
Uděluje stejná oprávnění jako microsoft.directory/applications/standard/read, ale pouze pro aplikace s jedním tenantem.
Aktualizovat
microsoft.directory/applications/allProperties/update
Možnost aktualizovat všechny vlastnosti v aplikacích s jedním tenantem a více tenanty
microsoft.directory/applications.myOrganization/allProperties/update
Uděluje stejná oprávnění jako microsoft.directory/applications/allProperties/update, ale pouze pro aplikace s jedním tenantem.
microsoft.directory/applications/audience/update
Možnost aktualizovat podporovanou vlastnost typu účtu (signInAudience) u aplikací s jedním tenantem a více tenanty
microsoft.directory/applications.myOrganization/audience/update
Uděluje stejná oprávnění jako microsoft.directory/applications/audience/update, ale pouze pro aplikace s jedním tenantem.
microsoft.directory/applications/authentication/update
Možnost aktualizovat adresu URL odpovědi, přihlašovací adresu URL, implicitní tok a vlastnosti domény vydavatele v aplikacích s jedním tenantem a více tenanty. Uděluje přístup ke všem polím na stránce ověřování registrace aplikace s výjimkou podporovaných typů účtů:
microsoft.directory/applications.myOrganization/authentication/update
Uděluje stejná oprávnění jako microsoft.directory/applications/authentication/update, ale pouze pro aplikace s jedním tenantem.
microsoft.directory/applications/basic/update
Možnost aktualizovat název, logo, adresu URL domovské stránky, podmínky adresy URL služby a vlastnosti adresy URL prohlášení o zásadách ochrany osobních údajů v aplikacích s jedním tenantem a více tenanty. Udělí přístup ke všem polím na stránce brandingu registrace aplikace:
microsoft.directory/applications.myOrganization/basic/update
Uděluje stejná oprávnění jako microsoft.directory/applications/basic/update, ale pouze pro aplikace s jedním tenantem.
microsoft.directory/applications/credentials/update
Schopnost aktualizovat certifikáty a vlastnosti tajných klíčů klienta v aplikacích s jedním tenantem a více tenanty Udělí přístup ke všem polím na stránce certifikátů pro registraci aplikací a tajných kódů:
microsoft.directory/applications.myOrganization/credentials/update
Uděluje stejná oprávnění jako microsoft.directory/applications/credentials/update, ale pouze pro aplikace s jedním tenantem.
microsoft.directory/applications/owners/update
Možnost aktualizovat vlastnost vlastníka v jednom tenantovi a více tenantech Udělí přístup ke všem polím na stránce vlastníci registrace aplikace:
microsoft.directory/applications.myOrganization/owners/update
Uděluje stejná oprávnění jako microsoft.directory/applications/owners/update, ale pouze pro aplikace s jedním tenantem.
microsoft.directory/applications/permissions/update
Možnost aktualizovat delegovaná oprávnění, oprávnění aplikace, autorizované klientské aplikace, požadovaná oprávnění a udělit vlastnosti souhlasu u aplikací s jedním tenantem a více tenanty. Neuděluje možnost souhlasu. Udělí přístup ke všem polím na oprávněních rozhraní API pro registraci aplikací a zpřístupní stránky rozhraní API:
microsoft.directory/applications.myOrganization/permissions/update
Uděluje stejná oprávnění jako microsoft.directory/applications/permissions/update, ale pouze pro aplikace s jedním tenantem.