Permissões de registro de aplicativo para funções personalizadas na ID do Microsoft Entra

Esse artigo contém as permissões de registro de aplicativo disponíveis atualmente para definições de função personalizada na ID do Microsoft Entra.

Requisitos de licença

O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.

Permissões para gerenciar aplicativos de locatário único

Ao escolher as permissões para sua função personalizada, você tem a opção de permitir acesso para gerenciar somente aplicativos de locatário único. os aplicativos de locatário único estão disponíveis somente para usuários da organização do Microsoft Entra em que o aplicativo está registrado. aplicativos de locatário único são definidos como tendotipos de conta com suporte definidos como "Contas somente neste diretório organizacional". Na API Graph, os aplicativos de locatário único têm a propriedade signInAudience definida como "AzureADMyOrg".

Para permitir acesso para gerenciar somente aplicativos de locatário único, use as permissões abaixo com o subtipo applications.myOrganization. Por exemplo, microsoft.directory/applications.myOrganization/basic/update.

Consulte a visão geral das funções personalizadas para obter uma explicação do que significa o subtipo de termos gerais, a permissão e o conjunto de propriedades. As informações a seguir são específicas para os registros do aplicativo.

Criar e excluir

Há duas permissões disponíveis para conceder a capacidade de criar registros de aplicativo, cada uma com um comportamento diferente:

microsoft.directory/applications/createAsOwner

a atribuição dessa permissão faz com que o criador seja adicionado como o primeiro proprietário do registro do aplicativo criado, e o registro do aplicativo criado será contabilizado na cota de 250 objetos criados do criador.

microsoft.directory/applications/create

a atribuição dessa permissão faz com que o criador não seja adicionado como o primeiro proprietário do registro do aplicativo criado, e o registro do aplicativo criado não será contabilizado na cota de 250 objetos criados do criador. Use essa permissão com cuidado, pois não há nada impedindo que o destinatário crie registros de aplicativo até que a cota de nível de diretório seja atingida.

Se ambas as permissões forem atribuídas, a permissão /create terá precedência. Embora a permissão /createAsOwner não adicione automaticamente o criador como o primeiro proprietário, os proprietários podem ser especificados durante a criação do registro do aplicativo ao usar as APIs do Graph ou os cmdlets do PowerShell.

A criação de permissões concede acesso ao comando New registration.

Há duas permissões disponíveis para conceder a capacidade de excluir registros de aplicativo:

microsoft.directory/applications/delete

Concede a capacidade de excluir registros de aplicativo, independentemente do subtipo; ou seja, aplicativos de locatário único e multilocatário.

microsoft.directory/applications.myOrganization/delete

Concede a capacidade de excluir registros de aplicativo restritos àqueles que são acessíveis somente para contas da sua organização ou aplicativos de locatário único (subtipo myOrganization).

Ler

Todos os usuários membros da organização podem ler informações do registro de aplicativo por padrão. No entanto, os usuários convidados e as entidades de serviço de aplicativo não podem. Se você planeja atribuir uma função a um usuário ou aplicativo convidado, deve incluir as permissões de leitura apropriadas.

microsoft.directory/applications/allProperties/read

Capacidade de ler todas as propriedades de aplicativos de locatário único e multilocatário fora das propriedades que não podem ser lidas em nenhuma situação, como credenciais.

microsoft.directory/applications.myOrganization/allProperties/read

Concede as mesmas permissões que microsoft.directory/applications/allProperties/read, mas somente para aplicativos de locatário único.

microsoft.directory/applications/owners/read

Concede a capacidade de ler a propriedade Owners em aplicativos de locatário único e multilocatário. Concede acesso a todos os campos na página de proprietários do registro de aplicativo:

microsoft.directory/applications/standard/read

Concede acesso para ler as propriedades de registro de aplicativo padrão. Isso inclui propriedades nas páginas de registro de aplicativo.

microsoft.directory/applications.myOrganization/standard/read

Concede as mesmas permissões que microsoft.directory/applications/standard/read, mas somente para aplicativos de locatário único.

Atualizar

microsoft.directory/applications/allProperties/update

Capacidade de atualizar todas as propriedades em aplicativos de locatário único e multilocatário.

microsoft.directory/applications.myOrganization/allProperties/update

Concede as mesmas permissões que microsoft.directory/applications/allProperties/update, mas somente para aplicativos de locatário único.

microsoft.directory/applications/audience/update

Capacidade de atualizar a propriedade de tipo de conta com suporte (signInAudience) em aplicativos de locatário único e multilocatário.

microsoft.directory/applications.myOrganization/audience/update

Concede as mesmas permissões que microsoft.directory/applications/audience/update, mas somente para aplicativos de locatário único.

microsoft.directory/applications/authentication/update

Capacidade de atualizar a URL de resposta, a URL de saída, o fluxo implícito e as propriedades de domínio do publicador em aplicativos de locatário único e multilocatário. Concede acesso a todos os campos na página de autenticação do registro de aplicativo, exceto tipos de conta com suporte:

microsoft.directory/applications.myOrganization/authentication/update

Concede as mesmas permissões que microsoft.directory/applications/authentication/update, mas somente para aplicativos de locatário único.

microsoft.directory/applications/basic/update

Capacidade de atualizar o nome, o logotipo, a URL da Home Page, a URL dos termos de serviço e as propriedades da URL da política de privacidade em aplicativos de locatário único e multilocatário. Concede acesso a todos os campos na página de identidade visual do registro de aplicativo:

microsoft.directory/applications.myOrganization/basic/update

Concede as mesmas permissões que microsoft.directory/applications/basic/update, mas somente para aplicativos de locatário único.

microsoft.directory/applications/credentials/update

Capacidade de atualizar as propriedades de certificados e segredos do cliente em aplicativos de locatário único e multilocatário. Concede acesso a todos os campos na página de certificados e segredos do registro de aplicativo:

microsoft.directory/applications.myOrganization/credentials/update

Concede as mesmas permissões que microsoft.directory/applications/credentials/update, mas somente para aplicativos de locatário único.

microsoft.directory/applications/owners/update

Capacidade de atualizar a propriedade de proprietário em um locatário único e multilocatário. Concede acesso a todos os campos na página de proprietários do registro de aplicativo:

microsoft.directory/applications.myOrganization/owners/update

Concede as mesmas permissões que microsoft.directory/applications/owners/update, mas somente para aplicativos de locatário único.

microsoft.directory/applications/permissions/update

Capacidade de atualizar as permissões delegadas, as permissões de aplicativo, os aplicativos cliente autorizados, as permissões necessárias e conceder propriedades de consentimento em aplicativos de locatário único e multilocatário. Não concede a capacidade de execução do consentimento. Concede acesso a todos os campos das páginas da Permissões de API e Expor uma API do registro de aplicativo:

microsoft.directory/applications.myOrganization/permissions/update

Concede as mesmas permissões que microsoft.directory/applications/permissions/update, mas somente para aplicativos de locatário único.

Próximas etapas

• Criar e atribuir uma função personalizada no Microsoft Entra ID
• Listar atribuições de função