Permissões de registro de aplicativo para funções personalizadas no Microsoft Entra ID

Este artigo contém as permissões de registro de aplicativo atualmente disponíveis para definições de função personalizadas no Microsoft Entra ID.

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os requisitos, veja Comparar as funcionalidades geralmente disponíveis do Microsoft Entra ID.

Permissões para gerenciar aplicativos de locatário único

Ao escolher as permissões para sua função personalizada, você tem a opção de conceder acesso para gerenciar apenas aplicativos de locatário único. Os aplicativos de locatário único estão disponíveis apenas para usuários na organização do Microsoft Entra onde o aplicativo está registrado. os aplicativos de locatário único são definidos como tendo tipos de conta suportados definidos como "Contas somente neste diretório organizacional". Na API do Graph, os aplicativos de locatário único têm a propriedade signInAudience definida como "AzureADMyOrg".

Para conceder acesso para gerenciar apenas aplicativos de locatário único, use as permissões abaixo com o subtipo applications.myOrganization. Por exemplo, microsoft.directory/applications.myOrganization/basic/update.

Consulte a visão geral das funções personalizadas para obter uma explicação do significado dos termos gerais subtipo, permissão e conjunto de propriedades. As informações a seguir são específicas para registros de aplicativos.

Criar e eliminar

Há duas permissões disponíveis para conceder a capacidade de criar registros de aplicativo, cada uma com comportamento diferente:

microsoft.directory/applications/createAsOwner

A atribuição desta permissão resulta na adição do criador como o primeiro proprietário do registo de aplicações criado, e o registo de aplicações criado contará para a quota de 250 objetos criados do criador.

microsoft.directory/aplicativos/criar

A atribuição dessa permissão faz com que o criador não seja adicionado como o primeiro proprietário do registro do aplicativo criado, e o registro do aplicativo criado não contará para a cota de 250 objetos criados do criador. Use essa permissão com cuidado, porque não há nada que impeça o cessionário de criar registros de aplicativo até que a cota no nível do diretório seja atingida.

Se ambas as permissões forem atribuídas, a permissão /create terá precedência. Embora a permissão /createAsOwner não adicione automaticamente o criador como o primeiro proprietário, os proprietários podem ser especificados durante a criação do registro do aplicativo ao usar APIs do Graph ou cmdlets do PowerShell.

Criar permissões concede acesso ao comando Novo registro .

Há duas permissões disponíveis para conceder a capacidade de excluir registros de aplicativos:

microsoft.directory/aplicativos/excluir

Concede a capacidade de excluir registros de aplicativos independentemente do subtipo; ou seja, aplicativos de locatário único e multilocatário.

microsoft.directory/applications.myOrganization/delete

Concede a capacidade de excluir registros de aplicativos restritos àqueles que são acessíveis apenas a contas em sua organização ou aplicativos de locatário único (subtipo myOrganization).

Lida

Todos os usuários membros da organização podem ler as informações de registro do aplicativo por padrão. No entanto, os usuários convidados e as entidades de serviço de aplicativo não podem. Se você planeja atribuir uma função a um usuário ou aplicativo convidado, deverá incluir as permissões de leitura apropriadas.

microsoft.directory/applications/allProperties/read

Capacidade de ler todas as propriedades de aplicativos de locatário único e multilocatário fora de propriedades que não podem ser lidas em qualquer situação, como credenciais.

microsoft.directory/applications.myOrganization/allProperties/read

Concede as mesmas permissões que microsoft.directory/applications/allProperties/read, mas apenas para aplicativos de locatário único.

microsoft.directory/aplicativos/proprietários/leitura

Concede a capacidade de ler a propriedade dos proprietários em aplicativos de inquilino único e multilocatário. Concede acesso a todos os campos na página de proprietários do registro do aplicativo:

microsoft.directory/aplicativos/padrão/leitura

Concede acesso à leitura de propriedades de registro de aplicativo padrão. Isso inclui propriedades em páginas de registro de aplicativos.

microsoft.directory/applications.myOrganization/standard/read

Concede as mesmas permissões que microsoft.directory/applications/standard/read, mas apenas para aplicativos de locatário único.

Actualizar

microsoft.directory/applications/allProperties/update

Capacidade de atualizar todas as propriedades em aplicativos de locatário único e multilocatário.

microsoft.directory/applications.myOrganization/allProperties/update

Concede as mesmas permissões que microsoft.directory/applications/allProperties/update, mas apenas para aplicativos de locatário único.

microsoft.directory/aplicativos/audiência/atualização

Capacidade de atualizar a propriedade de tipo de conta suportada (signInAudience) em aplicativos de locatário único e multilocatário.

microsoft.directory/applications.myOrganization/audience/update

Concede as mesmas permissões que microsoft.directory/applications/audience/update, mas apenas para aplicativos de locatário único.

microsoft.directory/aplicativos/autenticação/atualização

Capacidade de atualizar a URL de resposta, a URL de saída, o fluxo implícito e as propriedades de domínio do editor em aplicativos de locatário único e multilocatário. Concede acesso a todos os campos na página de autenticação de registro do aplicativo, exceto os tipos de conta suportados:

microsoft.directory/applications.myOrganization/authentication/update

Concede as mesmas permissões que microsoft.directory/applications/authentication/update, mas apenas para aplicativos de locatário único.

microsoft.directory/applications/basic/update

Capacidade de atualizar o nome, logotipo, URL da página inicial, URL dos termos de serviço e propriedades de URL da declaração de privacidade em aplicativos de locatário único e multilocatário. Concede acesso a todos os campos na página de marca de registro do aplicativo:

microsoft.directory/applications.myOrganization/basic/update

Concede as mesmas permissões que microsoft.directory/applications/basic/update, mas apenas para aplicativos de locatário único.

microsoft.directory/aplicativos/credenciais/atualização

Capacidade de atualizar as propriedades de certificados e segredos de cliente em aplicativos de locatário único e multilocatário. Concede acesso a todos os campos na página de certificados de registro de aplicativo & segredos:

microsoft.directory/applications.myOrganization/credentials/update

Concede as mesmas permissões que microsoft.directory/applications/credentials/update, mas apenas para aplicativos de locatário único.

microsoft.directory/aplicativos/proprietários/atualização

Capacidade de atualizar a propriedade do proprietário em inquilino único e multi-inquilino. Concede acesso a todos os campos na página de proprietários do registro do aplicativo:

microsoft.directory/applications.myOrganization/owners/update

Concede as mesmas permissões que microsoft.directory/applications/owners/update, mas apenas para aplicativos de locatário único.

microsoft.directory/aplicativos/permissões/atualização

Capacidade de atualizar as permissões delegadas, permissões de aplicativos, aplicativos cliente autorizados, permissões necessárias e propriedades de consentimento de concessão em aplicativos de locatário único e multilocatário. Não concede a capacidade de realizar o consentimento. Concede acesso a todos os campos nas permissões da API de registro do aplicativo e expõe uma página da API:

microsoft.directory/applications.myOrganization/permissions/update

Concede as mesmas permissões que microsoft.directory/applications/permissions/update, mas apenas para aplicativos de locatário único.

Próximos passos

• Criar e atribuir uma função personalizada no Microsoft Entra ID
• Listar atribuições de função