Тип ресурса application

Пространство имен: microsoft.graph

Представляет приложение. Любое приложение, которое передает проверку подлинности в Microsoft Entra ID, должно быть зарегистрировано на платформе удостоверений Майкрософт. Регистрация приложения включает в себя указание идентификатора Microsoft Entra о вашем приложении, включая URL-адрес, в котором оно находится, URL-адрес для отправки ответов после проверки подлинности, универсальный код ресурса (URI) для идентификации приложения и многое другое.

Наследуется от directoryObject.

Этот ресурс относится к открытому типу, который позволяет передавать другие свойства.

Этот ресурс поддерживает:

  • добавление собственных данных к настраиваемым свойствам в виде расширений;
  • отслеживание дополнений, удалений и обновлений с помощью запроса изменений (функция delta).
  • Синтаксис альтернативного ключа. Свойство appId является поддерживаемым альтернативным ключом. Дополнительные сведения см. в разделе Получение приложения.

Методы

Метод Возвращаемый тип Описание
Список Коллекция application Получение списка приложений в организации.
Создание application Создает (регистрирует) новое приложение.
Получение application Считывание свойств и связей объекта application.
Обновление Нет Обновление объекта application.
Upsert application Создайте новое приложение, если оно не существует, или обновите свойства существующего приложения.
удаление; Нет Удаление объекта application.
Получение дельты application Создавайте, обновляйте или удаляйте приложения без необходимости чтения всей коллекции ресурсов.
Удаленные элементы
List Коллекция directoryObject Получение списка недавно удаленных приложений.
получение; directoryObject Получение свойств недавно удаленного приложения.
Восстановление directoryObject Восстановление недавно удаленного приложения.
Удалить без возможности восстановления Нет Окончательное удаление приложения.
Перечисление удаленных элементов, принадлежащих пользователю Коллекция directoryObject Получение приложений, принадлежащих пользователю, которые удалены в клиенте за последние 30 дней.
Сертификаты и секреты
Добавление пароля passwordCredential Добавление надежного пароля в приложение.
Удаление пароля passwordCredential Удаление пароля приложения.
Добавление ключа keyCredential Добавление учетных данных ключа в приложение.
Удаление ключа Нет Удаление учетных данных ключа из приложения.
Владельцы
List Коллекция directoryObject Получение владельцев приложения.
Добавление directoryObject Назначение владельца приложению. Владельцами приложений могут быть пользователи или субъекты-службы.
Remove Нет Удаление владельца приложения. Рекомендуется, чтобы у приложений было по крайней мере два владельца.
Проверенный издатель
Set Нет Установка проверенного издателя приложения.
Отмена установки Нет Удаление проверенного издателя приложения.

Свойства

Важно!

Определенное использование $filter и параметра запроса $search поддерживается только при применении заголовка ConsistencyLevel с присвоенным значением eventual и $count. Дополнительные сведения см. в разделе Расширенные возможности запросов к объектам каталогов.

Свойство Тип Описание
addIns Коллекция addIn Определяет пользовательское поведение, которое служба может использовать для вызова приложения в определенных контекстах. Например, приложения, которые могут визуализировать потоки файлов , могут задать свойство addIns для функции FileHandler. Это позволяет таким службам, как Microsoft 365, вызывать приложение в контексте документа, над которым работает пользователь.
api apiApplication Задает параметры приложения, реализующего веб-API.
appId String Уникальный идентификатор приложения, назначенного приложению идентификатором Microsoft Entra. Значение null не допускается. Только для чтения. Альтернативный ключ. Поддерживает $filter (eq).
applicationTemplateId Строка Уникальный идентификатор applicationTemplate. Поддерживает $filter (eq, not, ne). Только для чтения. null Значение , если приложение не было создано на основе шаблона приложения.
appRoles Коллекция appRole Коллекция ролей, определенных для приложения. С помощью команды назначения ролей приложений эти роли можно назначать пользователям, группам или субъектам-службам, связанным с другими приложениями. Значение null не допускается.
certification certification Указывает состояние сертификации приложения.
createdDateTime DateTimeOffset Дата и время регистрации приложения. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда указывает время в формате UTC. Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. Только для чтения.

Поддерживает $filter (eq, ne, not, ge, le, in и eq для значений null) и $orderby.
deletedDateTime DateTimeOffset Дата и время удаления приложения. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда указывает время в формате UTC. Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. Только для чтения.
description Строка Произвольное текстовое поле для описания объекта приложения конечным пользователям. Максимальный допустимый размер — 1024 символа. Поддерживает $filter (eq, ne, not, ge, le, startsWith) и $search.
disabledByMicrosoftStatus Строка Указывает, отключила ли корпорация Майкрософт зарегистрированное приложение. Возможные значения: null (значение по умолчанию), NotDisabled, и DisabledDueToViolationOfServicesAgreement (причины включают подозрительные, оскорбительные или вредоносные действия или нарушение Соглашения об использовании служб Майкрософт).

Поддерживает $filter (eq, ne, not).
displayName String Отображаемое имя приложения. Поддерживает $filter (eq, ne, not, ge, le, in, startsWith и eq для значений null), $search и $orderby.
groupMembershipClaims String Настраивает утверждение groups, выданное в маркере пользователя или маркере доступа OAuth 2.0, которого ожидает приложение. Чтобы задать этот атрибут, используйте одно из следующих допустимых строковых значений: None, SecurityGroup (для групп безопасности и ролей Microsoft Entra), All (при этом получаются все группы безопасности, группы рассылки и роли каталога Microsoft Entra, в которые входит вошедшего пользователя).
id String Уникальный идентификатор объекта приложения. Это свойство называется идентификатором объекта в Центре администрирования Microsoft Entra. Наследуется от directoryObject. Ключ. Значение null не допускается. Только для чтения. Поддерживает $filter (eq, ne, not, in).
identifierUris Коллекция String Это значение, также известное как URI идентификатора приложения, задается, когда приложение используется в качестве приложения-ресурса. ИдентификаторUris выступает в качестве префикса для областей, на которые вы ссылаетесь в коде API, и он должен быть глобально уникальным. Можно использовать предоставленное по умолчанию значение, которое находится в форме api://<appId>, или указать более читаемый URI, например https://contoso.com/api. Дополнительные сведения о допустимых шаблонах идентификаторовUris и рекомендациях см. в статье Рекомендации по безопасности регистрации приложений Microsoft Entra. Значение null не допускается.

Поддерживает $filter (eq, ne, ge, le, startsWith).
info informationalUrl Основные сведения о профиле приложения, такие как маркетинг приложения, поддержка, условия обслуживания и URL-адреса заявлений о конфиденциальности. Условия обслуживания и заявление о конфиденциальности отображаются в окне запроса согласия пользователя. Дополнительные сведения см. в разделе Практическое руководство. Добавление условий обслуживания и заявления о конфиденциальности для зарегистрированных приложений Microsoft Entra.

Поддерживает $filter (eq, ne, not, ge, le и eq для значений null).
isDeviceOnlyAuthSupported Логический Указывает, поддерживает ли приложение проверку подлинности устройства без пользователя. Значение по умолчанию: false.
isFallbackPublicClient Boolean Указывает резервный тип приложения как общедоступный клиент, например установленное приложение, запущенное на мобильном устройстве. Значение по умолчанию — false, что означает, что резервный тип приложения является конфиденциальным клиентом, например веб-приложением. Существуют определенные сценарии, в которых идентификатор Microsoft Entra не может определить тип клиентского приложения. Например, поток ROPC , в котором он настроен без указания URI перенаправления. В таких случаях идентификатор Microsoft Entra интерпретирует тип приложения на основе значения этого свойства.
keyCredentials Коллекция keyCredential Коллекция ключевых учетных данных, связанных с приложением. Значение null не допускается. Поддерживает $filter (eq, not, ge, le).
logo Stream Основной логотип для приложения. Значение null не допускается.
nativeAuthenticationApisEnabled nativeAuthenticationApisEnabled Указывает, включены ли api собственной проверки подлинности для приложения. Возможные значения: none и all. Значение по умолчанию: none. Дополнительные сведения см. в статье Собственная проверка подлинности.
notes String Заметки, важные для управления приложением.
oauth2RequiredPostResponse Boolean Указывает, разрешает ли в составе запросов маркеров OAuth 2.0 идентификатор Microsoft Entra запросы POST, а не запросы GET. Значение по умолчанию — false. В таком случае позволяются только запросы GET.
optionalClaims optionalClaims Разработчики приложений могут настроить необязательные утверждения в своих приложениях Microsoft Entra, чтобы указать утверждения, которые отправляются в приложение службой маркеров безопасности Майкрософт. Дополнительные сведения см. в статье Инструкции: предоставление необязательных утверждений для приложения.
parentalControlSettings parentalControlSettings Указывает параметры родительского контроля для приложения.
passwordCredentials Коллекция passwordCredential Коллекция учетных данных паролей, связанных с приложением. Значение null не допускается.
publicClient publicClientApplication Указывает параметры для установленных клиентов, например классических или мобильных устройств.
publisherDomain String Проверенный домен издателя для приложения. Только для чтения. Дополнительные сведения см. в статье Практическое руководство. Настройка домена издателя приложения. Поддерживает $filter (eq, ne, ge, le, startsWith).
requestSignatureVerification requestSignatureVerification Указывает, требуется ли этому приложению идентификатор Microsoft Entra для проверки подписанных запросов проверки подлинности.
requiredResourceAccess Коллекция requiredResourceAccess Указывает ресурсы, к которым приложению необходимо получить доступ. В этом свойстве также указывается набор делегированных разрешений и ролей приложения, необходимых для каждого из этих ресурсов. Эта настройка доступа к необходимым ресурсам определяет порядок предоставления согласия.

Можно настроить не более 50 служб ресурсов (API). С середины октября 2021 г. общее количество необходимых разрешений не должно превышать 400. Дополнительные сведения см. в разделе Ограничения запрашиваемых разрешений для каждого приложения. Значение null не допускается.

Поддерживает $filter (eq, not, ge, le).
samlMetadataUrl Строка URL-адрес, по которому служба предоставляет метаданные SAML для федерации. Это свойство допустимо только для приложений с одним клиентом. Допускается значение null.
serviceManagementReference Строка Ссылается на контактные данные приложения или службы из базы данных службы или управления активами. Допускается значение null.
servicePrincipalLockConfiguration servicePrincipalLockConfiguration Указывает, должны ли конфиденциальные свойства мультитенантного приложения быть заблокированы для редактирования после подготовки приложения в клиенте. Допускается значение null. null по умолчанию.
signInAudience String Указывает, учетные записи Майкрософт, которые поддерживаются для текущего приложения. Возможные значения: AzureADMyOrg (по умолчанию), AzureADMultipleOrgs, AzureADandPersonalMicrosoftAccount, и PersonalMicrosoftAccount. Дополнительные сведения см. в таблице.

Значение этого объекта также ограничивает количество разрешений, которые приложение может запрашивать. Дополнительные сведения см. в разделе Ограничения запрашиваемых разрешений для каждого приложения.

Значение этого свойства влияет на другие свойства объекта приложения. В результате при изменении этого свойства может потребоваться сначала изменить другие свойства. Дополнительные сведения см. в разделе Различия в проверке для signInAudience.

Поддерживает $filter (eq, ne, not).
spa spaApplication Указывает параметры для одностраничного приложения, в том числе URL-адреса выхода и URI перенаправления для кодов авторизации и маркеров доступа.
tags Коллекция String Настраиваемые строки, которые можно использовать для классификации и определения приложения. Значение null не допускается. Строки, добавленные здесь, также будут отображаться в свойстве tags всех связанных субъектов-служб.

Поддерживает $filter (eq, , genot, le, startsWith) и $search.
tokenEncryptionKeyId String Задает значение открытого ключа keyId из коллекции keyCredentials. При настройке Идентификатор Microsoft Entra шифрует все маркеры, которые он выдает, используя ключ, на который указывает это свойство. Код приложения, получающий зашифрованный маркер, должен использовать соответствующий закрытый ключ для расшифровки маркера, прежде чем его можно будет применить для пользователя, выполнившего вход.
uniqueName Строка Уникальный идентификатор, который можно назначить приложению и использовать в качестве альтернативного ключа. Неизменяемый. Только для чтения.
verifiedPublisher verifiedPublisher Указывает проверенного издателя приложения. Дополнительные сведения о том, как проверка издателя помогает поддерживать безопасность приложений, надежность и соответствие требованиям, см. в разделе Проверка издателя.
web webApplication Указывает параметры для веб-приложения.

Значения signInAudience

Значение Описание
AzureADMyOrg Пользователи с рабочей или учебной учетной записью Майкрософт в клиенте Microsoft Entra организации (один клиент). Это значение по умолчанию для свойства signInAudience.
AzureADMultipleOrgs Пользователи с рабочей или учебной учетной записью Майкрософт в клиенте Microsoft Entra (мультитенантном) любой организации.
AzureADandPersonalMicrosoftAccount Пользователи с личной учетной записью Майкрософт или рабочей или учебной учетной записью в клиенте Microsoft Entra любой организации. Для проверки подлинности пользователей с помощью пользовательских потоков Azure AD B2C используйте AzureADandPersonalMicrosoftAccount. Это значение позволяет использовать самый широкий набор удостоверений пользователей, включая локальные учетные записи и удостоверения пользователей из Microsoft, Facebook, Google, Twitter или любого поставщика OpenID Connect.
PersonalMicrosoftAccount Пользователи только с личной учетной записью Майкрософт.

Ограничения на запрашиваемые разрешения на приложение

Идентификатор Microsoft Entra ограничивает количество разрешений, которые могут быть запрошены и разрешены клиентским приложением. Эти ограничения зависят signInAudience от значения приложения, которое отображается в манифесте приложения.

signInAudience Разрешенные пользователи Максимальное количество разрешений, которое может запросить приложение Максимальное количество разрешений Microsoft Graph, которые может запросить приложение Максимальное количество разрешений, которые можно дать в одном запросе
AzureADMyOrg Пользователи из организации, в которой зарегистрировано приложение 400 400 Около 155 делегированных разрешений и около 300 разрешений приложения
AzureADMultipleOrgs Пользователи из любой организации Microsoft Entra 400 400 Около 155 делегированных разрешений и около 300 разрешений приложения
PersonalMicrosoftAccount Пользователи-потребители (например, учетные записи Outlook.com или Live.com) 30 30 30
AzureADandPersonalMicrosoftAccount Пользователи-потребители и пользователи из любой организации Microsoft Entra 30 30 30

Связи

Важно!

Конкретное $filter использование параметра запроса поддерживается только при использовании заголовка ConsistencyLevel и eventual$count. Дополнительные сведения см. в разделе Расширенные возможности запросов к объектам каталогов.

Связь Тип Описание
appManagementPolicies Коллекция appManagementPolicy Параметр appManagementPolicy, примененный к этому приложению.
createdOnBehalfOf directoryObject Поддерживает $filter (/$count eq 0, /$count ne 0). Только для чтения.
extensionProperties Коллекция extensionProperty Только для чтения. Допускается значение null. Поддерживает $expand и $filter (/$count eq 0, /$count ne 0).
federatedIdentityCredentials Коллекция federatedIdentityCredential Федеративные удостоверения для приложений. Поддерживает $expand и $filter (startsWith, /$count eq 0, /$count ne 0).
owners Коллекция directoryObject Объекты каталогов, владеющие приложением. Только для чтения. Допускается значение null. Поддерживает $expand, $filter (/$count eq 0, /$count ne 0, /$count eq 1, /$count ne 1), и $select , вложенные в $expand.
синхронизация синхронизация Представляет возможность синхронизации удостоверений Microsoft Entra с помощью API Microsoft Graph.

Представление JSON

В следующем представлении JSON показан тип ресурса.

{
  "addIns": [{"@odata.type": "microsoft.graph.addIn"}],
  "api": {"@odata.type": "microsoft.graph.apiApplication"},
  "appId": "String",
  "applicationTemplateId": "String",
  "appRoles": [{"@odata.type": "microsoft.graph.appRole"}],
  "certification": {"@odata.type": "microsoft.graph.certification"},
  "createdDateTime": "String (timestamp)",
  "deletedDateTime": "String (timestamp)",
  "disabledByMicrosoftStatus": "String",
  "displayName": "String",
  "groupMembershipClaims": "String",
  "id": "String (identifier)",
  "identifierUris": ["String"],
  "info": {"@odata.type": "microsoft.graph.informationalUrl"},
  "isDeviceOnlyAuthSupported": false,
  "isFallbackPublicClient": false,
  "keyCredentials": [{"@odata.type": "microsoft.graph.keyCredential"}],
  "logo": "Stream",
  "nativeAuthenticationApisEnabled": "String",
  "notes": "String",
  "oauth2RequiredPostResponse": false,
  "optionalClaims": {"@odata.type": "microsoft.graph.optionalClaims"},
  "parentalControlSettings": {"@odata.type": "microsoft.graph.parentalControlSettings"},
  "passwordCredentials": [{"@odata.type": "microsoft.graph.passwordCredential"}],
  "publicClient": {"@odata.type": "microsoft.graph.publicClientApplication"},
  "publisherDomain": "String",
  "requestSignatureVerification": {"@odata.type": "microsoft.graph.requestSignatureVerification"},
  "requiredResourceAccess": [{"@odata.type": "microsoft.graph.requiredResourceAccess"}],
  "servicePrincipalLockConfiguration": {"@odata.type": "microsoft.graph.servicePrincipalLockConfiguration"},
  "serviceManagementReference": "String",
  "signInAudience": "String",
  "spa": {"@odata.type": "microsoft.graph.spaApplication"},
  "tags": ["String"],
  "tokenEncryptionKeyId": "String",
  "uniqueName": "String",
  "verifiedPublisher": {"@odata.type": "microsoft.graph.verifiedPublisher"},
  "web": {"@odata.type": "microsoft.graph.webApplication"}
}