Alkalmazásregisztrációs engedélyek egyéni szerepkörökhöz a Microsoft Entra-azonosítóban
Ez a cikk a Microsoft Entra ID egyéni szerepkör-definícióihoz jelenleg elérhető alkalmazásregisztrációs engedélyeket tartalmazza.
License requirements
A funkció használatához Microsoft Entra ID P1-licencek szükségesek. To find the right license for your requirements, see Compare generally available features of Microsoft Entra ID.
Engedélyek az egybérlős alkalmazások kezeléséhez
Az egyéni szerepkör engedélyeinek kiválasztásakor lehetősége van arra, hogy csak az egybérlős alkalmazások kezeléséhez adjon hozzáférést. az egybérlős alkalmazások csak azon Microsoft Entra-szervezet felhasználói számára érhetők el, ahol az alkalmazás regisztrálva van. Az egybérlős alkalmazások úgy vannak definiálva, hogy a támogatott fióktípusok "Csak ebben a szervezeti címtárban lévő fiókok" értékre vannak állítva. A Graph API-ban az egybérlős alkalmazások signInAudience tulajdonsága "AzureADMyOrg" értékre van állítva.
Ha csak egybérlős alkalmazások kezeléséhez szeretne hozzáférést biztosítani, használja az alábbi engedélyeket az applications.myOrganization altípussal. Például: microsoft.directory/applications.myOrganization/basic/update.
Az egyéni szerepkörök áttekintésében megtudhatja, hogy mit jelentenek az általános kifejezések altípusa, engedélye és tulajdonságkészlete. Az alábbi információk az alkalmazásregisztrációkra vonatkoznak.
Create and delete
Két engedély érhető el az alkalmazásregisztrációk létrehozásának engedélyezéséhez, amelyek mindegyike eltérő viselkedéssel rendelkezik:
microsoft.directory/applications/createAsOwner
Az engedély hozzárendelése azt eredményezi, hogy a rendszer a létrehozót adja hozzá a létrehozott alkalmazásregisztráció első tulajdonosaként, és a létrehozott alkalmazásregisztráció beleszámít a létrehozó 250 létrehozott objektumra vonatkozó kvótájába.
microsoft.directory/applications/create
Az engedély hozzárendelése azt eredményezi, hogy a létrehozó nem lesz hozzáadva a létrehozott alkalmazásregisztráció első tulajdonosaként, és a létrehozott alkalmazásregisztráció nem számít bele a létrehozó 250 létrehozott objektumkvótája közé. Körültekintően használja ezt az engedélyt, mert semmi sem akadályozza meg a hozzárendeltet abban, hogy alkalmazásregisztrációkat hozzon létre, amíg a címtárszintű kvótát meg nem éri.
Ha mindkét engedély hozzá van rendelve, a /create engedély elsőbbséget élvez. Bár a /createAsOwner engedély nem adja hozzá automatikusan a létrehozót első tulajdonosként, az alkalmazásregisztráció létrehozása során a tulajdonosok megadhatóak Graph API-k vagy PowerShell-parancsmagok használata esetén.
Engedélyek létrehozása hozzáférést biztosít az Új regisztrációs parancshoz.
Az alkalmazásregisztrációk törléséhez két engedély érhető el:
microsoft.directory/applications/delete
Lehetővé teszi az alkalmazásregisztrációk törlését altípustól függetlenül; vagyis az egy-bérlős és a több-bérlős alkalmazások is.
microsoft.directory/applications.myOrganization/delete
Lehetővé teszi az olyan alkalmazásregisztrációk törlését, amelyek csak a szervezet vagy az egybérlős alkalmazások (myOrganization altípus) fiókjai számára érhetők el.
Megjegyzés:
Létrehozási engedélyeket tartalmazó szerepkör hozzárendelésekor a szerepkör-hozzárendelést a címtár hatókörében kell elvégezni. Az erőforrás-hatókörhöz rendelt létrehozási engedély nem teszi lehetővé az alkalmazásregisztrációk létrehozását.
Olvasás
A szervezet minden tagfelhasználója alapértelmezés szerint elolvashatja az alkalmazásregisztrációs adatokat. A vendégfelhasználók és az alkalmazásszolgáltatás-tagok azonban nem. Ha szerepkört szeretne hozzárendelni egy vendégfelhasználóhoz vagy alkalmazáshoz, a megfelelő olvasási engedélyeket kell megadnia.
microsoft.directory/applications/allProperties/read
Az egybérlős és a több-bérlős alkalmazások összes tulajdonságának olvasása olyan tulajdonságokon kívül, amelyek semmilyen helyzetben nem olvashatók, például hitelesítő adatok.
microsoft.directory/applications.myOrganization/allProperties/read
Ugyanazokat az engedélyeket adja meg, mint a microsoft.directory/applications/allProperties/read, de csak az egybérlős alkalmazásokhoz.
microsoft.directory/applications/owners/read
Lehetővé teszi a tulajdonosok tulajdonságának olvasását egy-bérlős és több-bérlős alkalmazásokban. Hozzáférést biztosít az alkalmazásregisztráció-tulajdonosok oldalán található összes mezőhöz:
microsoft.directory/applications/standard/read
Hozzáférést biztosít a szabványos alkalmazásregisztrációs tulajdonságok olvasásához. Ide tartoznak az alkalmazásregisztrációs oldalak tulajdonságai.
microsoft.directory/applications.myOrganization/standard/read
Ugyanazokat az engedélyeket adja meg, mint a microsoft.directory/applications/standard/read, de csak egybérlős alkalmazások esetében.
Frissítés
microsoft.directory/applications/allProperties/update
Az egybérlős és a több-bérlős alkalmazások összes tulajdonságának frissítése.
microsoft.directory/applications.myOrganization/allProperties/update
Ugyanazokat az engedélyeket adja meg, mint a microsoft.directory/applications/allProperties/update, de csak az egybérlős alkalmazásokhoz.
microsoft.directory/applications/audience/update
A támogatott fióktípus (signInAudience) tulajdonság frissítése egy-bérlős és több-bérlős alkalmazásokban.
microsoft.directory/applications.myOrganization/audience/update
Ugyanazokat az engedélyeket adja meg, mint a microsoft.directory/applications/audience/update, de csak az egybérlős alkalmazásokhoz.
microsoft.directory/applications/authentication/update
A válasz URL-cím, a bejelentkezési URL-cím, az implicit folyamat és a közzétevő tartomány tulajdonságainak frissítése egy-bérlős és több-bérlős alkalmazásokban. Hozzáférést biztosít az alkalmazásregisztrációs hitelesítési oldal összes mezőjéhez, kivéve a támogatott fióktípusokat:
microsoft.directory/applications.myOrganization/authentication/update
Ugyanazokat az engedélyeket adja meg, mint a microsoft.directory/applications/authentication/update, de csak az egybérlős alkalmazásokhoz.
microsoft.directory/applications/basic/update
A név, az embléma, a kezdőlap URL-címe, a szolgáltatási feltételek URL-címe és az adatvédelmi nyilatkozat URL-tulajdonságainak frissítése egy-bérlős és több-bérlős alkalmazásokban. Hozzáférést biztosít az alkalmazásregisztrációs védjegyzési oldal összes mezőjéhez:
microsoft.directory/applications.myOrganization/basic/update
Ugyanazokat az engedélyeket adja meg, mint a microsoft.directory/applications/basic/update, de csak az egybérlős alkalmazásokhoz.
microsoft.directory/applications/hitelesítő adatok/frissítés
A tanúsítványok és az ügyfél titkos kód tulajdonságainak frissítése egy-bérlős és több-bérlős alkalmazásokban. Hozzáférést biztosít az alkalmazásregisztrációs tanúsítványok > titkos kulcsok lapján található összes mezőhöz:
microsoft.directory/applications.myOrganization/hitelesítő adatok/frissítés
Ugyanazokat az engedélyeket adja meg, mint a microsoft.directory/applications/hitelesítő adatok/frissítés, de csak az egybérlős alkalmazásokhoz.
microsoft.directory/applications/owners/update
A tulajdonostulajdonság frissítése egy-bérlős és több-bérlős bérlőn. Hozzáférést biztosít az alkalmazásregisztráció-tulajdonosok oldalán található összes mezőhöz:
microsoft.directory/applications.myOrganization/owners/update
Ugyanazokat az engedélyeket adja meg, mint a microsoft.directory/applications/owners/update, de csak az egybérlős alkalmazásokhoz.
microsoft.directory/applications/permissions/update
A delegált engedélyek, az alkalmazásengedélyek, az engedélyezett ügyfélalkalmazások, a szükséges engedélyek, valamint az egy-bérlős és több-bérlős alkalmazások hozzájárulási tulajdonságainak frissítése. Nem engedélyezi a hozzájárulást. Hozzáférést biztosít az alkalmazásregisztrációs API-engedélyek összes mezőjéhez, és elérhetővé tesz egy API-oldalt:
microsoft.directory/applications.myOrganization/permissions/update
Ugyanazokat az engedélyeket adja meg, mint a microsoft.directory/applications/permissions/update, de csak az egybérlős alkalmazásokhoz.