Izin pendaftaran aplikasi untuk peran kustom di MICROSOFT Entra ID
Artikel ini berisi izin pendaftaran aplikasi yang saat ini tersedia untuk definisi peran kustom di ID Microsoft Entra.
Persyaratan lisensi
Menggunakan fitur ini memerlukan lisensi Microsoft Entra ID P1. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur Microsoft Entra ID yang tersedia secara umum.
Izin untuk mengelola aplikasi penyewa tunggal
Ketika memilih izin untuk peran kustom, Anda memiliki opsi untuk memberikan akses hanya untuk mengelola aplikasi penyewa tunggal. Aplikasi penyewa tunggal hanya tersedia untuk pengguna di organisasi Microsoft Entra tempat aplikasi terdaftar. Aplikasi penyewa tunggal didefinisikan sebagai memiliki jenis akun yang Didukung diatur ke "Akun di direktori organisasi ini saja." Dalam API Graph, aplikasi penyewa tunggal memiliki properti signInAudience yang diatur ke "AzureADMyOrg."
Untuk memberikan akses untuk hanya mengelola aplikasi penyewa tunggal, gunakan izin di bawah ini dengan subjenis applications.myOrganization. Sebagai contoh, microsoft.directory/applications.myOrganization/basic/update.
Lihat ringkasan peran kustom untuk penjelasan tentang arti subjenis istilah umum, izin, dan kumpulan properti. Informasi berikut ini khusus untuk pendaftaran aplikasi.
Membuat dan menghapus
Ada dua izin yang tersedia untuk memberikan kemampuan untuk membuat pendaftaran aplikasi, masing-masing dengan perilaku yang berbeda:
microsoft.directory/applications/createAsOwner
Dengan menetapkan izin ini akan mengakibatkan pembuat ditambahkan sebagai pemilik pertama dari pendaftaran aplikasi yang dibuat, dan pendaftaran aplikasi yang dibuat akan dihitung berdasarkan kuota 250 objek yang dibuat oleh pembuat.
microsoft.directory/applications/create
Dengan menetapkan izin ini akan mengakibatkan pembuat ditambahkan sebagai pemilik pertama dari pendaftaran aplikasi yang dibuat, dan pendaftaran aplikasi yang dibuat tidak akan dihitung berdasarkan kuota 250 objek yang dibuat oleh pembuat. Gunakan izin ini dengan hati-hati, karena tidak ada yang mencegah penerima tugas untuk membuat pendaftaran aplikasi hingga kuota tingkat direktori tercapai.
Jika kedua izin ditetapkan, izin /create akan diutamakan. Meskipun izin /createAsOwner tidak secara otomatis menambahkan pembuat sebagai pemilik pertama, pemilik dapat ditentukan selama pembuatan pendaftaran aplikasi saat menggunakan API Graph atau cmdlet PowerShell.
Membuat izin memberikan akses ke perintah Pendaftaran baru.
Ada dua izin yang tersedia untuk memberikan kemampuan untuk menghapus pendaftaran aplikasi:
microsoft.directory/applications/delete
Memberikan kemampuan untuk menghapus pendaftaran aplikasi terlepas dari subjenis; yaitu, baik aplikasi penyewa tunggal dan multi-penyewa.
microsoft.directory/applications.myOrganization/delete
Memberikan kemampuan untuk menghapus pendaftaran aplikasi yang dibatasi hanya dapat diakses oleh akun di organisasi Atau aplikasi penyewa tunggal Anda (subjenis myOrganization).
Catatan
Saat menetapkan peran yang berisi izin buat, penetapan peran harus dilakukan di cakupan direktori. Izin buat yang ditetapkan di cakupan sumber daya tidak memberikan kemampuan untuk membuat pendaftaran aplikasi.
Baca
Semua pengguna anggota di organisasi dapat membaca informasi pendaftaran aplikasi secara default. Namun, pengguna tamu dan perwakilan layanan aplikasi tidak bisa. Jika Anda berencana untuk menetapkan peran kepada pengguna tamu atau aplikasi, Anda harus menyertakan izin baca yang sesuai.
microsoft.directory/applications/allProperties/read
Kemampuan untuk membaca semua properti aplikasi penyewa tunggal dan multi-penyewa di luar properti yang tidak dapat dibaca dalam situasi seperti info masuk.
microsoft.directory/applications.myOrganization/allProperties/read
Memberikan izin yang sama seperti microsoft.directory/applications/allProperties/read, tetapi hanya untuk aplikasi penyewa tunggal.
microsoft.directory/applications/owners/read
Memberikan kemampuan untuk membaca properti pemilik pada aplikasi penyewa tunggal dan multi-penyewa. Memberikan akses ke semua bidang di halaman pemilik pendaftaran aplikasi:
microsoft.directory/applications/standard/read
Memberikan akses untuk membaca properti pendaftaran aplikasi standar. Ini termasuk properti di seluruh halaman pendaftaran aplikasi.
microsoft.directory/applications.myOrganization/standard/read
Memberikan izin yang sama dengan microsoft.directory/applications/standard/read, tetapi hanya untuk aplikasi penyewa tunggal.
Update
microsoft.directory/applications/allProperties/update
Kemampuan untuk memperbarui semua properti pada aplikasi penyewa tunggal dan multi-penyewa.
microsoft.directory/applications.myOrganization/allProperties/update
Memberikan izin yang sama seperti microsoft.directory/applications/allProperties/update, tetapi hanya untuk aplikasi penyewa tunggal.
microsoft.directory/applications/audience/update
Kemampuan untuk memperbarui properti jenis akun (signInAudience) yang didukung pada aplikasi penyewa tunggal dan multi-penyewa.
microsoft.directory/applications.myOrganization/audience/update
Memberikan izin yang sama seperti microsoft.directory/applications/audience/update, tetapi hanya untuk aplikasi penyewa tunggal.
microsoft.directory/applications/authentication/perbarui
Kemampuan untuk memperbarui URL balasan, URL keluar, alur implisit, dan properti domain penerbit pada aplikasi penyewa tunggal dan multi-penyewa. Memberikan akses ke semua bidang di halaman autentikasi pendaftaran aplikasi kecuali jenis akun yang didukung:
microsoft.directory/applications.myOrganization/authentication/perbarui
Memberikan izin yang sama seperti microsoft.directory/applications/authentication/update, tetapi hanya untuk aplikasi penyewa tunggal.
microsoft.directory/applications/basic/update
Kemampuan untuk memperbarui properti nama, logo, URL beranda, URL persyaratan layanan, dan URL pernyataan privasi pada aplikasi penyewa tunggal dan multi-penyewa. Memberikan akses ke semua bidang di halaman merek pendaftaran aplikasi:
microsoft.directory/applications.myOrganization/basic/update
Memberikan izin yang sama seperti microsoft.directory/applications/basic/update, tetapi hanya untuk aplikasi penyewa tunggal.
microsoft.directory/applications/credentials/update
Kemampuan untuk memperbarui sertifikat dan properti klien rahasia pada aplikasi penyewa tunggal dan multi-penyewa. Memberi akses ke semua bidang di halaman rahasia & sertifikat pendaftaran aplikasi:
microsoft.directory/applications.myOrganization/credentials/update
Memberikan izin yang sama seperti microsoft.directory/applications/credentials/update, tetapi hanya untuk aplikasi penyewa tunggal.
microsoft.directory/applications/owners/update
Kemampuan untuk memperbarui properti pemilik pada penyewa tunggal dan multi-penyewa. Memberikan akses ke semua bidang di halaman pemilik pendaftaran aplikasi:
microsoft.directory/applications.myOrganization/owners/update
Memberikan izin yang sama seperti microsoft.directory/applications/owners/update, tetapi hanya untuk aplikasi penyewa tunggal.
microsoft.directory/applications/permissions/update
Kemampuan untuk memperbarui izin yang didelegasikan, izin aplikasi, aplikasi klien yang diotorisasi, izin yang diperlukan, dan memberikan properti persetujuan pada aplikasi penyewa tunggal dan multi-penyewa. Tidak memberikan kemampuan untuk melakukan persetujuan. Memberikan akses ke semua bidang pada halaman izin API pendaftaran aplikasi dan Mengekspos API:
microsoft.directory/applications.myOrganization/permissions/update
Memberikan izin yang sama seperti microsoft.directory/applications/permissions/update, tetapi hanya untuk aplikasi penyewa tunggal.