Autorizzazioni di registrazione dell'applicazione per i ruoli personalizzati in Azure Active DirectoryApplication registration permissions for custom roles in Azure Active Directory

Questo articolo contiene le autorizzazioni di registrazione delle app attualmente disponibili per le definizioni di ruolo personalizzate in Azure Active Directory (Azure AD).This article contains the currently available app registration permissions for custom role definitions in Azure Active Directory (Azure AD).

Autorizzazioni per la gestione di applicazioni a tenant singoloPermissions for managing single-tenant applications

Quando si scelgono le autorizzazioni per il ruolo personalizzato, si ha la possibilità di concedere l'accesso per gestire solo le applicazioni a tenant singolo.When choosing the permissions for your custom role, you have the option to grant access to manage only single-tenant applications. le applicazioni a tenant singolo sono disponibili solo per gli utenti dell'organizzazione Azure AD in cui l'applicazione è registrata.single-tenant applications are available only to users in the Azure AD organization where the application is registered. le applicazioni a tenant singolo sono definite con tipi di account supportati impostati su "account solo in questa directory organizzativa".single-tenant applications are defined as having Supported account types set to "Accounts in this organizational directory only." Nella API Graph le applicazioni a tenant singolo hanno la proprietà signInAudience impostata su "AzureADMyOrg".In the Graph API, single-tenant applications have the signInAudience property set to "AzureADMyOrg."

Per concedere l'accesso per gestire solo le applicazioni a tenant singolo, utilizzare le autorizzazioni riportate di seguito con il sottotipo Applications. Organization.To grant access to manage only single-tenant applications, use the permissions below with the subtype applications.myOrganization. Ad esempio, Microsoft. directory/Applications. organizzazione/Basic/Update.For example, microsoft.directory/applications.myOrganization/basic/update.

Vedere Cenni preliminari sui ruoli personalizzati per una spiegazione del significato del sottotipo, dell'autorizzazione e del set di proprietà dei termini generali.See the custom roles overview for an explanation of what the general terms subtype, permission, and property set mean. Le informazioni seguenti sono specifiche per le registrazioni di applicazioni.The following information is specific to application registrations.

Creazione ed eliminazioneCreate and delete

Sono disponibili due autorizzazioni per concedere la possibilità di creare registrazioni di applicazioni, ognuna con un comportamento diverso:There are two permissions available for granting the ability to create application registrations, each with different behavior:

microsoft.directory/applications/createAsOwnermicrosoft.directory/applications/createAsOwner

L'assegnazione di questa autorizzazione comporta l'aggiunta del creatore come primo proprietario della registrazione dell'app creata e la registrazione dell'app creata verrà conteggiata in base alla quota degli oggetti creati 250 dell'autore.Assigning this permission results in the creator being added as the first owner of the created app registration, and the created app registration will count against the creator's 250 created objects quota.

microsoft.directory/applications/createmicrosoft.directory/applications/create

L'assegnazione di questa autorizzazione comporta la mancata aggiunta del creatore come primo proprietario della registrazione dell'app creata e la registrazione dell'app creata non verrà conteggiata con la quota degli oggetti creati 250 dell'autore.Assigning this permission results in the creator not being added as the first owner of the created app registration, and the created app registration will not count against the creator's 250 created objects quota. Usare questa autorizzazione con cautela, perché non è possibile impedire all'assegnatario di creare registrazioni di app fino a quando non viene raggiunta la quota a livello di directory.Use this permission carefully, because there is nothing preventing the assignee from creating app registrations until the directory-level quota is hit. Se vengono assegnate entrambe le autorizzazioni, questa autorizzazione avrà la precedenza.If both permissions are assigned, this permission takes precedence.

Se vengono assegnate entrambe le autorizzazioni, l'autorizzazione/Create avrà la precedenza.If both permissions are assigned, the /create permission will take precedence. Sebbene l'autorizzazione/createAsOwner non aggiunga automaticamente il creatore come primo proprietario, i proprietari possono essere specificati durante la creazione della registrazione dell'app quando si usano le API Graph o i cmdlet di PowerShell.Though the /createAsOwner permission does not automatically add the creator as the first owner, owners can be specified during the creation of the app registration when using Graph APIs or PowerShell cmdlets.

Le autorizzazioni create consentono di concedere l'accesso al nuovo comando di registrazione .Create permissions grant access to the New registration command.

Queste autorizzazioni concedono l'accesso al nuovo comando del portale di registrazioneThese permissions grant access to the New Registration portal command

Sono disponibili due autorizzazioni per concedere la possibilità di eliminare le registrazioni dell'app:There are two permissions available for granting the ability to delete app registrations:

microsoft.directory/applications/deletemicrosoft.directory/applications/delete

Concede la possibilità di eliminare registrazioni per l'app indipendentemente dal sottotipo; ovvero applicazioni a tenant singolo e multi-tenant.Grants the ability to delete app registrations regardless of subtype; that is, both single-tenant and multi-tenant applications.

Microsoft. directory/Applications. organizzazione/eliminazionemicrosoft.directory/applications.myOrganization/delete

Consente di eliminare le registrazioni di app limitate a quelle accessibili solo agli account dell'organizzazione o alle applicazioni a tenant singolo (sottotipo di organizzazione).Grants the ability to delete app registrations restricted to those that are accessible only to accounts in your organization or single-tenant applications (myOrganization subtype).

Queste autorizzazioni concedono l'accesso al comando Delete app Registration

Nota

Quando si assegna un ruolo che contiene le autorizzazioni di creazione, l'assegnazione di ruolo deve essere eseguita nell'ambito di directory.When assigning a role that contains create permissions, the role assignment must be made at the directory scope. Un'autorizzazione Create assegnata a un ambito di risorse non concede la possibilità di creare registrazioni per l'app.A create permission assigned at a resource scope does not grant the ability to create app registrations.

LetturaRead

Per impostazione predefinita, tutti gli utenti membri dell'organizzazione possono leggere le informazioni di registrazione dell'app.All member users in the organization can read app registration information by default. Tuttavia, gli utenti guest e le entità servizio dell'applicazione non possono.However, guest users and application service principals can't. Se si prevede di assegnare un ruolo a un utente Guest o a un'applicazione, è necessario includere le autorizzazioni di lettura appropriate.If you plan to assign a role to a guest user or application, you must include the appropriate read permissions.

Microsoft. directory/Applications/allProperties/Readmicrosoft.directory/applications/allProperties/read

Possibilità di leggere tutte le proprietà di applicazioni a tenant singolo e multi-tenant esterne a proprietà che non possono essere lette in alcuna situazione come le credenziali.Ability to read all properties of single-tenant and multi-tenant applications outside of properties that cannot be read in any situation like credentials.

Microsoft. directory/Applications. organizzazione/allProperties/letturamicrosoft.directory/applications.myOrganization/allProperties/read

Concede le stesse autorizzazioni di Microsoft. directory/Applications/allProperties/Read, ma solo per le applicazioni a tenant singolo.Grants the same permissions as microsoft.directory/applications/allProperties/read, but only for single-tenant applications.

microsoft.directory/applications/owners/readmicrosoft.directory/applications/owners/read

Concede la possibilità di leggere la proprietà owners nelle applicazioni a tenant singolo e multi-tenant.Grants the ability to read owners property on single-tenant and multi-tenant applications. Concede l'accesso a tutti i campi nella pagina proprietari registrazione applicazione:Grants access to all fields on the application registration owners page:

Questa autorizzazione concede l'accesso alla pagina dei proprietari di registrazione delle app

Microsoft. directory/applicazioni/standard/letturamicrosoft.directory/applications/standard/read

Concede l'accesso per la lettura delle proprietà standard di registrazione dell'applicazione.Grants access to read standard application registration properties. Sono incluse le proprietà nelle pagine di registrazione dell'applicazione.This includes properties across application registration pages.

Microsoft. directory/Applications. organizzazione/standard/letturamicrosoft.directory/applications.myOrganization/standard/read

Concede le stesse autorizzazioni di Microsoft. directory/Applications/standard/Read, ma solo per le applicazioni a tenant singolo.Grants the same permissions as microsoft.directory/applications/standard/read, but for only single-tenant applications.

AggiornamentoUpdate

Microsoft. directory/Applications/allProperties/Updatemicrosoft.directory/applications/allProperties/update

Possibilità di aggiornare tutte le proprietà nelle applicazioni a tenant singolo e multi-tenant.Ability to update all properties on single-tenant and multi-tenant applications.

Microsoft. directory/Applications. organizzazione/allProperties/aggiornamentomicrosoft.directory/applications.myOrganization/allProperties/update

Concede le stesse autorizzazioni di Microsoft. directory/Applications/allProperties/Update, ma solo per le applicazioni a tenant singolo.Grants the same permissions as microsoft.directory/applications/allProperties/update, but only for single-tenant applications.

microsoft.directory/applications/audience/updatemicrosoft.directory/applications/audience/update

Possibilità di aggiornare la proprietà tipo di account supportato (signInAudience) nelle applicazioni a tenant singolo e multi-tenant.Ability to update the supported account type (signInAudience) property on single-tenant and multi-tenant applications.

Questa autorizzazione concede l'accesso alla proprietà tipo di account supportato per la registrazione dell'app nella pagina di autenticazione

Microsoft. directory/Applications. l'organizzazione/destinatari/aggiornamentomicrosoft.directory/applications.myOrganization/audience/update

Concede le stesse autorizzazioni di Microsoft. directory/Applications/audience/Update, ma solo per le applicazioni a tenant singolo.Grants the same permissions as microsoft.directory/applications/audience/update, but only for single-tenant applications.

microsoft.directory/applications/authentication/updatemicrosoft.directory/applications/authentication/update

Possibilità di aggiornare l'URL di risposta, l'URL di disconnessione, il flusso implicito e le proprietà del dominio dell'editore nelle applicazioni a tenant singolo e multi-tenant.Ability to update the reply URL, sign-out URL, implicit flow, and publisher domain properties on single-tenant and multi-tenant applications. Concede l'accesso a tutti i campi nella pagina di autenticazione per la registrazione dell'applicazione ad eccezione dei tipi di account supportati:Grants access to all fields on the application registration authentication page except supported account types:

Concede l'accesso all'autenticazione per la registrazione dell'app, ma non ai tipi di conto supportati

microsoft.directory/applications.myOrganization/authentication/updatemicrosoft.directory/applications.myOrganization/authentication/update

Concede le stesse autorizzazioni di Microsoft. directory/Applications/Authentication/Update, ma solo per le applicazioni a tenant singolo.Grants the same permissions as microsoft.directory/applications/authentication/update, but only for single-tenant applications.

microsoft.directory/applications/basic/updatemicrosoft.directory/applications/basic/update

Possibilità di aggiornare il nome, il logo, l'URL della Home page, l'URL delle condizioni di servizio e le proprietà dell'URL dell'informativa sulla privacy per le applicazioni a tenant singolo e multi-tenant.Ability to update the name, logo, homepage URL, terms of service URL, and privacy statement URL properties on single-tenant and multi-tenant applications. Concede l'accesso a tutti i campi nella pagina Personalizzazione registrazione applicazione:Grants access to all fields on the application registration branding page:

Questa autorizzazione concede l'accesso alla pagina Personalizzazione registrazione app

Microsoft. directory/Applications. organizzazione/base/aggiornamentomicrosoft.directory/applications.myOrganization/basic/update

Concede le stesse autorizzazioni di Microsoft. directory/Applications/Basic/Update, ma solo per le applicazioni a tenant singolo.Grants the same permissions as microsoft.directory/applications/basic/update, but only for single-tenant applications.

microsoft.directory/applications/credentials/updatemicrosoft.directory/applications/credentials/update

Possibilità di aggiornare le proprietà dei certificati e dei segreti client nelle applicazioni a tenant singolo e multi-tenant.Ability to update the certificates and client secrets properties on single-tenant and multi-tenant applications. Concede l'accesso a tutti i campi nella pagina dei certificati di registrazione dell'applicazione & Secrets:Grants access to all fields on the application registration certificates & secrets page:

Questa autorizzazione concede l'accesso ai certificati di registrazione dell'app & pagina dei segreti

Microsoft. directory/Applications. organizzazione/credenziali/aggiornamentomicrosoft.directory/applications.myOrganization/credentials/update

Concede le stesse autorizzazioni di Microsoft. directory/Applications/Credentials/Update, ma solo per le applicazioni a tenant singolo.Grants the same permissions as microsoft.directory/applications/credentials/update, but only for single-tenant applications.

microsoft.directory/applications/owners/updatemicrosoft.directory/applications/owners/update

Possibilità di aggiornare la proprietà Owner in un tenant singolo e multi-tenant.Ability to update the owner property on single-tenant and multi-tenant. Concede l'accesso a tutti i campi nella pagina proprietari registrazione applicazione:Grants access to all fields on the application registration owners page:

Questa autorizzazione concede l'accesso alla pagina dei proprietari di registrazione delle app

Microsoft. directory/Applications. organizzazione/proprietari/aggiornamentomicrosoft.directory/applications.myOrganization/owners/update

Concede le stesse autorizzazioni di Microsoft. directory/Applications/owners/Update, ma solo per le applicazioni a tenant singolo.Grants the same permissions as microsoft.directory/applications/owners/update, but only for single-tenant applications.

microsoft.directory/applications/permissions/updatemicrosoft.directory/applications/permissions/update

Possibilità di aggiornare le autorizzazioni delegate, le autorizzazioni dell'applicazione, le applicazioni client autorizzate, le autorizzazioni necessarie e concedere le proprietà di consenso per le applicazioni a tenant singolo e multi-tenant.Ability to update the delegated permissions, application permissions, authorized client applications, required permissions, and grant consent properties on single-tenant and multi-tenant applications. Non concede la possibilità di eseguire il consenso.Does not grant the ability to perform consent. Concede l'accesso a tutti i campi nelle autorizzazioni dell'API di registrazione dell'applicazione ed esporre le pagine dell'API:Grants access to all fields on the application registration API permissions and Expose an API pages:

Questa autorizzazione concede l'accesso alla pagina autorizzazioni API registrazione app

Questa autorizzazione concede l'accesso alla registrazione dell'app esporre una pagina API

microsoft.directory/applications.myOrganization/permissions/updatemicrosoft.directory/applications.myOrganization/permissions/update

Concede le stesse autorizzazioni di Microsoft. directory/Applications/Permissions/Update, ma solo per le applicazioni a tenant singolo.Grants the same permissions as microsoft.directory/applications/permissions/update, but only for single-tenant applications.

Piano di licenza necessarioRequired license plan

Per usare questa funzionalità è necessario disporre di una licenza di Azure AD Premium P1.Using this feature requires an Azure AD Premium P1 license. Per trovare la licenza adatta alle proprie esigenze, vedere il  confronto tra le funzionalità disponibili a livello generale per le edizioni Gratuita, Basic e Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Passaggi successiviNext steps