Microsoft Entra ID 中自定义角色的应用程序注册权限
本文概述了Microsoft Entra ID 中可用于自定义角色定义的应用注册权限。 这些权限允许管理员管理具有特定访问级别的应用程序注册,确保对组织中的应用程序进行安全高效的管理。
许可证要求
使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
用于管理单租户应用程序的权限
选择自定义角色的权限时,可以选择授予仅管理单租户应用程序的访问权限。 单租户应用程序仅适用于该应用程序已注册到的 Microsoft Entra 组织中的用户。
单租户应用程序定义为将“支持的帐户类型”设置为“仅限此组织目录中的帐户”。在图形 API 中,单租户应用程序的 signInAudience 属性设置为“AzureADMyOrg”。
若要授予仅管理单租户应用程序的访问权限,请对子类型 applications.myOrganization 使用以下所示的权限。 例如 microsoft.directory/applications.myOrganization/basic/update。
有关术语“子类型”、“权限”和“属性集”的说明,请参阅自定义角色概述。 以下信息特定于应用程序注册。
create 和 delete
可以使用两个权限来授予创建应用程序注册的能力,这两个权限各自有不同的行为:
microsoft.directory/applications/createAsOwner
分配此权限会导致创建者添加为创建的应用注册的第一个所有者。 创建的应用注册计入创建者的 250 个创建对象配额。
microsoft.directory/applications/create
授予此权限可防止创建者添加为应用注册的第一个所有者,并将应用注册从创建者的 250 个对象配额中排除。 请慎用此权限,因为在达到目录级配额之前,没有任何办法阻止分配到此权限的用户创建应用注册。
如果同时分配上述两个权限,/create 权限优先。 尽管 /createAsOwner 权限不会自动将创建者添加为第一个所有者,但使用图形 API 或 PowerShell cmdlet 时,可以在创建应用注册期间指定所有者。
create 权限授予对“新建注册”命令的访问权限。
可使用两个权限授予删除应用注册的能力:
microsoft.directory/applications/delete
不管子类型是什么(包括单租户和多租户应用程序),都授予删除应用注册的能力。
microsoft.directory/applications.myOrganization/delete
授予删除仅供组织中帐户或单租户应用程序(myOrganization 子类型)访问的应用注册的能力。
注意
分配包含 create 权限的角色时,必须在目录范围进行角色分配。 在资源范围分配的 create 权限不会授予创建应用注册的能力。
读取
默认情况下,组织中的所有成员用户都可以读取应用注册信息。 但是,来宾用户和应用程序服务主体无法读取这些信息。 如果你打算将某个角色分配给来宾用户或应用程序,必须包含相应的 read 权限。
microsoft.directory/applications/allProperties/read
授予读取单租户和多租户应用程序中所有属性的能力,但在任何情况下(如凭证)都无法读取的属性除外。
microsoft.directory/applications.myOrganization/allProperties/read
授予的权限与 microsoft.directory/applications/allProperties/read 相同,但仅适用于单租户应用程序。
microsoft.directory/applications/owners/read
授予读取单租户和多租户应用程序中所有者属性的能力。 授予对应用程序注册所有者页上的所有字段的访问权限:
microsoft.directory/applications/standard/read
授予读取标准应用程序注册属性的访问权限。 这包括跨应用程序注册页的属性。
microsoft.directory/applications.myOrganization/standard/read
授予的权限与 microsoft.directory/applications/standard/read 相同,但仅适用于单租户应用程序。
更新
Microsoft Entra ID 中的“更新”权限允许管理员修改应用程序注册的各种属性。 这些权限对于维护和管理单租户和多租户应用程序至关重要。 根据授予的特定权限,管理员可以更新属性,例如支持的帐户类型、身份验证设置、品牌详细信息等。 下面是可用更新权限及其特定功能的详细列表。
microsoft.directory/applications/allProperties/update
允许更新单租户和多租户应用程序中所有属性的能力。
microsoft.directory/applications.myOrganization/allProperties/update
授予的权限与 microsoft.directory/applications/allProperties/update 相同,但仅适用于单租户应用程序。
microsoft.directory/applications/audience/update
允许更新单租户和多租户应用程序中支持的帐户类型 (signInAudience) 属性的能力。
microsoft.directory/applications.myOrganization/audience/update
授予的权限与 microsoft.directory/applications/audience/update 相同,但仅适用于单租户应用程序。
microsoft.directory/applications/authentication/update
允许更新单租户和多租户应用程序中的回复 URL、登出 URL、隐式流和发布者域属性的能力。 授予对应用程序注册身份验证页上的所有字段(支持的帐户类型除外)的访问权限:
microsoft.directory/applications.myOrganization/authentication/update
授予的权限与 microsoft.directory/applications/authentication/update 相同,但仅适用于单租户应用程序。
microsoft.directory/applications/basic/update
允许更新单租户和多租户应用程序中的名称、徽标、主页 URL、服务条款 URL 和隐私声明 URL 属性的能力。 授予对应用程序注册品牌页上的所有字段的访问权限:
microsoft.directory/applications.myOrganization/basic/update
授予的权限与 microsoft.directory/applications/basic/update 相同,但仅适用于单租户应用程序。
microsoft.directory/applications/credentials/update
允许更新单租户和多租户应用程序中证书和客户端机密属性的能力。 授予对应用程序注册证书和机密页上的所有字段的访问权限:
microsoft.directory/applications.myOrganization/credentials/update
授予的权限与 microsoft.directory/applications/credentials/update 相同,但仅适用于单租户应用程序。
microsoft.directory/applications/owners/update
允许更新单租户和多租户应用程序中所有者属性的能力。 授予对应用程序注册所有者页上的所有字段的访问权限:
microsoft.directory/applications.myOrganization/owners/update
授予的权限与 microsoft.directory/applications/owners/update 相同,但仅适用于单租户应用程序。
microsoft.directory/applications/permissions/update
此权限允许更新单租户和多租户应用程序的各种属性,包括委派权限、应用程序权限、授权客户端应用程序、所需权限和许可属性。 不授予执行许可的能力。 授予对应用程序注册 API 权限和公开 API 页上的所有字段的访问权限:
microsoft.directory/applications.myOrganization/permissions/update
授予的权限与 microsoft.directory/applications/permissions/update 相同,但仅适用于单租户应用程序。