Microsoft Entra ID 中自定义角色的应用程序注册权限

本文包含 Microsoft Entra ID 中自定义角色定义的当前可用应用注册权限。

许可证要求

使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能

用于管理单租户应用程序的权限

选择自定义角色的权限时,可以选择授予仅管理单租户应用程序的访问权限。 单租户应用程序仅适用于该应用程序已注册到的 Microsoft Entra 组织中的用户。 单租户应用程序定义为将“支持的帐户类型”设置为“仅限此组织目录中的帐户”。在 Graph API 中,单租户应用程序的 signInAudience 属性设置为“AzureADMyOrg”。

若要授予仅管理单租户应用程序的访问权限,请对子类型 applications.myOrganization 使用以下权限。 例如 microsoft.directory/applications.myOrganization/basic/update。

有关一般术语“子类型”、“权限”和“属性集”的含义,请参阅自定义角色概述。 以下信息特定于应用程序注册。

create 和 delete

可以使用两个权限来授予创建应用程序注册的能力,这两个权限各自有不同的行为:

microsoft.directory/applications/createAsOwner

分配此权限会导致将创建者添加为所创建应用注册的第一个所有者,创建的应用注册将计入到创建者的“创建 250 个对象”配额中。

microsoft.directory/applications/create

分配此权限会导致不将创建者添加为所创建应用注册的第一个所有者,创建的应用注册不会计入到创建者的“创建 250 个对象”配额中。 请慎用此权限,因为在达到目录级配额之前,没有任何办法可阻止被分配者创建应用注册。

如果同时分配上述两个权限,/create 权限优先。 尽管 /createAsOwner 权限不会自动将创建者添加为第一个所有者,但使用图形 API 或 PowerShell cmdlet 时,可以在创建应用注册期间指定所有者。

create 权限授予对“新建注册”命令的访问权限。

These permissions grant access to the New Registration portal command

可使用两个权限授予删除应用注册的能力:

microsoft.directory/applications/delete

不管子类型是什么(单租户和多租户应用程序),都授予删除应用注册的能力。

microsoft.directory/applications.myOrganization/delete

授予删除仅供组织中帐户或单租户应用程序(myOrganization 子类型)访问的应用注册的能力。

These permissions grant access to the Delete app registration command

注意

分配包含 create 权限的角色时,必须在目录范围进行角色分配。 在资源范围分配的 create 权限不会授予创建应用注册的能力。

读取

默认情况下,组织中的所有成员用户都可以读取应用注册信息。 但是,来宾用户和应用程序服务主体无法读取这些信息。 如果你打算将某个角色分配给来宾用户或应用程序,必须包含相应的 read 权限。

microsoft.directory/applications/allProperties/read

能够读取单租户和多租户应用程序在任何情况下都无法读取的属性(如凭据)之外的所有属性。

microsoft.directory/applications.myOrganization/allProperties/read

授予的权限与 microsoft.directory/applications/allProperties/read 相同,但仅适用于单租户应用程序。

microsoft.directory/applications/owners/read

授予读取单租户和多租户应用程序中的所有者属性的能力。 授予对应用程序注册所有者页上的所有字段的访问权限:

This permissions grants access to the app registration owners page

microsoft.directory/applications/standard/read

授予读取标准应用程序注册属性的访问权限。 这包括跨应用程序注册页的属性。

microsoft.directory/applications.myOrganization/standard/read

授予的权限与 microsoft.directory/applications/standard/read 相同,但仅适用于单租户应用程序。

更新

microsoft.directory/applications/allProperties/update

能够更新单租户和多租户应用程序的所有属性。

microsoft.directory/applications.myOrganization/allProperties/update

授予的权限与 microsoft.directory/applications/allProperties/update 相同,但仅适用于单租户应用程序。

microsoft.directory/applications/audience/update

能够更新单租户和多租户应用程序支持的帐户类型 (signInAudience) 属性。

This permission grants access to app registration supported account type property on authentication page

microsoft.directory/applications.myOrganization/audience/update

授予的权限与 microsoft.directory/applications/audience/update 相同,但仅适用于单租户应用程序。

microsoft.directory/applications/authentication/update

可更新单租户和多租户应用程序中的回复 URL、注销 URL、隐式流和发布者域属性。 授予对应用程序注册身份验证页上的所有字段(支持的帐户类型除外)的访问权限:

Grants access to app registration authentication but not supported account types

microsoft.directory/applications.myOrganization/authentication/update

授予的权限与 microsoft.directory/applications/authentication/update 相同,但仅适用于单租户应用程序。

microsoft.directory/applications/basic/update

可更新单租户和多租户应用程序中的名称、徽标、主页 URL、服务条款 URL 和隐私声明 URL 属性。 授予对应用程序注册品牌页上的所有字段的访问权限:

This permission grants access to the app registration branding page

microsoft.directory/applications.myOrganization/basic/update

授予的权限与 microsoft.directory/applications/basic/update 相同,但仅适用于单租户应用程序。

microsoft.directory/applications/credentials/update

可更新单租户和多租户应用程序中的证书和客户端机密属性。 授予对应用程序注册证书和机密页上的所有字段的访问权限:

This permission grants access to the app registration certificates & secrets page

microsoft.directory/applications.myOrganization/credentials/update

授予的权限与 microsoft.directory/applications/credentials/update 相同,但仅适用于单租户应用程序。

microsoft.directory/applications/owners/update

可更新单租户和多租户应用程序中的所有者属性。 授予对应用程序注册所有者页上的所有字段的访问权限:

This permissions grants access to the app registration owners page

microsoft.directory/applications.myOrganization/owners/update

授予的权限与 microsoft.directory/applications/owners/update 相同,但仅适用于单租户应用程序。

microsoft.directory/applications/permissions/update

可更新单租户和多租户应用程序中的委托权限、应用程序权限、已授权的客户端应用程序、所需权限和授予许可属性。 不授予执行许可的能力。 授予对应用程序注册 API 权限和公开 API 页上的所有字段的访问权限:

This permissions grants access to the app registration API permissions page

This permissions grants access to the app registration Expose an API page

microsoft.directory/applications.myOrganization/permissions/update

授予的权限与 microsoft.directory/applications/permissions/update 相同,但仅适用于单租户应用程序。

后续步骤