本文概述了 Microsoft Entra ID 中自定义角色定义可用的应用注册权限。 这些权限允许管理员以特定访问级别管理应用程序注册,确保组织内应用程序的安全高效管理。
许可要求
使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
用于管理单租户应用程序的权限
为自定义角色选择权限时,可以授予仅管理单租户应用程序的访问权限。 单租户应用程序仅对注册该应用程序的 Microsoft Entra 组织中的用户可用。
单租户应用程序定义为“支持的帐户类型”设置为“仅本组织目录中的帐户”。在 Graph API 中,单租户应用程序的 signInAudience 属性设置为“AzureADMyOrg”。
若要授予仅管理单租户应用程序的访问权限,请对子类型 applications.myOrganization 使用以下所示的权限。 例如 microsoft.directory/applications.myOrganization/basic/update。
有关子类型、权限和属性集术语的解释,请参阅自定义角色概述。 以下信息特定于应用程序注册。
创建和删除
可以使用两个权限来授予创建应用程序注册的能力,这两个权限各自有不同的行为:
microsoft.directory/applications/createAsOwner
分配此权限会导致创建者被添加为所创建应用注册的第一个所有者。 创建的应用注册计入创建者的 250 个创建对象配额。
microsoft.directory/applications/create
授予此权限会阻止创建者被添加为应用注册的第一个所有者,并将该应用注册从创建者的 250 个对象配额中排除。 请谨慎使用此权限,因为在达到目录级配额之前,没有任何措施可以阻止被分配者创建应用注册。
如果同时分配了这两个权限,则 /create 权限优先。 尽管 /createAsOwner 权限不会自动将创建者添加为第一个所有者,但在使用 Graph API 或 PowerShell cmdlet 创建应用注册时,可以指定所有者。
create 权限授予对“新建注册”命令的访问权限。
可使用两个权限授予删除应用注册的能力:
microsoft.directory/applications/delete
授予删除应用注册的能力,无论子类型如何,包括单租户和多租户应用程序。
microsoft.directory/applications.myOrganization/delete
授予删除仅供组织中帐户或单租户应用程序(myOrganization 子类型)访问的应用注册的能力。
注意
分配包含 create 权限的角色时,必须在目录范围进行角色分配。 在资源范围分配的创建权限不会授予创建应用注册的能力。
读取
默认情况下,组织中的所有成员用户都可以读取应用注册信息。 但是,来宾用户和应用程序服务主体无法读取这些信息。 如果你打算将某个角色分配给来宾用户或应用程序,必须包含相应的 read 权限。
microsoft.directory/applications/allProperties/read
授予读取单租户和多租户应用程序的所有属性的能力,但不包括在任何情况下都无法读取的属性(如凭据)。
microsoft.directory/applications.myOrganization/allProperties/read
授予的权限与 microsoft.directory/applications/allProperties/read 相同,但仅适用于单租户应用程序。
microsoft.directory/applications/owners/read
授予读取单租户和多租户应用程序中所有者属性的能力。 授予对应用程序注册所有者页上的所有字段的访问权限:
microsoft.directory/applications/standard/read
授予读取标准应用程序注册属性的访问权限。 这包括跨应用程序注册页的属性。
microsoft.directory/applications.myOrganization/standard/read
授予的权限与 microsoft.directory/applications/standard/read 相同,但仅适用于单租户应用程序。
更新
Microsoft Entra ID 中的“更新”权限允许管理员修改应用程序注册的各种属性。 这些权限对于维护和管理单租户和多租户应用程序至关重要。 根据授予的特定权限,管理员可以更新各种属性,如支持的帐户类型、身份验证设置、品牌详情等。 以下是可用更新权限及其特定功能的详细列表。
microsoft.directory/applications/allProperties/update
允许更新单租户和多租户应用程序的所有属性。
microsoft.directory/applications.myOrganization/allProperties/update
授予的权限与 microsoft.directory/applications/allProperties/update 相同,但仅适用于单租户应用程序。
microsoft.directory/applications/audience/update
允许更新单租户和多租户应用程序中支持的帐户类型 (signInAudience) 属性的能力。
microsoft.directory/applications.myOrganization/audience/update
授予的权限与 microsoft.directory/applications/audience/update 相同,但仅适用于单租户应用程序。
microsoft.directory/applications/authentication/update
允许更新单租户和多租户应用程序的回复 URL、退出 URL、隐式流和发布者域属性。 授予对应用程序注册身份验证页上的所有字段(支持的帐户类型除外)的访问权限:
microsoft.directory/applications.myOrganization/authentication/update
授予的权限与 microsoft.directory/applications/authentication/update 相同,但仅适用于单租户应用程序。
微软.目录/应用程序/基本/更新
允许更新单租户和多租户应用程序的名称、徽标、主页 URL、服务条款 URL 和隐私声明 URL 属性。 授予对应用程序注册品牌页上的所有字段的访问权限:
microsoft.directory/applications.myOrganization/basic/update
授予的权限与 microsoft.directory/applications/basic/update 相同,但仅适用于单租户应用程序。
microsoft.directory/applications/credentials/update
允许更新单租户和多租户应用程序的证书和客户端密钥属性。 授予对应用程序注册“证书和密钥”页面上所有字段的访问权限:
microsoft.directory/applications.myOrganization/credentials/update
授予的权限与 microsoft.directory/applications/credentials/update 相同,但仅适用于单租户应用程序。
microsoft.directory/applications/owners/update
允许更新单租户和多租户应用程序中所有者属性的能力。 授予对应用程序注册所有者页上的所有字段的访问权限:
microsoft.directory/applications.myOrganization/owners/update
授予的权限与 microsoft.directory/applications/owners/update 相同,但仅适用于单租户应用程序。
microsoft.directory/applications/permissions/update
此权限允许更新单租户和多租户应用程序的各种属性,包括委托的权限、应用程序权限、授权的客户端应用程序、所需权限和同意属性。 不授予执行许可的能力。 授予对应用程序注册 API 权限和公开 API 页上的所有字段的访问权限:
microsoft.directory/applications.myOrganization/permissions/update
授予的权限与 microsoft.directory/applications/permissions/update 相同,但仅适用于单租户应用程序。