Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die App-Registrierungsberechtigungen beschrieben, die für benutzerdefinierte Rollendefinitionen in Microsoft Entra ID verfügbar sind. Mit diesen Berechtigungen können Administratoren Anwendungsregistrierungen mit bestimmten Zugriffsebenen verwalten, um eine sichere und effiziente Verwaltung von Anwendungen innerhalb der Organisation sicherzustellen.
Lizenzanforderungen
Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur richtigen Lizenz für Ihre Anforderungen finden Sie unter Vergleichen der allgemein verfügbaren Features von Microsoft Entra ID.
Berechtigungen zum Verwalten von Anwendungen mit einem Mandanten
Beim Auswählen der Berechtigungen für Ihre benutzerdefinierte Rolle haben Sie die Möglichkeit, Zugriff nur zum Verwalten von Anwendungen mit einem Mandanten zu gewähren. Anwendungen mit einem einzigen Mandanten sind nur für Benutzer in der Microsoft Entra-Organisation verfügbar, in der die Anwendung registriert ist.
Anwendungen mit nur einem Mandanten sind so definiert, dass unterstützte Kontotypen auf „Nur Konten in diesem Organisationsverzeichnis“ festgelegt sind. In der Graph-API ist für Anwendungen mit nur einem Mandanten die signInAudience-Eigenschaft auf „AzureADMyOrg.“ festgelegt
Verwenden Sie zum Gewähren des Zugriffs nur zum Verwalten von Anwendungen mit einem Mandanten die unten aufgeführten Berechtigungen mit dem Untertyp applications.myOrganization. Beispiel: microsoft.directory/applications.myOrganization/basic/update.
Eine Erläuterung der allgemeinen Begriffe „Untertyp“, „Berechtigung“ und „Eigenschaftensatz“ finden Sie in der Übersicht über benutzerdefinierte Rollen. Die folgenden Informationen gelten speziell für Anwendungsregistrierungen.
Erstellen und Löschen
Für die Erstellung von Anwendungsregistrierungen stehen zwei Berechtigungen zur Verfügung, die jeweils ein anderes Verhalten aufweisen:
microsoft.directory/applications/createAsOwner
Wenn Sie diese Berechtigung zuweisen, wird der Ersteller als erster Eigentümer der erstellten App-Registrierung hinzugefügt. Die erstellte App-Registrierung zählt zum Kontingent von 250 erstellten Objekten des Erstellers.
microsoft.directory/applications/create
Durch die Erteilung dieser Berechtigung wird verhindert, dass der Ersteller als erster Eigentümer der App-Registrierung hinzugefügt wird, und die App-Registrierung vom 250-Objekte-Kontingent des Erstellers ausgeschlossen. Verwenden Sie diese Berechtigung mit Bedacht, da der zugewiesene Benutzer in diesem Fall so viele App-Registrierungen erstellen kann, bis das Kontingent auf der Verzeichnisebene erreicht ist.
Wenn beide Berechtigungen zugewiesen sind, hat die Berechtigung zum Erstellen („/create“) Vorrang. Obwohl mit der Berechtigung „/createAsOwner“ der Ersteller nicht automatisch als erster Eigentümer hinzufügt wird, können Eigentümer bei der Erstellung der App-Registrierung angegeben werden, wenn Graph-APIs oder PowerShell-Cmdlets verwendet werden.
Berechtigungen zum Erstellen gewähren Zugriff auf den Befehl Neue Registrierung.
Für die Erteilung der Möglichkeit zum Löschen von Anwendungsregistrierungen stehen zwei Berechtigungen zur Verfügung:
microsoft.verzeichnis/anwendungen/löschen
Erteilt die Möglichkeit zum Löschen von Anwendungsregistrierungen unabhängig vom Untertyp, d. h. für Einzel- und Mehrmandantenanwendungen und mehrinstanzenfähige Anwendungen.
microsoft.directory/applications.myOrganization/delete
Erteilt die Möglichkeit zum Löschen von Anwendungsregistrierungen mit Beschränkung auf die Registrierungen, die nur für Konten in Ihrer Organisation oder Einzelmandantenanwendungen zugänglich sind (Untertyp myOrganization).
Hinweis
Beim Zuweisen einer Rolle, die Berechtigungen zum Erstellen enthält, muss die Rollenzuweisung im Verzeichnisbereich vorgenommen werden. Eine Berechtigung zum Erstellen, die in einem Ressourcenbereich zugewiesen wird, erteilt nicht die Möglichkeit zum Erstellen von Anwendungsregistrierungen.
Lesen
Alle Mitgliedsbenutzer in der Organisation können standardmäßig App-Registrierungsinformationen lesen. Gastbenutzer und Anwendungsdienstprinzipale können dies dagegen nicht. Wenn Sie einem Gastbenutzer oder einer Anwendung eine Rolle zuweisen möchten, müssen Sie die entsprechenden Leseberechtigungen einfügen.
microsoft.directory/applications/allProperties/read
Erteilt die Möglichkeit zum Lesen aller Eigenschaften von Einzel- und Mehrmandantenanwendungen und mehrinstanzenfähigen Anwendungen, mit Ausnahme von Eigenschaften (wie Anmeldeinformationen), die nicht in allen Situationen gelesen werden können.
microsoft.directory/applications.myOrganization/allProperties/read
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/allProperties/read, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/applications/owners/read
Erteilt die Berechtigung zum Lesen der Eigenschaft „Besitzer“ für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Besitzer“ der Anwendungsregistrierung:
microsoft.directory/applications/standard/read
Gewährt Zugriff zum Lesen von Standardeigenschaften für die Anwendungsregistrierung. Dies schließt Eigenschaften über Anwendungsregistrierungsseiten ein.
microsoft.directory/applications.myOrganization/standard/read
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/standard/read, jedoch nur für Einzelmandantenanwendungen.
Aktualisieren
Mit der Berechtigung „Aktualisieren“ in Microsoft Entra ID können Administratoren verschiedene Eigenschaften von Anwendungsregistrierungen ändern. Diese Berechtigungen sind für die Pflege und Verwaltung von Einzelmandanten- und Mehrinstanzenanwendungen unerlässlich. Je nach erteilter Berechtigung können Administratoren Eigenschaften wie unterstützte Kontotypen, Authentifizierungseinstellungen, Brandingdetails und vieles mehr aktualisieren. Im Folgenden finden Sie eine detaillierte Liste der verfügbaren Updateberechtigungen und der damit verbundenen Möglichkeiten.
microsoft.directory/applications/allProperties/update
Gewährt die Möglichkeit zum Aktualisieren aller Eigenschaften von Einzel- und Mehrmandantenanwendungen.
microsoft.directory/applications.myOrganization/allProperties/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/allProperties/update, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/anwendungen/zielgruppe/aktualisieren
Gewährt die Möglichkeit zum Aktualisieren der (signInAudience)-Eigenschaft des unterstützten Kontotyps von Einzel- und Mehrmandantenanwendungen.
microsoft.directory/applications.myOrganization/audience/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/audience/update, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/anwendungen/authentifizierung/aktualisieren
Berechtigung zum Aktualisieren der Eigenschaften der Antwort-URL, der Abmelde-URL, des impliziten Ablaufs und der Herausgeberdomäne für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Authentifizierung“ der Anwendungsregistrierung, außer auf „Unterstützte Kontotypen“:
microsoft.directory/anwendungen.meineOrganisation/authentifizierung/aktualisieren
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/authentication/update, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/applications/basic/update
Berechtigung zum Aktualisieren der Eigenschaften des Namens, des Logos, der URL der Startseite, der URL zu den Vertragsbedingungen und der URL zur Datenschutzerklärung für Einzelmandantenanwendungen oder mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Branding“ der Anwendungsregistrierung:
microsoft.directory/applications.myOrganization/basic/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/basic/update, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/applications/credentials/update
Berechtigung zum Aktualisieren der Eigenschaften der Zertifikate und der geheimen Clientschlüssel für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Zertifikate & Geheimnisse“ der Anwendungsregistrierung &:
microsoft.directory/applications.myOrganization/credentials/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/credentials/update, jedoch nur für Anwendungen mit einem Mandanten.
microsoft.directory/applications/owners/update
Berechtigung zum Aktualisieren der Eigenschaft „Besitzer“ für Einzelmandantenanwendungen und mehrinstanzenfähige Anwendungen. Gewährt Zugriff auf alle Felder auf der Seite „Besitzer“ der Anwendungsregistrierung:
microsoft.directory/applications.myOrganization/owners/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/owners/update, jedoch nur für Einzelmandantenanwendungen.
microsoft.directory/anwendungen/berechtigungen/aktualisieren
Diese Berechtigung ermöglicht die Änderung verschiedener Eigenschaften für Einzel- und Mehrmandantenanwendungen, einschließlich delegierter Berechtigungen, Anwendungsberechtigungen, autorisierter Clientanwendungen, erforderlicher Berechtigungen und Einwilligungseigenschaften. Sie erteilt nicht die Berechtigung zum Durchführen der Einwilligung. Gewährt Zugriff auf alle Felder auf den Seiten „API-Berechtigungen“ und „Eine API verfügbar machen“ der Anwendungsregistrierung:
microsoft.directory/applications.myOrganization/permissions/update
Erteilt die gleichen Berechtigungen wie microsoft.directory/applications/permissions/update, jedoch nur für Einzelmandantenanwendungen.