다음을 통해 공유

Microsoft Entra ID의 사용자 지정 역할에 대한 애플리케이션 등록 권한

  • 아티클

이 문서에서는 Microsoft Entra ID의 사용자 지정 역할 정의에 사용할 수 있는 앱 등록 권한을 간략하게 설명합니다. 이러한 권한을 통해 관리자는 특정 액세스 수준으로 애플리케이션 등록을 관리할 수 있으므로 조직 내에서 애플리케이션을 안전하고 효율적으로 관리할 수 있습니다.

라이선스 요구 사항

이 기능을 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID의 일반 공급 기능 비교를 참조하세요.

단일 테넌트 애플리케이션 관리를 위한 권한

사용자 지정 역할에 대한 권한을 선택할 때 단일 테넌트 애플리케이션만 관리할 수 있는 액세스 권한을 부여할 수 있습니다. 단일 테넌트 애플리케이션은 애플리케이션이 등록된 Microsoft Entra 조직의 사용자만 사용할 수 있습니다.

단일 테넌트 애플리케이션은 지원되는 계정 유형"이 조직 디렉터리의 계정만"으로 설정된 것으로 정의됩니다. Graph API에서 단일 테넌트 애플리케이션에는 signInAudience 속성이 "AzureADMyOrg"로 설정됩니다.

단일 테넌트 애플리케이션만 관리하기 위한 액세스 권한을 부여하려면 다음과 같이 표시된 권한을 하위 형식 applications.myOrganization과 함께 사용합니다. 예를 들면 microsoft.directory/applications.myOrganization/basic/update와 같습니다.

용어 하위 유형, 사용 권한 및 속성 집합에 대한 설명은 사용자 지정 역할 개요를 참조하세요. 다음 정보는 애플리케이션 등록에만 적용됩니다.

만들기 및 삭제

애플리케이션 등록을 만들 수 있는 기능을 부여하는 데 사용할 수 있는 두 가지 권한은 각기 다른 동작입니다.

microsoft.directory/applications/createAsOwner

이 권한을 할당하면 만든 앱 등록의 첫 번째 소유자로 작성자가 추가됩니다. 만든 앱 등록은 만든 개체 할당량 250개에 해당합니다.

microsoft.directory/applications/create

이 권한을 부여하면 작성자가 앱 등록의 첫 번째 소유자로 추가되지 않고 작성자의 250 개체 할당량에서 앱 등록이 제외됩니다. 디렉터리 수준 할당량에 도달할 때까지 담당자가 앱 등록을 만드는 것을 막을 수 없기 때문에 이 권한을 신중하게 사용합니다.

두 권한이 모두 할당되면 /create 권한이 우선합니다. /createAsOwner 권한은 작성자를 첫 번째 소유자로 자동으로 추가하지 않지만 Graph API 또는 PowerShell cmdlet을 사용할 때 앱 등록을 만드는 동안 소유자를 지정할 수 있습니다.

새 등록 명령에 대한 권한 부여 액세스를 만듭니다.

해당 권한은 새 등록 포털 명령에 대한 액세스 권한을 부여함

앱 등록을 삭제할 수 있는 기능을 부여하는 데 사용할 수 있는 두 가지 권한이 있습니다.

microsoft.directory/applications/delete

단일 테넌트 및 다중 테넌트 애플리케이션을 포함하여 하위 형식에 관계없이 앱 등록을 삭제하는 기능을 부여합니다.

microsoft.directory/applications.myOrganization/delete

조직 또는 단일 테넌트 애플리케이션(myOrganization 하위 유형)의 계정에만 액세스할 수 있는 앱 등록만을 삭제할 수 있는 기능을 부여합니다.

해당 권한은 앱 등록 삭제 명령에 대한 액세스 권한을 부여합니다.

참고 항목

만들기 권한이 포함된 역할을 할당하는 경우 역할 할당은 디렉터리 범위에서 수행되어야 합니다. 리소스 범위에서 할당된 만들기 권한은 앱 등록을 만드는 기능을 부여하지 않습니다.

읽기

조직의 모든 구성원 사용자가 기본적으로 앱 등록 정보를 읽을 수 있습니다. 그러나 게스트 사용자 및 애플리케이션 서비스 사용자는 앱 등록 정보를 읽을 수 없습니다. 게스트 사용자 또는 애플리케이션에 역할을 할당하려면 적절한 읽기 권한을 포함해야 합니다.

microsoft.directory/applications/allProperties/read

자격 증명과 같은 상황에서는 읽을 수 없는 속성 외부에서 단일 테넌트 및 다중 테넌트 애플리케이션의 모든 속성을 읽을 수 있는 기능을 부여합니다.

microsoft.directory/applications.myOrganization/allProperties/read

단일 테넌트 애플리케이션에 한해 microsoft.directory/applications/allProperties/read와 동일한 권한을 부여합니다.

microsoft.directory/applications/owners/read

단일 테넌트 및 다중 테넌트 애플리케이션에서 소유자 속성을 읽을 수 있는 기능을 부여합니다. 애플리케이션 등록 소유자 페이지의 모든 필드에 대한 액세스 권한을 부여합니다.

이 권한은 앱 등록 소유자 페이지에 대한 액세스 권한을 부여합니다.

microsoft.directory/applications/standard/read

표준 애플리케이션 등록 속성을 읽을 수 있는 액세스 권한을 부여합니다. 여기에는 애플리케이션 등록 페이지 전반의 속성이 포함됩니다.

microsoft.directory/applications.myOrganization/standard/read

단일 테넌트 애플리케이션에 한해 microsoft.directory/applications/standard/read와 동일한 권한을 부여합니다.

엽데이트

Microsoft Entra ID의 "업데이트" 권한을 사용하면 관리자가 애플리케이션 등록의 다양한 속성을 수정할 수 있습니다. 이러한 권한은 단일 테넌트 및 다중 테넌트 애플리케이션을 모두 유지 관리하고 관리하는 데 필수적입니다. 관리자가 부여한 특정 권한에 따라 지원되는 계정 유형, 인증 설정, 브랜딩 세부 정보 등의 속성을 업데이트할 수 있습니다. 다음은 사용 가능한 업데이트 권한 및 해당 특정 기능의 자세한 목록입니다.

microsoft.directory/applications/allProperties/update

단일 테넌트 및 다중 테넌트 애플리케이션의 모든 속성을 업데이트하는 기능을 허용합니다.

microsoft.directory/applications.myOrganization/allProperties/update

단일 테넌트 애플리케이션에 한해 microsoft.directory/applications/allProperties/update와 동일한 권한을 부여합니다.

microsoft.directory/applications/audience/update

단일 테넌트 및 다중 테넌트 애플리케이션에서 지원되는 계정 유형(signInAudience) 속성을 업데이트할 수 있습니다.

이 권한은 인증 페이지에서 앱 등록이 지원되는 계정 유형 속성에 대한 액세스 권한을 부여합니다.

microsoft.directory/applications.myOrganization/audience/update

단일 테넌트 애플리케이션에 한해 microsoft.directory/applications/audience/update와 동일한 권한을 부여합니다.

microsoft.directory/applications/authentication/update

단일 테넌트 및 다중 테넌트 애플리케이션에서 회신 URL, 로그아웃 URL, 암시적 흐름 및 게시자 도메인 속성을 업데이트할 수 있습니다. 지원되는 계정 유형을 제외한 애플리케이션 등록 인증 페이지의 모든 필드에 대한 액세스 권한을 부여합니다.

앱 등록 인증에 대한 액세스 권한을 부여하지만 지원되는 계정 유형에 대한 액세스 권한은 부여하지 않습니다.

microsoft.directory/applications.myOrganization/authentication/update

단일 테넌트 애플리케이션에 한해 microsoft.directory/applications/authentication/update와 동일한 권한을 부여합니다.

microsoft.directory/applications/basic/update

단일 테넌트 및 다중 테넌트 애플리케이션에서 이름, 로고, 홈페이지 URL, 서비스 약관 URL 및 개인 정보 취급 방침 URL 속성을 업데이트할 수 있습니다. 애플리케이션 등록 브랜딩 페이지의 모든 필드에 대한 액세스 권한을 부여합니다.

이 권한은 앱 등록 브랜딩 페이지에 대한 액세스 권한을 부여합니다.

microsoft.directory/applications.myOrganization/basic/update

단일 테넌트 애플리케이션에 한해 microsoft.directory/applications/basic/update와 동일한 권한을 부여합니다.

microsoft.directory/applications/credentials/update

단일 테넌트 및 다중 테넌트 애플리케이션에서 인증서 및 클라이언트 비밀 속성을 업데이트하는 기능을 허용합니다. 애플리케이션 등록 인증서 및 암호 페이지의 모든 필드에 대한 액세스 권한을 부여합니다.

이 권한은 앱 등록 인증서 및 암호 페이지에 대한 액세스 권한을 부여합니다.

microsoft.directory/applications.myOrganization/credentials/update

단일 테넌트 애플리케이션에 한해 microsoft.directory/applications/credentials/update와 동일한 권한을 부여합니다.

microsoft.directory/applications/owners/update

단일 테넌트 및 다중 테넌트에서 소유자 속성을 업데이트하는 기능을 허용합니다. 애플리케이션 등록 소유자 페이지의 모든 필드에 대한 액세스 권한을 부여합니다.

이 권한은 앱 등록 소유자 페이지에 대한 액세스 권한을 부여합니다.

microsoft.directory/applications.myOrganization/owners/update

단일 테넌트 애플리케이션에 한해 microsoft.directory/applications/owners/update와 동일한 권한을 부여합니다.

microsoft.directory/applications/permissions/update

이 권한을 사용하면 위임된 권한, 애플리케이션 권한, 권한 있는 클라이언트 애플리케이션, 필요한 권한 및 동의 속성을 포함하여 단일 테넌트 및 다중 테넌트 애플리케이션의 다양한 속성을 업데이트할 수 있습니다. 동의를 수행할 수 있는 기능을 부여하지 않습니다. 애플리케이션 등록 API 권한 및 API 표시의 모든 필드에 대한 액세스 권한을 부여합니다.

이 권한은 앱 등록 API 권한 페이지에 대한 액세스 권한을 부여합니다.

이 권한은 앱 등록 API 표시 페이지에 대한 액세스 권한을 부여합니다.

microsoft.directory/applications.myOrganization/permissions/update

단일 테넌트 애플리케이션에 한해 microsoft.directory/applications/permissions/update와 동일한 권한을 부여합니다.

다음 단계