Teilen über

App-Berechtigungen für benutzerdefinierte Rollen in Microsoft Entra ID

  • Artikel

Dieser Artikel enthält die derzeit verfügbaren Berechtigungen für Unternehmensanwendungen für benutzerdefinierte Rollendefinitionen in Microsoft Entra ID. In diesem Artikel finden Sie die Berechtigungen, die bei einigen häufigen Szenarien im Zusammenhang mit der Zustimmung zu Apps und den entsprechenden Berechtigungen erforderlich sind.

Lizenzanforderungen

Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.

Verwenden Sie die in diesem Artikel aufgeführten Berechtigungen, um App-Zustimmungsrichtlinien sowie die Berechtigung zum Erteilen der Zustimmung für Apps zu verwalten.

Hinweis

Im Microsoft Entra Admin Center wird das Hinzufügen der in diesem Artikel aufgeführten Berechtigungen zu einer benutzerdefinierten Verzeichnisrolle noch nicht unterstützt. Sie müssen Microsoft Graph PowerShell verwenden, um eine benutzerdefinierte Verzeichnisrolle mit den in diesem Artikel aufgeführten Berechtigungen zu erstellen.

Ermöglicht Benutzern das Erteilen einer Zustimmung für Anwendungen im eigenen Namen (Benutzerzustimmung) gemäß einer App-Zustimmungsrichtlinie.

  • microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}

Dabei wird {id} durch die ID einer App-Zustimmungsrichtlinie ersetzt, in der die Bedingungen festgelegt sind, die erfüllt sein müssen, damit diese Berechtigung aktiv ist.

Wenn Sie den Benutzern beispielsweise erlauben möchten, Zustimmung im eigenen Namen gemäß der integrierten App-Zustimmungsrichtlinie mit der ID microsoft-user-default-low zu erteilen, würden Sie die Berechtigung ...managePermissionGrantsForSelf.microsoft-user-default-low verwenden.

Delegiert sowohl für delegierte Berechtigungen als auch für Anwendungsberechtigungen (App-Rollen) die mandantenweite Administratorzustimmung für Apps:

  • microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}

Dabei wird {id} durch die ID einer App-Zustimmungsrichtlinie ersetzt, in der die Bedingungen festgelegt sind, die erfüllt sein müssen, damit diese Berechtigung verwendbar ist.

Wenn Sie beispielsweise Rolleninhabern erlauben möchten, eine mandantenweite Administratorzustimmung für Apps gemäß der benutzerdefinierten App-Zustimmungsrichtlinie mit der ID low-risk-any-app zu erteilen, würden Sie die Berechtigung microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app verwenden.

Delegieren von Erstellung, Aktualisierung und Löschung von App-Zustimmungsrichtlinien.

  • microsoft.directory/permissionGrantPolicies/create
  • microsoft.directory/permissionGrantPolicies/standard/read
  • microsoft.directory/permissionGrantPolicies/basic/update
  • microsoft.directory/permissionGrantPolicies/delete

Vollständige Liste der Berechtigungen

Berechtigung BESCHREIBUNG
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} Gewährt die Möglichkeit der Zustimmung zu Apps im eigenen Namen (Benutzerzustimmung) gemäß der App-Zustimmungsrichtlinie {id}.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} Gewährt die Möglichkeit der Zustimmung zu Apps in aller Namen (mandantenweite Administratorzustimmung) gemäß der App-Zustimmungsrichtlinie {id}.
microsoft.directory/permissionGrantPolicies/standard/read Lesen der Standardeigenschaften von Richtlinien für die Berechtigungszuweisung
microsoft.directory/permissionGrantPolicies/basic/update Aktualisieren grundlegender Eigenschaften von Richtlinien für die Berechtigungszuweisung
microsoft.directory/permissionGrantPolicies/create Erstellen von Richtlinien für die Berechtigungszuweisung
microsoft.directory/permissionGrantPolicies/delete Löschen von Richtlinien für die Berechtigungszuweisung

Nächste Schritte