Unternehmensanwendungsberechtigungen für benutzerdefinierte Rollen in Microsoft Entra ID
Dieser Artikel enthält die derzeit verfügbaren Berechtigungen für Unternehmensanwendungen für benutzerdefinierte Rollendefinitionen in Microsoft Entra ID. In diesem Artikel finden Sie Berechtigungslisten für einige gängige Szenarien sowie die vollständige Liste der Berechtigungen für Unternehmens-Apps.
Lizenzanforderungen
Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.
Berechtigungen für Unternehmensanwendungen
Weitere Informationen zur Verwendung dieser Berechtigungen finden Sie unter Zuweisen benutzerdefinierter Rollen zum Verwalten von Unternehmens-Apps in Azure Active Directory.
Zuweisen von Benutzern oder Gruppen zu einer Anwendung
Dient zum Delegieren der Zuweisung von Benutzern und Gruppen, die auf SAML-basierte SSO-Anwendungen zugreifen können. Erforderliche Berechtigungen
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Erstellen von Kataloganwendungen
Dient zum Delegieren der Erstellung von Microsoft Entra-Kataloganwendungen wie ServiceNow, F5, Salesforce und Ähnlichem. Erforderliche Berechtigungen:
- microsoft.directory/applicationTemplates/instantiate
Konfigurieren grundlegender SAML-URLs
Dient zum Delegieren der Aktualisierung und des Lesens grundlegender SAML-Konfigurationen für SAML-basierte SSO-Anwendungen. Erforderliche Berechtigungen:
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
Durchführen des Rollovers von Signaturzertifikaten oder Erstellen von Signaturzertifikaten
Dient zum Delegieren der Verwaltung von Signaturzertifikaten für SAML-basierte SSO-Anwendungen. Erforderliche Berechtigungen:
microsoft.directory/servicePrincipals/credentials/update
Aktualisieren der E-Mail-Adresse für Benachrichtigungen bei ablaufenden Anmeldezertifikaten
Dient zum Delegieren der Aktualisierung der E-Mail-Adressen für Benachrichtigungen bei ablaufenden Anmeldezertifikaten für SAML-basierte SSO-Anwendungen. Erforderliche Berechtigungen:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
Verwalten der SAML-Tokensignatur und des Anmeldealgorithmus
Dient zum Delegieren der Aktualisierung der SAML-Tokensignatur und des Anmeldealgorithmus für SAML-basierte SSO-Anwendungen. Erforderliche Berechtigungen:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Verwalten von Benutzerattributen und Ansprüchen
Dient zum Delegieren der Erstellung, Löschung und Aktualisierung von Benutzerattributen und -ansprüchen für SAML-basierte SSO-Anwendungen. Erforderliche Berechtigungen:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
App-Bereitstellungsberechtigungen
Zum Ausführen von Schreibvorgängen (etwa beim Verwalten des Auftrags, des Schemas oder der Anmeldeinformationen über die Benutzeroberfläche) sind auch die Leseberechtigungen erforderlich, um die Bereitstellungsseite anzuzeigen.
Wenn Sie den Bereich auf alle Benutzer und Gruppen oder auf zugewiesene Benutzer und Gruppen festlegen, sind aktuell die Berechtigungen „synchronizationJob“ und „synchronizationCredentials“ erforderlich.
Aktivieren oder Neustarten von Bereitstellungsaufträgen
Dient zum Delegieren der Möglichkeit zum Aktivieren, Deaktivieren und Neustarten von Bereitstellungsaufträgen. Erforderliche Berechtigungen:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
Konfigurieren des Bereitstellungsschemas
Dient zum Delegieren von Aktualisierungen für die Attributzuordnung. Erforderliche Berechtigungen:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind
Dient zum Delegieren der Möglichkeit zum Lesen von Bereitstellungseinstellungen, die dem Objekt zugeordnet sind. Erforderliche Berechtigungen:
- microsoft.directory/applications/synchronization/standard/read
Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind
Dient zum Delegieren der Möglichkeit zum Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind. Erforderliche Berechtigungen:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Autorisieren des Anwendungszugriffs für die Bereitstellung
Dient zum Delegieren der Möglichkeit zum Autorisieren des Anwendungszugriffs für die Bereitstellung. Beispieleingabe: OAuth-Bearertoken. Erforderliche Berechtigungen:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Berechtigungen des Anwendungsproxys
Zum Ausführen von Schreibvorgängen für die Anwendungsproxyeigenschaften der Anwendung sind auch die Berechtigungen zum Aktualisieren der grundlegenden Eigenschaften und der Authentifizierung der Anwendung erforderlich.
Zum Lesen und Ausführen von Schreibvorgängen für die Anwendungsproxyeigenschaften der Anwendung sind auch die Leseberechtigungen zum Anzeigen von Connectorgruppen erforderlich, da dies Teil der auf der Seite angezeigten Eigenschaftenliste ist.
Delegieren der Verwaltung von Anwendungsproxyconnectors
Zum Delegieren von Erstellungs-, Lese-, Aktualisierungs- und Löschaktionen für die Connectorverwaltung. Erforderliche Berechtigungen:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
Delegieren der Verwaltung von Anwendungsproxyeinstellungen
Zum Delegieren von Erstellungs-, Lese-, Aktualisierungs- und Löschaktionen für Anwendungsproxyeigenschaften für eine App. Erforderliche Berechtigungen:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/connectorGroups/allProperties/read
Lesen der Anwendungsproxyeinstellungen für eine App
Zum Delegieren von Leseberechtigungen für Anwendungsproxyeigenschaften für eine App. Erforderliche Berechtigungen:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
Aktualisieren der Anwendungsproxyeinstellungen für die URL-Konfiguration für eine App
Zum Delegieren von Erstellungs-, Lese-, Aktualisierungs- und Löschberechtigungen (Create, Read, Update, Delete, CRUD) zum Aktualisieren der externen URL, der internen URL und der SSL-Zertifikateigenschaften des Anwendungsproxys. Erforderliche Berechtigungen:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
Vollständige Liste der Berechtigungen
| Berechtigung | BESCHREIBUNG |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Lesen sämtlicher Eigenschaften (einschließlich privilegierter Eigenschaften) von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/allProperties/update | Aktualisieren aller Eigenschaften (einschließlich privilegierter Eigenschaften) von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/basic/update | Aktualisieren der Standardeigenschaften von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/create | Erstellen von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/createAsOwner | Erstellen von Anwendungsrichtlinien, und der Ersteller wird als erster Besitzer hinzugefügt |
| microsoft.directory/applicationPolicies/delete | Löschen von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/owners/read | Lesen der Besitzer von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/owners/update | Aktualisieren der owner-Eigenschaft von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Lesen der Liste der auf Objekte angewendeten Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Erstellen und Löschen von Dienstprinzipalen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/servicePrincipals/allProperties/read | Lesen sämtlicher Eigenschaften (einschließlich privilegierter Eigenschaften) von servicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update | Aktualisieren aller Eigenschaften (einschließlich privilegierter Eigenschaften) von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Lesen der Rollenzuweisungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Lesen der Rollenzuweisungen, die Dienstprinzipalen zugewiesen sind |
| microsoft.directory/servicePrincipals/audience/update | Aktualisieren der Zielgruppeneigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/authentication/update | Aktualisieren der Authentifizierungseigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/basic/update | Aktualisieren grundlegender Eigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/create | Erstellen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/createAsOwner | Erstellen von Dienstprinzipalen (Ersteller wird als erster Besitzer hinzugefügt) |
| microsoft.directory/servicePrincipals/credentials/update | Aktualisieren der Anmeldeinformationen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/delete | Löschen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/disable | Deaktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/enable | Aktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Lesen von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Verwalten von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Lesen delegierter Berechtigungsgewährungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/owners/read | Lesen der Besitzer von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/owners/update | Aktualisieren der Besitzer von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/permissions/update | Aktualisieren der Berechtigungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/policies/read | Lesen der Richtlinien von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/policies/update | Aktualisieren der Richtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipals/standard/read | Lesen sämtlicher Eigenschaften von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind |
| microsoft.directory/servicePrincipals/tag/update | Aktualisieren der tag-Eigenschaft für Dienstprinzipale |
| microsoft.directory/applicationTemplates/instantiate | Instanziieren von Kataloganwendungen über Anwendungsvorlagen |
| microsoft.directory/auditLogs/allProperties/read | Lesen sämtlicher Eigenschaften von Überwachungsprotokollen (einschließlich privilegierter Eigenschaften) |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.directory/applications/applicationProxy/read | Lesen aller Anwendungsproxyeigenschaften |
| microsoft.directory/applications/applicationProxy/update | Aktualisieren aller Anwendungsproxyeigenschaften |
| microsoft.directory/applications/applicationProxyAuthentication/update | Aktualisieren der Authentifizierung für alle Anwendungstypen |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Aktualisieren der URL-Einstellungen für den Anwendungsproxy |
| microsoft.directory/applications/applicationProxySslCertificate/update | Aktualisieren der SSL-Zertifikateinstellungen für den Anwendungsproxy |
| microsoft.directory/applications/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind |
| microsoft.directory/connectorGroups/create | Erstellen privater Netzwerkkonnektorgruppen |
| microsoft.directory/connectorGroups/delete | Löschen privater Netzwerkkonnektorgruppen |
| microsoft.directory/connectorGroups/allProperties/read | Lesen aller Eigenschaften privater Netzwerkkonnektorgruppen |
| microsoft.directory/connectorGroups/allProperties/update | Aktualisieren aller Eigenschaften privater Netzwerkkonnektorgruppen |
| microsoft.directory/connectors/create | Erstellen privater Netzwerkconnectors |
| microsoft.directory/connectors/allProperties/read | Lesen aller Eigenschaften privater Netzwerkconnectors |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |