App-Berechtigungen für benutzerdefinierte Rollen in Microsoft Entra ID
Dieser Artikel enthält die derzeit verfügbaren Berechtigungen für Unternehmensanwendungen für benutzerdefinierte Rollendefinitionen in Microsoft Entra ID. In diesem Artikel finden Sie die Berechtigungen, die bei einigen häufigen Szenarien im Zusammenhang mit der Zustimmung zu Apps und den entsprechenden Berechtigungen erforderlich sind.
Lizenzanforderungen
Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.
App-Zustimmungsberechtigungen
Verwenden Sie die in diesem Artikel aufgeführten Berechtigungen, um App-Zustimmungsrichtlinien sowie die Berechtigung zum Erteilen der Zustimmung für Apps zu verwalten.
Hinweis
Im Microsoft Entra Admin Center wird das Hinzufügen der in diesem Artikel aufgeführten Berechtigungen zu einer benutzerdefinierten Verzeichnisrolle noch nicht unterstützt. Sie müssen Microsoft Graph PowerShell verwenden, um eine benutzerdefinierte Verzeichnisrolle mit den in diesem Artikel aufgeführten Berechtigungen zu erstellen.
Erteilen von delegierten Berechtigungen für Apps im eigenen Namen (Benutzerzustimmung)
Ermöglicht Benutzern das Erteilen einer Zustimmung für Anwendungen im eigenen Namen (Benutzerzustimmung) gemäß einer App-Zustimmungsrichtlinie.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}
Dabei wird {id}
durch die ID einer App-Zustimmungsrichtlinie ersetzt, in der die Bedingungen festgelegt sind, die erfüllt sein müssen, damit diese Berechtigung aktiv ist.
Wenn Sie den Benutzern beispielsweise erlauben möchten, Zustimmung im eigenen Namen gemäß der integrierten App-Zustimmungsrichtlinie mit der ID microsoft-user-default-low
zu erteilen, würden Sie die Berechtigung ...managePermissionGrantsForSelf.microsoft-user-default-low
verwenden.
Erteilen von Berechtigungen für Apps in aller Namen (Administratorzustimmung)
Delegiert sowohl für delegierte Berechtigungen als auch für Anwendungsberechtigungen (App-Rollen) die mandantenweite Administratorzustimmung für Apps:
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
Dabei wird {id}
durch die ID einer App-Zustimmungsrichtlinie ersetzt, in der die Bedingungen festgelegt sind, die erfüllt sein müssen, damit diese Berechtigung verwendbar ist.
Wenn Sie beispielsweise Rolleninhabern erlauben möchten, eine mandantenweite Administratorzustimmung für Apps gemäß der benutzerdefinierten App-Zustimmungsrichtlinie mit der ID low-risk-any-app
zu erteilen, würden Sie die Berechtigung microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app
verwenden.
Verwalten von App-Zustimmungsrichtlinien
Delegieren von Erstellung, Aktualisierung und Löschung von App-Zustimmungsrichtlinien.
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
Vollständige Liste der Berechtigungen
Berechtigung | BESCHREIBUNG |
---|---|
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} | Gewährt die Möglichkeit der Zustimmung zu Apps im eigenen Namen (Benutzerzustimmung) gemäß der App-Zustimmungsrichtlinie {id} . |
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | Gewährt die Möglichkeit der Zustimmung zu Apps in aller Namen (mandantenweite Administratorzustimmung) gemäß der App-Zustimmungsrichtlinie {id} . |
microsoft.directory/permissionGrantPolicies/standard/read | Lesen der Standardeigenschaften von Richtlinien für die Berechtigungszuweisung |
microsoft.directory/permissionGrantPolicies/basic/update | Aktualisieren grundlegender Eigenschaften von Richtlinien für die Berechtigungszuweisung |
microsoft.directory/permissionGrantPolicies/create | Erstellen von Richtlinien für die Berechtigungszuweisung |
microsoft.directory/permissionGrantPolicies/delete | Löschen von Richtlinien für die Berechtigungszuweisung |