Freigeben über

App-Berechtigungen für benutzerdefinierte Rollen in Microsoft Entra ID

Dieser Artikel enthält die derzeit verfügbaren App-Zustimmungsberechtigungen für benutzerdefinierte Rollendefinitionen in der Microsoft Entra-ID. In diesem Artikel finden Sie die erforderlichen Berechtigungen für einige gängige Szenarien zu App-Zustimmungen und -Berechtigungen.

Lizenzanforderungen

Die Verwendung dieses Features erfordert Microsoft Entra ID P1-Lizenzen. Informationen zur richtigen Lizenz für Ihre Anforderungen finden Sie unter Vergleichen der allgemein verfügbaren Features von Microsoft Entra ID.

Verwenden Sie die in diesem Artikel aufgeführten Berechtigungen zum Verwalten von App-Zustimmungsrichtlinien sowie die Berechtigung zum Erteilen der Zustimmung zu Apps.

Anmerkung

Das Microsoft Entra Admin Center unterstützt das Hinzufügen der in diesem Artikel aufgeführten Berechtigungen zu einer benutzerdefinierten Rollendefinition noch nicht. Sie müssen Microsoft Graph PowerShell verwenden, um eine benutzerdefinierte Rolle mit den in diesem Artikel aufgeführten Berechtigungen zu erstellen.

Um Benutzern das Erteilen der Zustimmung zu Anwendungen im eigenen Namen (Benutzerzustimmung) zu ermöglichen, wobei dies einer App-Zustimmungsrichtlinie unterliegt.

  • microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}

Dabei wird {id} durch die ID einer App-Zustimmungsrichtlinie ersetzt, in der die Bedingungen festgelegt sind, die erfüllt sein müssen, damit diese Berechtigung aktiv ist.

Wenn Sie den Benutzern beispielsweise erlauben möchten, Zustimmung im eigenen Namen gemäß der integrierten App-Zustimmungsrichtlinie mit der ID microsoft-user-default-low zu erteilen, würden Sie die Berechtigung ...managePermissionGrantsForSelf.microsoft-user-default-low verwenden.

Delegiert sowohl für delegierte Berechtigungen als auch für Anwendungsberechtigungen (App-Rollen) die mandantenweite Administratorzustimmung für Apps:

  • microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}

Dabei wird {id} durch die ID einer App-Zustimmungsrichtlinie ersetzt, in der die Bedingungen festgelegt sind, die erfüllt sein müssen, damit diese Berechtigung verwendbar ist.

Wenn Sie beispielsweise Rolleninhabern erlauben möchten, eine mandantenweite Administratorzustimmung für Apps gemäß der benutzerdefinierten App-Zustimmungsrichtlinie mit der ID low-risk-any-app zu erteilen, würden Sie die Berechtigung microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app verwenden.

Delegieren von Erstellung, Aktualisierung und Löschung von App-Zustimmungsrichtlinien.

  • microsoft.directory/permissionGrantPolicies/create
  • microsoft.directory/permissionGrantPolicies/standard/read
  • microsoft.directory/permissionGrantPolicies/basic/update
  • microsoft.directory/permissionGrantPolicies/delete

Vollständige Liste der Berechtigungen

Erlaubnis Beschreibung
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} Gewährt die Möglichkeit der Zustimmung zu Apps im eigenen Namen (Benutzerzustimmung) gemäß der App-Zustimmungsrichtlinie {id}.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} Gewährt die Möglichkeit der Zustimmung zu Apps in aller Namen (mandantenweite Administratorzustimmung) gemäß der App-Zustimmungsrichtlinie {id}.
microsoft.directory/permissionGrantPolicies/standard/read Lesen der Standardeigenschaften von Richtlinien für die Berechtigungszuweisung
microsoft.directory/permissionGrantPolicies/basic/update Aktualisieren grundlegender Eigenschaften von Berechtigungserteilungsrichtlinien
microsoft.directory/permissionGrantPolicies/create Erstellen Sie Berechtigungsvergabe-Richtlinien
microsoft.directory/permissionGrantPolicies/delete Löschen von Richtlinien für die Berechtigungszuweisung

Nächste Schritte