Compartir vía


Permisos de consentimiento de aplicaciones para roles personalizados en Microsoft Entra ID

Este artículo contiene los permisos de consentimiento de aplicaciones disponibles actualmente para las definiciones de roles personalizados en Microsoft Entra ID. En este artículo, encontrará los permisos necesarios para algunos escenarios comunes relacionados con los permisos y el consentimiento de aplicaciones.

Requisitos de licencia

El uso de esta característica requiere una licencia Microsoft Entra ID P1. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.

Use los permisos que se muestran en este artículo para administrar las directivas de consentimiento de aplicaciones, así como el permiso para conceder consentimiento a las aplicaciones.

Nota:

El centro de administración de Microsoft Entra todavía no permite agregar los permisos enumerados en este artículo para una definición de rol de directorio personalizado. Debe usar PowerShell de Microsoft Graph para crear un rol de directorio personalizado con los permisos enumerados en este artículo.

Para permitir a los usuarios conceder consentimiento a las aplicaciones en nombre propio (consentimiento del usuario), de acuerdo con una directiva de consentimiento de aplicaciones.

  • microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}

En donde {id} se reemplaza por el identificador de una directiva de consentimiento de aplicaciones que establecerá las condiciones que deben cumplirse para que este permiso esté activo.

Por ejemplo, para permitir a los usuarios conceder consentimiento en nombre propio, de acuerdo con la directiva de consentimiento de aplicaciones integrada con el identificador microsoft-user-default-low, se usaría el permiso ...managePermissionGrantsForSelf.microsoft-user-default-low.

Para delegar el consentimiento de administrador a las aplicaciones para todo el inquilino, tanto permisos delegados como permisos de aplicación (roles de aplicación):

  • microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}

En donde {id}, se reemplaza por el identificador de una directiva de consentimiento de aplicaciones que establecerá las condiciones que deben cumplirse para que este permiso se pueda usar.

Por ejemplo, para permitir que los destinatarios del rol concedan consentimiento de administrador a las aplicaciones para todo el inquilino, de acuerdo con una directiva de consentimiento de aplicaciones personalizada con el identificador low-risk-any-app, se usaría el permiso microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.

Para delegar la creación, actualización y eliminación de directivas de consentimiento de aplicaciones.

  • microsoft.directory/permissionGrantPolicies/create
  • microsoft.directory/permissionGrantPolicies/standard/read
  • microsoft.directory/permissionGrantPolicies/basic/update
  • microsoft.directory/permissionGrantPolicies/delete

Lista completa de permisos

Permiso Descripción
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} Permite conceder consentimiento a las aplicaciones en nombre propio (consentimiento del usuario), de acuerdo con la directiva de consentimiento de aplicaciones {id}.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} Concede el permiso para dar consentimiento a las aplicaciones en nombre de todos (consentimiento del administrador para todo el inquilino), de acuerdo con la directiva de consentimiento de aplicaciones {id}.
microsoft.directory/permissionGrantPolicies/standard/read Lear las propiedades estándar de las directivas de concesión de permisos
microsoft.directory/permissionGrantPolicies/basic/update Actualizar las propiedades básicas de las directivas de concesión de permisos
microsoft.directory/permissionGrantPolicies/create Crear directivas de concesión de permisos
microsoft.directory/permissionGrantPolicies/delete Eliminar directivas de concesión de permisos

Pasos siguientes