Permisos de aplicaciones empresariales para roles personalizados en Microsoft Entra ID
Este artículo contiene los permisos de aplicaciones empresariales disponibles actualmente para las definiciones de rol personalizado en Microsoft Entra ID. En este artículo, encontrará listas de permisos para algunos escenarios habituales y la lista completa de permisos de aplicaciones empresariales.
Requisitos de licencia
El uso de esta característica requiere una licencia Microsoft Entra ID P1. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.
Permisos de aplicaciones empresariales
Para más información sobre cómo usar estos permisos, consulte Asignación de roles personalizados para administrar aplicaciones empresariales.
Asignación de usuarios o grupos a una aplicación
Para delegar la asignación de usuarios y grupos que pueden acceder a aplicaciones de inicio de sesión único basadas en SAML. Permisos necesarios
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Creación de aplicaciones de la galería
Para delegar la creación de aplicaciones de la galería de Microsoft Entra como ServiceNow, F5 y Salesforce, entre otros. Permisos necesarios:
- microsoft.directory/applicationTemplates/instantiate
Configuración de direcciones URL de SAML básicas
Para delegar la actualización y lectura de configuraciones básicas de SAML para aplicaciones de inicio de sesión único basadas en SAML. Permisos necesarios:
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
Sustitución o creación de certificados de firma
Para delegar la administración de certificados de firma para aplicaciones de inicio de sesión único basadas en SAML. Permisos necesarios.
microsoft.directory/servicePrincipals/credentials/update
Actualización de la dirección de correo electrónico de la notificación de expiración del certificado de inicio de sesión
Para delegar la actualización de las direcciones de correo electrónico de las notificaciones de expiración de los certificados de inicio de sesión para aplicaciones de inicio de sesión único basadas en SAML. Permisos necesarios:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
Administración de la firma del token SAML y del algoritmo de inicio de sesión
Para delegar la actualización de la firma del token SAML y del algoritmo de inicio de sesión para aplicaciones de inicio de sesión único basadas en SAML. Permisos necesarios:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Administración de atributos y notificaciones de usuario
Para delegar la creación, eliminación y actualización de atributos y notificaciones de usuario de las aplicaciones de inicio de sesión único basadas en SAML. Permisos necesarios:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Permisos de aprovisionamiento de aplicaciones
La realización de cualquier operación de escritura como, por ejemplo, la administración de trabajos, esquemas o credenciales mediante la interfaz de usuario, también requerirá permisos de lectura para ver la página de aprovisionamiento.
Para establecer el ámbito en todos los usuarios y grupos, o en los usuarios y grupos asignados actualmente, se necesitan los permisos synchronizationJob y synchronizationCredentials.
Activación o reinicio de los trabajos de aprovisionamiento
Para delegar la capacidad de activar, desactivar y reiniciar los trabajos de aprovisionamiento. Permisos necesarios:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
Configuración del esquema de aprovisionamiento
Para delegar las actualizaciones en la asignación de atributos. Permisos necesarios:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Lectura de la configuración de aprovisionamiento asociada al objeto de aplicación
Para delegar la capacidad de leer la configuración de aprovisionamiento asociada al objeto. Permisos necesarios:
- microsoft.directory/applications/synchronization/standard/read
Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio
Para delegar la capacidad de leer la configuración de aprovisionamiento asociada a la entidad de servicio. Permisos necesarios:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Autorización del acceso a la aplicación para el aprovisionamiento
Para delegar la capacidad de autorización del acceso a la aplicación para el aprovisionamiento. Token de portador de OAuth de entrada de ejemplo. Permisos necesarios:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Permisos de Application Proxy
Realizar cualquier operación de escritura en las propiedades de Application Proxy de la aplicación también requiere los permisos para actualizar las propiedades básicas y la autenticación de la aplicación.
Para leer y realizar cualquier operación de escritura en las propiedades de Application Proxy de la aplicación, también se requieren los permisos de lectura para ver los grupos de conectores, ya que esto forma parte de la lista de propiedades que se muestra en la página.
Delegar la administración de conectores de Application Proxy
Para delegar acciones de creación, lectura, actualización y eliminación para la administración de conectores. Permisos necesarios:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
Delegar la administración de la configuración de Application Proxy
Para delegar acciones de creación, lectura, actualización y eliminación para las propiedades de Application Proxy en una aplicación. Permisos necesarios:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/connectorGroups/allProperties/read
Lectura de la configuración de Application Proxy para una aplicación
Para delegar los permisos de lectura para las propiedades de Application Proxy en una aplicación. Permisos necesarios:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
Actualización de la configuración de URL de Application Proxy para una aplicación
Para delegar los permisos de creación, lectura, actualización y eliminación (CRUD) para actualizar la dirección URL externa, la dirección URL interna y las propiedades de certificado SSL de Application Proxy. Permisos necesarios:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
Lista completa de permisos
| Permiso | Descripción |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Lectura de todas las propiedades (incluidas las propiedades con privilegios) en directivas de aplicación |
| microsoft.directory/applicationPolicies/allProperties/update | Actualización de todas las propiedades (incluidas las propiedades con privilegios) en directivas de aplicación |
| microsoft.directory/applicationPolicies/basic/update | Actualizar las propiedades estándar de las directivas de aplicación |
| microsoft.directory/applicationPolicies/create | Crear directivas de aplicación |
| microsoft.directory/applicationPolicies/createAsOwner | Creación de directivas de aplicación y opción para que el usuario que cree el grupo se agregue como primer propietario |
| microsoft.directory/applicationPolicies/delete | Eliminar directivas de aplicación |
| microsoft.directory/applicationPolicies/owners/read | Leer los propietarios en directivas de aplicación |
| microsoft.directory/applicationPolicies/owners/update | Actualizar la propiedad de propietario de las directivas de aplicación |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Leer las directivas de aplicación aplicadas a la lista de objetos |
| microsoft.directory/applicationPolicies/standard/read | Leer las propiedades estándar de las directivas de aplicación |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Crear y eliminar entidades de servicio, y leer y actualizar todas las propiedades |
| microsoft.directory/servicePrincipals/allProperties/read | Leer todas las propiedades, incluidas las propiedades con privilegios, en servicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update | Actualización de todas las propiedades (incluidas las propiedades con privilegios) en servicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Leer las asignaciones de roles de la entidad de servicio |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Actualiza las asignaciones de rol de la entidad de servicio. |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Leer las asignaciones de roles asignadas a las entidades de servicio |
| microsoft.directory/servicePrincipals/audience/update | Actualizar las propiedades de público en las entidades de servicio |
| microsoft.directory/servicePrincipals/authentication/update | Actualizar las propiedades de autenticación en las entidades de servicio |
| microsoft.directory/servicePrincipals/basic/update | Actualizar las propiedades básicas de las entidades de servicio |
| microsoft.directory/servicePrincipals/create | Creación de entidades de servicio |
| microsoft.directory/servicePrincipals/createAsOwner | Crear entidades de servicio, con el creador como primer propietario |
| microsoft.directory/servicePrincipals/credentials/update | Actualizar las credenciales de las entidades de servicio |
| microsoft.directory/servicePrincipals/delete | Eliminar entidades de servicio |
| microsoft.directory/servicePrincipals/disable | Deshabilitar entidades de servicio |
| microsoft.directory/servicePrincipals/enable | Habilitación de entidades de servicio |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Leer las credenciales de inicio de sesión único con contraseña en las entidades de servicio |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Administrar las credenciales de inicio de sesión único con contraseña en las entidades de servicio |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Leer las concesiones de permisos delegados de las entidades de servicio |
| microsoft.directory/servicePrincipals/owners/read | Leer los propietarios de las entidades de servicio |
| microsoft.directory/servicePrincipals/owners/update | Actualizar los propietarios de las entidades de servicio |
| microsoft.directory/servicePrincipals/permissions/update | Actualizar los permisos de las entidades de servicio |
| microsoft.directory/servicePrincipals/policies/read | Leer las directivas de las entidades de servicio |
| microsoft.directory/servicePrincipals/policies/update | Actualizar las directivas de las entidades de servicio |
| microsoft.directory/servicePrincipals/standard/read | Leer las propiedades básicas de las entidades de servicio |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio |
| microsoft.directory/servicePrincipals/tag/update | Actualizar la propiedad de etiqueta de las entidades de servicio |
| microsoft.directory/applicationTemplates/instantiate | Crear instancias de las aplicaciones de la galería a partir de plantillas de aplicación. |
| microsoft.directory/auditLogs/allProperties/read | Leer todas las propiedades de los registros de auditoría, incluidas las propiedades con privilegios |
| microsoft.directory/signInReports/allProperties/read | Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios |
| microsoft.directory/applications/applicationProxy/read | Leer todas las propiedades del proxy de aplicación |
| microsoft.directory/applications/applicationProxy/update | Actualizar todas las propiedades del proxy de aplicación |
| microsoft.directory/applications/applicationProxyAuthentication/update | Actualizar la autenticación en todos los tipos de aplicaciones |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Actualización de la configuración de la dirección URL para el proxy de aplicación |
| microsoft.directory/applications/applicationProxySslCertificate/update | Actualización de la configuración del certificado SSL para el proxy de aplicación |
| microsoft.directory/applications/synchronization/standard/read | Lectura de la configuración de aprovisionamiento asociada al objeto de aplicación |
| microsoft.directory/connectorGroups/create | Crear grupos de conectores de red privada |
| microsoft.directory/connectorGroups/delete | Eliminar grupos de conectores de red privada |
| microsoft.directory/connectorGroups/allProperties/read | Leer todas las propiedades de los grupos de conectores de red privada |
| microsoft.directory/connectorGroups/allProperties/update | Actualizar todas las propiedades de los grupos de conectores de red privada |
| microsoft.directory/connectors/create | Crear conectores de red privada |
| microsoft.directory/connectors/allProperties/read | Leer todas las propiedades de los conectores de red privada |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Inicio, reinicio y detención de los trabajos de sincronización de aprovisionamiento de aplicaciones |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones |
| microsoft.directory/provisioningLogs/allProperties/read | Permite leer todas las propiedades de los registros de aprovisionamiento. |