Permisos de consentimiento de aplicaciones para roles personalizados en Microsoft Entra ID
Este artículo contiene los permisos de consentimiento de aplicaciones disponibles actualmente para las definiciones de roles personalizados en Microsoft Entra ID. En este artículo, encontrará los permisos necesarios para algunos escenarios comunes relacionados con los permisos y el consentimiento de aplicaciones.
Requisitos de licencia
El uso de esta característica requiere una licencia Microsoft Entra ID P1. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.
Permisos para el consentimiento de aplicaciones
Use los permisos que se muestran en este artículo para administrar las directivas de consentimiento de aplicaciones, así como el permiso para conceder consentimiento a las aplicaciones.
Nota:
El centro de administración de Microsoft Entra todavía no permite agregar los permisos enumerados en este artículo para una definición de rol de directorio personalizado. Debe usar PowerShell de Microsoft Graph para crear un rol de directorio personalizado con los permisos enumerados en este artículo.
Concesión de permisos delegados a las aplicaciones en nombre propio (consentimiento del usuario)
Para permitir a los usuarios conceder consentimiento a las aplicaciones en nombre propio (consentimiento del usuario), de acuerdo con una directiva de consentimiento de aplicaciones.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}
En donde {id} se reemplaza por el identificador de una directiva de consentimiento de aplicaciones que establecerá las condiciones que deben cumplirse para que este permiso esté activo.
Por ejemplo, para permitir a los usuarios conceder consentimiento en nombre propio, de acuerdo con la directiva de consentimiento de aplicaciones integrada con el identificador microsoft-user-default-low, se usaría el permiso ...managePermissionGrantsForSelf.microsoft-user-default-low.
Concesión de permisos a las aplicaciones en nombre de todos (consentimiento del administrador)
Para delegar el consentimiento de administrador a las aplicaciones para todo el inquilino, tanto permisos delegados como permisos de aplicación (roles de aplicación):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
En donde {id}, se reemplaza por el identificador de una directiva de consentimiento de aplicaciones que establecerá las condiciones que deben cumplirse para que este permiso se pueda usar.
Por ejemplo, para permitir que los destinatarios del rol concedan consentimiento de administrador a las aplicaciones para todo el inquilino, de acuerdo con una directiva de consentimiento de aplicaciones personalizada con el identificador low-risk-any-app, se usaría el permiso microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.
Administración de directivas de consentimiento de aplicaciones
Para delegar la creación, actualización y eliminación de directivas de consentimiento de aplicaciones.
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
Lista completa de permisos
| Permiso | Descripción |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} | Permite conceder consentimiento a las aplicaciones en nombre propio (consentimiento del usuario), de acuerdo con la directiva de consentimiento de aplicaciones {id}. |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | Concede el permiso para dar consentimiento a las aplicaciones en nombre de todos (consentimiento del administrador para todo el inquilino), de acuerdo con la directiva de consentimiento de aplicaciones {id}. |
| microsoft.directory/permissionGrantPolicies/standard/read | Lear las propiedades estándar de las directivas de concesión de permisos |
| microsoft.directory/permissionGrantPolicies/basic/update | Actualizar las propiedades básicas de las directivas de concesión de permisos |
| microsoft.directory/permissionGrantPolicies/create | Crear directivas de concesión de permisos |
| microsoft.directory/permissionGrantPolicies/delete | Eliminar directivas de concesión de permisos |