Izin aplikasi perusahaan untuk peran kustom di MICROSOFT Entra ID
Artikel ini berisi izin aplikasi perusahaan yang saat ini tersedia untuk definisi peran kustom di ID Microsoft Entra. Dalam artikel ini, Anda akan menemukan daftar izin untuk beberapa skenario umum dan daftar lengkap izin aplikasi perusahaan.
Persyaratan lisensi
Menggunakan fitur ini memerlukan lisensi Microsoft Entra ID P1. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur Microsoft Entra ID yang tersedia secara umum.
Izin aplikasi perusahaan
Untuk informasi selengkapnya tentang cara menggunakan izin ini, lihat Menetapkan peran kustom untuk mengelola aplikasi perusahaan
Menetapkan pengguna atau grup ke aplikasi
Untuk mendelegasikan penugasan pengguna dan grup yang dapat mengakses aplikasi akses menyeluruh berbasis SAML. Izin yang diperlukan
- microsoft.directory/servicePrincipals/appRoleAssignedTo/perbarui
Membuat aplikasi galeri
Untuk mendelegasikan pembuatan aplikasi Microsoft Entra Gallery seperti ServiceNow, F5, Salesforce, antara lain. Izin yang diperlukan:
- microsoft.directory/applicationTemplates/instantiate
Mengonfigurasi URL SAML dasar
Untuk mendelegasikan pembaruan dan membaca Konfigurasi SAML dasar untuk aplikasi akses menyeluruh berbasis SAML. Izin yang diperlukan:
- microsoft.directory/servicePrincipals/authentication/perbarui
- microsoft.directory/applications.myOrganization/authentication/perbarui
Meneruskan atau membuat certs penandatanganan
Untuk mendelegasikan pengelolaan sertifikat penandatanganan untuk aplikasi akses menyeluruh berbasis SAML. Izin yang diperlukan.
microsoft.directory/servicePrincipals/mandat/perbarui
Memperbarui alamat email pemberitahuan cert rincian masuk yang kedaluwarsa
Untuk mendelegasikan pembaruan alamat email pemberitahuan sertifikat masuk yang kedaluwarsa untuk aplikasi akses menyeluruh berbasis SAML. Izin yang diperlukan:
- microsoft.directory/applications.myOrganization/authentication/perbarui
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/perbarui
- microsoft.directory/servicePrincipals/basic/update
Mengelola tanda tangan token SAML dan algoritma rincian masuk
Untuk mendelegasikan pembaruan tanda tangan token SAML dan algoritma rincian masuk untuk aplikasi akses menyeluruh berbasis SAML. Izin yang diperlukan:
- microsoft.directory/applicationPolicies/basic/perbarui
- microsoft.directory/applications/authentication/perbarui
- microsoft.directory/servicePrincipals/policies/perbarui
Mengelola atribut dan klaim pengguna
Untuk mendelegasikan pembuatan, penghapusan, dan pembaruan atribut dan klaim pengguna untuk aplikasi akses menyeluruh berbasis SAML. Izin yang diperlukan:
- microsoft.directory/applicationPolicies/basic/perbarui
- microsoft.directory/applications/authentication/perbarui
- microsoft.directory/servicePrincipals/policies/perbarui
Izin provisi aplikasi
Melakukan operasi penulisan apa pun seperti mengelola pekerjaan, skema, atau informasi masuk melalui antarmuka pengguna juga akan memerlukan izin baca untuk menampilkan halaman provisi.
Mengatur cakupan untuk semua pengguna dan grup atau pengguna dan grup yang ditetapkan saat ini memerlukan izin synchronizationJob dan synchronizationCredentials.
Mengaktifkan atau menghidupkan ulang pekerjaan provisi
Untuk mendelegasikan kemampuan untuk mengaktifkan, menonaktifkan, dan memulai ulang pekerjaan provisi. Izin yang diperlukan:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
Mengonfigurasi skema provisi
Untuk mendelegasikan pembaruan ke pemetaan atribut. Izin yang diperlukan:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Membaca pengaturan provisi yang terkait dengan objek aplikasi
Untuk mendelegasikan kemampuan untuk membaca pengaturan provisi yang terkait dengan objek. Izin yang diperlukan:
- microsoft.directory/aplikasi/sinkronisasi/standar/baca
Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda
Untuk mendelegasikan kemampuan untuk membaca pengaturan provisi yang terkait dengan perwakilan layanan Anda. Izin yang diperlukan:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Mengotorisasi akses aplikasi untuk provisi
Untuk mendelegasikan kemampuan untuk mengotorisasi akses aplikasi untuk provisi. Token pembawa Oauth input contoh. Izin yang diperlukan:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Izin Proksi Aplikasi
Melakukan operasi penulisan apa pun ke properti Proksi Aplikasi juga mengharuskan izin untuk memperbarui properti dasar dan autentikasi dari aplikasi tersebut.
Untuk membaca dan melakukan operasi penulisan apa pun ke properti Proksi Aplikasi dari aplikasi juga mengharuskan izin baca untuk melihat grup konektor karena ini adalah bagian dari daftar properti yang ditampilkan pada halaman.
Mendelegasikan manajemen konektor Proksi Aplikasi
Untuk mendelegasikan tindakan membuat, membaca, memperbarui, dan menghapus untuk manajemen konektor. Izin yang diperlukan:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connector/create
Mendelegasikan manajemen pengaturan Proksi Aplikasi
Untuk mendelegasikan tindakan membuat, membaca, memperbarui, dan menghapus untuk properti Proksi Aplikasi pada aplikasi. Izin yang diperlukan:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/perbarui
- microsoft.directory/connectorGroups/allProperties/read
Membaca Pengaturan Proksi Aplikasi untuk aplikasi
Untuk mendelegasikan izin baca untuk properti Proksi Aplikasi pada aplikasi. Izin yang diperlukan:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
Memperbarui pengaturan Proksi Aplikasi konfigurasi URL untuk aplikasi
Untuk mendelegasikan izin membuat, membaca, memperbarui, dan menghapus (CRUD) agar bisa memperbarui URL eksternal, URL internal, dan properti sertifikat SSL dari Proksi Aplikasi. Izin yang diperlukan:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/perbarui
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
Daftar lengkap izin
| Izin | Deskripsi |
|---|---|
| microsoft.directory/applications/allProperties/baca | Membaca semua properti (termasuk properti istimewa) pada kebijakan aplikasi |
| microsoft.directory/applicationPolicies/allProperties/perbarui | Memperbarui semua properti (termasuk properti istimewa) pada kebijakan aplikasi |
| microsoft.directory/applicationPolicies/basic/perbarui | Memperbarui properti standar kebijakan aplikasi |
| microsoft.directory/applicationPolicies/create | Membuat kebijakan aplikasi |
| microsoft.directory/applicationPolicies/createAsOwner | Membuat kebijakan aplikasi, dan pembuat ditambahkan sebagai pemilik pertama |
| microsoft.directory/applicationPolicies/delete | Menghapus kebijakan aplikasi |
| microsoft.directory/applicationPolicies/para pemilik/baca | Membaca pemilik pada kebijakan aplikasi |
| microsoft.directory/applicationPolicies/para pemilik/perbarui | Memperbarui properti pemilik kebijakan aplikasi |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Membaca kebijakan aplikasi yang diterapkan ke daftar objek |
| microsoft.directory/applicationPolicies/standard/read | Membaca properti standar kebijakan aplikasi |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Membuat dan menghapus perwakilan layanan, serta membaca dan memperbarui semua properti |
| microsoft.directory/servicePrincipals/allProperties/baca | Membaca semua properti (termasuk properti istimewa) pada servicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/perbarui | Memperbarui semua properti (termasuk properti istimewa) pada servicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Membaca penetapan peran perwakilan layanan |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/perbarui | Memperbarui penetapan peran perwakilan layanan |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Membaca penetapan peran yang ditetapkan untuk perwakilan layanan |
| microsoft.directory/servicePrincipals/audience/perbarui | Memperbarui properti audiens pada perwakilan layanan |
| microsoft.directory/servicePrincipals/authentication/perbarui | Memperbarui properti autentikasi pada perwakilan layanan |
| microsoft.directory/servicePrincipals/basic/update | Memperbarui properti dasar pada perwakilan layanan |
| microsoft.directory/servicePrincipals/buat | Membuat prinsipal layanan |
| microsoft.directory/servicePrincipals/createAsOwner | Membuat perwakilan layanan, dengan pembuat sebagai pemilik pertama |
| microsoft.directory/servicePrincipals/mandat/perbarui | Memperbarui info masuk perwakilan layanan |
| microsoft.directory/servicePrincipals/hapus | Menghapus perwakilan layanan |
| microsoft.directory/servicePrincipals/disable | Menonaktifkan perwakilan layanan |
| microsoft.directory/servicePrincipals/aktifkan | Mengaktifkan perwakilan layanan |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Membaca info masuk kata sandi akses menyeluruh pada perwakilan layanan |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Mengelola info masuk kata sandi akses menyeluruh pada perwakilan layanan |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/baca | Membaca pemberian izin yang didelegasikan pada perwakilan layanan |
| microsoft.directory/servicePrincipals/para pemilik/baca | Membaca pemilik perwakilan layanan |
| microsoft.directory/servicePrincipals/owners/update | Memperbarui pemilik perwakilan layanan |
| microsoft.directory/servicePrincipals/permissions/update | Memperbarui izin perwakilan layanan |
| microsoft.directory/servicePrincipals/policies/read | Membaca kebijakan perwakilan layanan |
| microsoft.directory/servicePrincipals/policies/perbarui | Memperbarui kebijakan perwakilan layanan |
| microsoft.directory/servicePrincipals/standard/read | Membaca properti dasar perwakilan layanan |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda |
| microsoft.directory/servicePrincipals/tag/perbarui | Memperbarui properti tag untuk perwakilan layanan |
| microsoft.directory/applicationTemplates/instantiate | Membuat instans aplikasi galeri dari templat aplikasi |
| microsoft.directory/auditLogs/allProperties/read | Membaca semua properti pada log audit, termasuk properti istimewa |
| microsoft.directory/signInReports/allProperties/read | Membaca semua properti pada laporan masuk, termasuk properti istimewa |
| microsoft.directory/applications/applicationProxy/read | Membaca semua properti proksi aplikasi |
| microsoft.directory/applications/applicationProxy/update | Memperbarui semua properti proksi aplikasi |
| microsoft.directory/applications/applicationProxyAuthentication/update | Memperbarui autentikasi pada semua jenis aplikasi |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Memperbarui pengaturan URL untuk proksi aplikasi |
| microsoft.directory/applications/applicationProxySslCertificate/update | Memperbarui pengaturan sertifikat SSL untuk proksi aplikasi |
| microsoft.directory/aplikasi/sinkronisasi/standar/baca | Membaca pengaturan provisi yang terkait dengan objek aplikasi |
| microsoft.directory/connectorGroups/create | Membuat grup konektor jaringan privat |
| microsoft.directory/connectorGroups/delete | Menghapus grup konektor jaringan privat |
| microsoft.directory/connectorGroups/allProperties/read | Membaca semua properti grup konektor jaringan privat |
| microsoft.directory/connectorGroups/allProperties/update | Memperbarui semua properti grup konektor jaringan privat |
| microsoft.directory/connector/create | Membuat konektor jaringan privat |
| microsoft.directory/connectors/allProperties/read | Membaca semua properti konektor jaringan privat |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Memulai, memulai ulang, dan menjeda pekerjaan sinkronisasi provisi aplikasi |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi |
| microsoft.directory/provisioningLogs/allProperties/read | Membaca semua properti log provisi |