Autorizzazioni di consenso dell'app per i ruoli personalizzati in Microsoft Entra ID
Questo articolo contiene le autorizzazioni di consenso dell'app attualmente disponibili per le definizioni di ruolo personalizzate in Microsoft Entra ID. In questo articolo sono disponibili le autorizzazioni necessarie per alcuni scenari comuni relativi al consenso e alle autorizzazioni per le app.
Requisiti di licenza
L'uso di questa funzionalità richiede licenze microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.
Autorizzazioni per il consenso alle app
Usare le autorizzazioni elencate in questo articolo per gestire i criteri di consenso alle app, nonché l'autorizzazione per concedere il consenso alle app.
Nota
L'interfaccia di amministrazione di Microsoft Entra non supporta ancora l'aggiunta delle autorizzazioni elencate in questo articolo a una definizione di ruolo della directory personalizzata. È necessario usare Microsoft Graph PowerShell per creare un ruolo di directory personalizzato con le autorizzazioni elencate in questo articolo.
Concessione di autorizzazioni delegate alle app per conto dell'utente (consenso dell'utente)
Per consentire agli utenti di concedere il consenso alle app per loro conto (consenso utente), soggetto a un criterio di consenso per le app.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}
Dove {id} viene sostituito con l'ID di un criterio di consenso per le app che imposterà le condizioni che è necessario soddisfare affinché questa autorizzazione sia attiva.
Ad esempio, per consentire agli utenti di concedere il consenso per loro conto, soggetto al criterio di consenso per le app predefinito con ID microsoft-user-default-low, usare l'autorizzazione ...managePermissionGrantsForSelf.microsoft-user-default-low.
Concessione di autorizzazioni alle app per conto di tutti (consenso amministratore)
Per delegare il consenso amministratore a livello di tenant alle app, sia per le autorizzazioni delegate sia per le autorizzazioni dell'applicazione (ruoli app):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
Dove {id} viene sostituito con l'ID di un criterio di consenso per le app che imposterà le condizioni che è necessario soddisfare affinché questa autorizzazione sia utilizzabile.
Ad esempio, per consentire agli assegnatari del ruolo di concedere il consenso amministratore a livello di tenant alle app, soggetto al criterio di consenso per l'app con ID low-risk-any-app, usare l'autorizzazione microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.
Gestione dei criteri di consenso per le app
Per delegare la creazione, l'aggiornamento e l'eliminazione dei criteri di consenso per le app.
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
Elenco completo delle autorizzazioni
| Autorizzazione | Descrizione |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} | Concede la possibilità di dare il consenso alle app per conto dell'utente (consenso utente), soggetto al criterio di consenso per le app {id}. |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | Concede la possibilità di dare il consenso alle app per conto di tutti (consenso amministratore a livello di tenant), soggetto al criterio di consenso per le app {id}. |
| microsoft.directory/permissionGrantPolicies/standard/read | Leggere le proprietà standard dei criteri di concessione delle autorizzazioni |
| microsoft.directory/permissionGrantPolicies/basic/update | Aggiornare le proprietà di base dei criteri di concessione delle autorizzazioni |
| microsoft.directory/permissionGrantPolicies/create | Creare criteri di concessione delle autorizzazioni |
| microsoft.directory/permissionGrantPolicies/delete | Eliminare i criteri di concessione delle autorizzazioni |