Autorizzazioni dell'applicazione aziendale per ruoli personalizzati in Microsoft Entra ID
Questo articolo contiene le autorizzazioni dell'applicazione aziendale attualmente disponibili per le definizioni di ruolo personalizzate in Microsoft Entra ID. L'articolo contiene elenchi di autorizzazioni per alcuni scenari comuni e l'elenco completo delle autorizzazioni delle applicazioni aziendali.
Requisiti di licenza
L'uso di questa funzionalità richiede licenze microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.
Autorizzazioni delle applicazioni aziendali
Per altre informazioni su come usare queste autorizzazioni, vedere Assegnare ruoli personalizzati per gestire le app aziendali in Azure Active Directory
Assegnazione di utenti o gruppi a un'applicazione
Delegare l'assegnazione di utenti e gruppi che possono accedere ad applicazioni Single Sign-On basate su SAML. Autorizzazioni obbligatorie
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Creazione di applicazioni della raccolta
Per delegare la creazione di applicazioni di Microsoft Entra Gallery come ServiceNow, F5, Salesforce, tra le altre. Autorizzazioni necessarie:
- microsoft.directory/applicationTemplates/instantiate
Configurazione di URL SAML di base
Delegare l'aggiornamento e la lettura delle configurazioni SAML di base per le applicazioni Single Sign-On basate su SAML. Autorizzazioni necessarie:
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
Rollover o creazione di certificati di firma
Delegare la gestione dei certificati di firma per le applicazioni Single Sign-On basate su SAML. Autorizzazioni necessarie.
microsoft.directory/servicePrincipals/credentials/update
Aggiornare l'indirizzo di posta elettronica di notifica per i certificati di firma in scadenza
Delegare l'aggiornamento degli indirizzi di posta elettronica di notifica dei certificati di firma in scadenza per le applicazioni Single Sign-On basate su SAML. Autorizzazioni necessarie:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
Gestire l'algoritmo di accesso e firma del token SAML
Delegare l'aggiornamento dell'algoritmo di accesso e firma del token SAML per le applicazioni Single Sign-On basate su SAML. Autorizzazioni necessarie:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Gestire attributi e attestazioni utente
Per delegare la creazione, l'eliminazione e l'aggiornamento degli attributi utente e delle attestazioni per le applicazioni Single Sign-On basate su SAML. Autorizzazioni necessarie:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Autorizzazioni di provisioning delle app
Per eseguire qualsiasi operazione di scrittura, come la gestione del processo, dello schema o delle credenziali tramite l'interfaccia utente, sono necessarie anche le autorizzazioni di lettura per visualizzare la pagina di provisioning.
Per impostare l'ambito su tutti gli utenti e i gruppi o su utenti e gruppi assegnati sono attualmente necessarie le autorizzazioni synchronizationJob e synchronizationCredentials.
Attivare o riavviare i processi di provisioning
Delegare la capacità di attivare, disattivare e riavviare i processi di provisioning. Autorizzazioni necessarie:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
Configurare lo schema di provisioning
Delegare gli aggiornamenti al mapping degli attributi. Autorizzazioni necessarie:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Leggere le impostazioni di provisioning associate all'oggetto applicazione
Delegare la capacità di leggere le impostazioni di provisioning associate all'oggetto applicazione. Autorizzazioni necessarie:
- microsoft.directory/applications/synchronization/standard/read
Leggere le impostazioni di provisioning associate all'entità servizio
Delegare la capacità di leggere le impostazioni di provisioning associate all'entità servizio. Autorizzazioni necessarie:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Autorizzare l'accesso alle applicazioni per il provisioning
Delegare la capacità di autorizzare l'accesso alle applicazioni per il provisioning. Esempio di input del token di connessione OAuth. Autorizzazioni necessarie:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Autorizzazioni proxy applicazione
L'esecuzione di qualsiasi operazione di scrittura nelle proprietà del proxy di applicazione dell'applicazione richiede anche le autorizzazioni per aggiornare le proprietà e l'autenticazione di base dell'applicazione.
Per leggere ed eseguire qualsiasi operazione di scrittura nelle proprietà del proxy di applicazione dell'applicazione, sono necessarie anche le autorizzazioni di lettura per visualizzare i gruppi di connettori perché fa parte dell'elenco delle proprietà visualizzate nella pagina.
Delegare la gestione del connettore del proxy di applicazione
Per delegare azioni di creazione, lettura, aggiornamento ed eliminazione per la gestione dei connettori. Autorizzazioni necessarie:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
Delegare la gestione delle impostazioni del proxy di applicazione
Per delegare azioni di creazione, lettura, aggiornamento ed eliminazione per le proprietà del proxy di applicazione in un'app. Autorizzazioni necessarie:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/connectorGroups/allProperties/read
Leggere Impostazioni proxy di applicazione per un'app
Per delegare le autorizzazioni di lettura per le proprietà del proxy di applicazione in un'app. Autorizzazioni necessarie:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
Aggiornare le impostazioni del proxy applicazione di configurazione URL per un'app
Per delegare le autorizzazioni di creazione, lettura, aggiornamento ed eliminazione (CRUD) per l'aggiornamento delle proprietà esterne, URL interno e URL esterno del proxy di applicazione. Autorizzazioni necessarie:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
Elenco completo delle autorizzazioni
| Autorizzazione | Descrizione |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Leggere tutte le proprietà (incluse le proprietà con privilegi) nei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/allProperties/update | Aggiornare tutte le proprietà (incluse le proprietà con privilegi) nei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/basic/update | Aggiornamento delle proprietà standard dei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/create | Creazione di criteri dell'applicazione |
| microsoft.directory/applicationPolicies/createAsOwner | Creare criteri dell'applicazione e l'autore viene aggiunto come primo proprietario |
| microsoft.directory/applicationPolicies/delete | Eliminazione dei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/owners/read | Lettura dei proprietari nei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/owners/update | Aggiornamento della proprietà relativa al proprietario dei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Lettura dei criteri dell'applicazione applicati all'elenco di oggetti |
| microsoft.directory/applicationPolicies/standard/read | Lettura delle proprietà standard dei criteri dell'applicazione |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Creare ed eliminare entità servizio e leggere e aggiornare tutte le proprietà |
| microsoft.directory/servicePrincipals/allProperties/read | Leggere tutte le proprietà (incluse le proprietà con privilegi) in servicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update | Aggiornare tutte le proprietà (incluse le proprietà con privilegi) in servicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Leggere le assegnazioni di ruolo dell'entità servizio |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornamento delle assegnazioni di ruolo delle entità servizio |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Leggere le assegnazioni di ruolo assegnate alle entità servizio |
| microsoft.directory/servicePrincipals/audience/update | Aggiornamento delle proprietà relative ai destinatari nelle entità servizio |
| microsoft.directory/servicePrincipals/authentication/update | Aggiornamento delle proprietà relative all'autenticazione nelle entità servizio |
| microsoft.directory/servicePrincipals/basic/update | Aggiornamento delle proprietà di base nelle entità servizio |
| microsoft.directory/servicePrincipals/create | Creare entità servizio |
| microsoft.directory/servicePrincipals/createAsOwner | Creazione di entità servizio. L'autore è il primo proprietario |
| microsoft.directory/servicePrincipals/credentials/update | Aggiornare le credenziali delle entità servizio |
| microsoft.directory/servicePrincipals/delete | Eliminazione delle entità servizio |
| microsoft.directory/servicePrincipals/disable | Disabilitazione delle entità servizio |
| microsoft.directory/servicePrincipals/enable | Abilitazione delle entità servizio |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Lettura delle credenziali per l'accesso Single Sign-On per la password nelle entità servizio |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Gestione delle credenziali per l'accesso Single Sign-On per la password nelle entità servizio |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Leggere le concessioni di autorizzazioni delegate per le entità servizio |
| microsoft.directory/servicePrincipals/owners/read | Leggere i proprietari delle entità servizio |
| microsoft.directory/servicePrincipals/owners/update | Aggiornamento dei proprietari nelle entità servizio |
| microsoft.directory/servicePrincipals/permissions/update | Aggiornamento delle autorizzazioni delle entità servizio |
| microsoft.directory/servicePrincipals/policies/read | Leggere i criteri delle entità servizio |
| microsoft.directory/servicePrincipals/policies/update | Aggiornamento dei criteri nelle entità servizio |
| microsoft.directory/servicePrincipals/standard/read | Leggere le proprietà di base delle entità servizio |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'entità servizio |
| microsoft.directory/servicePrincipals/tag/update | Aggiornamento della proprietà tag per le entità servizio |
| microsoft.directory/applicationTemplates/instantiate | Creazione di un'istanza delle applicazioni della raccolta dai modelli di applicazioni |
| microsoft.directory/auditLogs/allProperties/read | Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi |
| microsoft.directory/signInReports/allProperties/read | Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.directory/applications/applicationProxy/read | Lettura di tutte le proprietà del proxy dell'applicazione |
| microsoft.directory/applications/applicationProxy/update | Aggiornamento di tutte le proprietà del proxy dell'applicazione |
| microsoft.directory/applications/applicationProxyAuthentication/update | Aggiornamento dell'autenticazione in tutti i tipi di applicazioni |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Aggiornamento delle impostazioni dell'URL per il proxy dell'applicazione |
| microsoft.directory/applications/applicationProxySslCertificate/update | Aggiornamento delle impostazioni del certificato SSL per il proxy dell'applicazione |
| microsoft.directory/applications/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'oggetto applicazione |
| microsoft.directory/connectorGroups/create | Creare gruppi di connettori di rete privata |
| microsoft.directory/connectorGroups/delete | Eliminare gruppi di connettori di rete privati |
| microsoft.directory/connectorGroups/allProperties/read | Leggere tutte le proprietà dei gruppi di connettori di rete privata |
| microsoft.directory/connectorGroups/allProperties/update | Aggiornare tutte le proprietà dei gruppi di connettori di rete privata |
| microsoft.directory/connectors/create | Creare connettori di rete privata |
| microsoft.directory/connectors/allProperties/read | Leggere tutte le proprietà dei connettori di rete privata |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'entità servizio |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning. |