Delen via


App-toestemmingsmachtigingen voor aangepaste rollen in Microsoft Entra ID

Dit artikel bevat de momenteel beschikbare app-toestemmingsmachtigingen voor aangepaste roldefinities in Microsoft Entra-id. In dit artikel vindt u de machtigingen die vereist zijn voor een aantal veelvoorkomende scenario's met betrekking tot app-toestemming en machtigingen.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.

Gebruik de in dit artikel vermelde machtigingen voor het beheren van app-toestemmingsbeleid en de machtiging om toestemming te geven aan apps.

Notitie

Het Microsoft Entra-beheercentrum biedt nog geen ondersteuning voor het toevoegen van de machtigingen die in dit artikel worden vermeld aan een aangepaste directoryroldefinitie. U moet Microsoft Graph PowerShell gebruiken om een aangepaste maprol te maken met de machtigingen die in dit artikel worden vermeld.

Om gebruikers toe te staan om namens zichzelf toestemming te geven aan toepassingen (toestemming van de gebruiker), afhankelijk van een app-toestemmingsbeleid.

  • microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}

Waarbij {id} wordt vervangen door de id van een app-toestemmingsbeleid waarmee de voorwaarden worden ingesteld waaraan moet worden voldaan om deze machtiging actief te maken.

Als u bijvoorbeeld wilt toestaan dat gebruikers toestemming geven namens zichzelf, afhankelijk van het ingebouwde app-toestemmingsbeleid met id microsoft-user-default-low, zou u de machtiging ...managePermissionGrantsForSelf.microsoft-user-default-low gebruiken.

Voor het delegeren van de tenantbrede beheerderstoestemming aan apps, voor zowel gedelegeerde toestemmingen als app-toestemmingen (app-rollen):

  • microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}

Waarbij {id} wordt vervangen door de id van een app-toestemmingsbeleid waarmee de voorwaarden worden ingesteld waaraan moet worden voldaan om deze machtiging bruikbaar te maken.

Als u bijvoorbeeld aan een rol toegewezen personen wilt toestaan tenantbrede beheerderstoestemming te geven aan apps, afhankelijk van een aangepast app-toestemmingsbeleid met id low-risk-any-app, zou u de machtiging microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app gebruiken.

Voor het delegeren van het maken, bijwerken en verwijderen van app-toestemmingsbeleid.

  • microsoft.directory/permissionGrantPolicies/create
  • microsoft.directory/permissionGrantPolicies/standard/read
  • microsoft.directory/permissionGrantPolicies/basic/update
  • microsoft.directory/permissionGrantPolicies/delete

Lijst met alle machtigingen

Machtiging Beschrijving
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} Geeft de mogelijkheid om apps toestemming te geven namens zichzelf (gebruikerstoestemming), afhankelijk van app-toestemmingsbeleid {id}.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} Verleent de machtiging om apps toestemming te geven namens iedereen (tenantbrede beheerderstoestemming), afhankelijk van app-toestemmingsbeleid {id}.
microsoft.directory/permissionGrantPolicies/standard/read Standaardeigenschappen van beleid voor het verlenen van machtigingen bijwerken
microsoft.directory/permissionGrantPolicies/basic/update Basiseigenschappen van beleid voor het verlenen van machtigingen bijwerken
microsoft.directory/permissionGrantPolicies/create Beleid voor het verlenen van machtigingen maken
microsoft.directory/permissionGrantPolicies/delete Beleid voor het verlenen van machtigingen verwijderen

Volgende stappen