Uprawnienia aplikacji dla przedsiębiorstw dla ról niestandardowych w identyfikatorze Entra firmy Microsoft
Ten artykuł zawiera obecnie dostępne uprawnienia aplikacji dla przedsiębiorstw dla niestandardowych definicji ról w identyfikatorze Entra firmy Microsoft. W tym artykule znajdziesz listy uprawnień dla niektórych typowych scenariuszy i pełną listę uprawnień aplikacji dla przedsiębiorstw.
Wymagania dotyczące licencji
Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.
Uprawnienia aplikacji dla przedsiębiorstw
Aby uzyskać więcej informacji na temat używania tych uprawnień, zobacz Przypisywanie ról niestandardowych do zarządzania aplikacjami dla przedsiębiorstw
Przypisywanie użytkowników lub grup do aplikacji
Aby delegować przypisanie użytkowników i grup, które mogą uzyskiwać dostęp do aplikacji logowania jednokrotnego opartego na protokole SAML. Wymagane uprawnienia
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Tworzenie aplikacji galerii
Aby delegować tworzenie aplikacji z galerii Entra firmy Microsoft, takich jak ServiceNow, F5, Salesforce, między innymi. Wymagane uprawnienia:
- microsoft.directory/applicationTemplates/wystąpienie
Konfigurowanie podstawowych adresów URL protokołu SAML
Aby delegować aktualizację i odczytywać podstawowe konfiguracje SAML dla aplikacji logowania jednokrotnego opartego na protokole SAML. Wymagane uprawnienia:
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
Przerzucenie lub utworzenie certyfikatów podpisywania
Aby delegować zarządzanie certyfikatami podpisywania dla aplikacji logowania jednokrotnego opartego na protokole SAML. Wymagane uprawnienia.
microsoft.directory/servicePrincipals/credentials/update
Aktualizowanie wygasającego adresu e-mail powiadomienia o certyfikatze logowania
Aby delegować aktualizację wygasających certyfikatów logowania adresy e-mail powiadomień dla aplikacji logowania jednokrotnego opartego na protokole SAML. Wymagane uprawnienia:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
Zarządzanie podpisem tokenu SAML i algorytmem logowania
Aby delegować aktualizację sygnatury tokenu SAML i algorytmu logowania dla aplikacji logowania jednokrotnego opartego na protokole SAML. Wymagane uprawnienia:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Zarządzanie atrybutami i oświadczeniami użytkownika
Aby delegować tworzenie, usuwanie i aktualizowanie atrybutów użytkownika oraz oświadczeń dla aplikacji logowania jednokrotnego opartego na protokole SAML. Wymagane uprawnienia:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Uprawnienia aprowizacji aplikacji
Wykonanie dowolnej operacji zapisu, takiej jak zarządzanie zadaniem, schematem lub poświadczeniami za pośrednictwem interfejsu użytkownika, będzie również wymagać uprawnień do odczytu w celu wyświetlenia strony aprowizacji.
Ustawienie zakresu dla wszystkich użytkowników i grup lub przypisanych użytkowników i grup obecnie wymaga zarówno uprawnień synchronizationJob, jak i synchronizationCredentials.
Włączanie lub ponowne uruchamianie zadań aprowizacji
Aby delegować możliwość włączania, wyłączania i ponownego uruchamiania zadań aprowizacji. Wymagane uprawnienia:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
Konfigurowanie schematu aprowizacji
Aby delegować aktualizacje do mapowania atrybutów. Wymagane uprawnienia:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Odczyt ustawień aprowizacji skojarzonych z obiektem aplikacji
Aby delegować możliwość odczytywania ustawień aprowizacji skojarzonych z obiektem. Wymagane uprawnienia:
- microsoft.directory/applications/synchronization/standard/read
Odczyt ustawień aprowizacji skojarzonych z jednostką usługi
Aby delegować możliwość odczytywania ustawień aprowizacji skojarzonych z jednostką usługi. Wymagane uprawnienia:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Autoryzowanie dostępu do aplikacji na potrzeby aprowizacji
Aby delegować możliwość autoryzowania dostępu do aplikacji na potrzeby aprowizacji. Przykładowy wejściowy token elementu nośnego Oauth. Wymagane uprawnienia:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
uprawnienia serwer proxy aplikacji
Wykonywanie jakichkolwiek operacji zapisu we właściwościach serwer proxy aplikacji aplikacji wymaga również uprawnień do aktualizowania podstawowych właściwości i uwierzytelniania aplikacji.
Aby odczytać i wykonać wszystkie operacje zapisu we właściwościach serwer proxy aplikacji aplikacji, wymagane są również uprawnienia do odczytu do wyświetlania grup łączników, ponieważ jest to część listy właściwości wyświetlanych na stronie.
Delegowanie zarządzania łącznikami serwer proxy aplikacji
Aby delegować akcje tworzenia, odczytu, aktualizowania i usuwania na potrzeby zarządzania łącznikami. Wymagane uprawnienia:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
Delegowanie zarządzania ustawieniami serwer proxy aplikacji
Aby delegować akcje tworzenia, odczytu, aktualizowania i usuwania dla właściwości serwer proxy aplikacji w aplikacji. Wymagane uprawnienia:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrl Ustawienia/update
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/connectorGroups/allProperties/read
Odczytywanie serwer proxy aplikacji Ustawienia dla aplikacji
Aby delegować uprawnienia do odczytu dla właściwości serwer proxy aplikacji w aplikacji. Wymagane uprawnienia:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
Aktualizowanie konfiguracji adresu URL serwer proxy aplikacji ustawień aplikacji
Aby delegować uprawnienia do tworzenia, odczytywania, aktualizowania i usuwania (CRUD) na potrzeby aktualizowania serwer proxy aplikacji zewnętrznego adresu URL, wewnętrznego adresu URL i właściwości certyfikatu SSL. Wymagane uprawnienia:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrl Ustawienia/update
Pełna lista uprawnień
| Uprawnienie | opis |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Odczytywanie wszystkich właściwości (w tym właściwości uprzywilejowanych) w zasadach aplikacji |
| microsoft.directory/applicationPolicies/allProperties/update | Aktualizowanie wszystkich właściwości (w tym właściwości uprzywilejowanych) w zasadach aplikacji |
| microsoft.directory/applicationPolicies/basic/update | Aktualizowanie standardowych właściwości zasad aplikacji |
| microsoft.directory/applicationPolicies/create | Tworzenie zasad aplikacji |
| microsoft.directory/applicationPolicies/createAsOwner | Tworzenie zasad aplikacji i dodawanie twórcy jako pierwszego właściciela |
| microsoft.directory/applicationPolicies/delete | Usuwanie zasad aplikacji |
| microsoft.directory/applicationPolicies/owner/read | Odczytywanie właścicieli zasad aplikacji |
| microsoft.directory/applicationPolicies/owner/update | Aktualizowanie właściwości właściciela zasad aplikacji |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Odczytywanie zasad aplikacji zastosowanych do listy obiektów |
| microsoft.directory/applicationPolicies/standard/read | Odczytywanie standardowych właściwości zasad aplikacji |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Tworzenie i usuwanie jednostek usługi oraz odczytywanie i aktualizowanie wszystkich właściwości |
| microsoft.directory/servicePrincipals/allProperties/read | Odczytywanie wszystkich właściwości (w tym właściwości uprzywilejowanych) w usłudze ServicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update | Aktualizowanie wszystkich właściwości (w tym właściwości uprzywilejowanych) w usłudze ServicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Odczytywanie przypisań ról jednostki usługi |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizowanie przypisań ról jednostki usługi |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Odczytywanie przypisań ról przypisanych do jednostek usługi |
| microsoft.directory/servicePrincipals/audience/update | Aktualizowanie właściwości odbiorców w jednostkach usługi |
| microsoft.directory/servicePrincipals/authentication/update | Aktualizowanie właściwości uwierzytelniania w jednostkach usługi |
| microsoft.directory/servicePrincipals/basic/update | Aktualizowanie podstawowych właściwości jednostek usługi |
| microsoft.directory/servicePrincipals/create | Tworzenie jednostek usługi |
| microsoft.directory/servicePrincipals/createAsOwner | Tworzenie jednostek usługi z twórcą jako pierwszym właścicielem |
| microsoft.directory/servicePrincipals/credentials/update | Aktualizowanie poświadczeń jednostek usługi |
| microsoft.directory/servicePrincipals/delete | Usuwanie jednostek usługi |
| microsoft.directory/servicePrincipals/disable | Wyłączanie jednostek usługi |
| microsoft.directory/servicePrincipals/enable | Włączanie jednostek usługi |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Odczytywanie poświadczeń logowania jednokrotnego haseł w jednostkach usługi |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Zarządzanie poświadczeniami logowania jednokrotnego haseł w jednostkach usługi |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Uprawnienia delegowane do odczytu dla jednostek usługi |
| microsoft.directory/servicePrincipals/owner/read | Odczytywanie właścicieli jednostek usługi |
| microsoft.directory/servicePrincipals/owner/update | Aktualizowanie właścicieli jednostek usługi |
| microsoft.directory/servicePrincipals/permissions/update | Aktualizowanie uprawnień jednostek usługi |
| microsoft.directory/servicePrincipals/policies/read | Odczytywanie zasad jednostek usługi |
| microsoft.directory/servicePrincipals/policies/update | Aktualizowanie zasad jednostek usługi |
| microsoft.directory/servicePrincipals/standard/read | Odczytywanie podstawowych właściwości jednostek usługi |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Odczyt ustawień aprowizacji skojarzonych z jednostką usługi |
| microsoft.directory/servicePrincipals/tag/update | Aktualizowanie właściwości tagu dla jednostek usługi |
| microsoft.directory/applicationTemplates/wystąpienie | Tworzenie wystąpień aplikacji z galerii na podstawie szablonów aplikacji |
| microsoft.directory/auditLogs/allProperties/read | Odczytywanie wszystkich właściwości dzienników inspekcji, w tym właściwości uprzywilejowanych |
| microsoft.directory/signInReports/allProperties/read | Odczytywanie wszystkich właściwości w raportach logowania, w tym właściwości uprzywilejowanych |
| microsoft.directory/applications/applicationProxy/read | Odczytywanie wszystkich właściwości serwera proxy aplikacji |
| microsoft.directory/applications/applicationProxy/update | Aktualizowanie wszystkich właściwości serwera proxy aplikacji |
| microsoft.directory/applications/applicationProxyAuthentication/update | Aktualizowanie uwierzytelniania we wszystkich typach aplikacji |
| microsoft.directory/applications/applicationProxyUrl Ustawienia/update | Aktualizowanie ustawień adresu URL serwera proxy aplikacji |
| microsoft.directory/applications/applicationProxySslCertificate/update | Aktualizowanie ustawień certyfikatu SSL dla serwera proxy aplikacji |
| microsoft.directory/applications/synchronization/standard/read | Odczyt ustawień aprowizacji skojarzonych z obiektem aplikacji |
| microsoft.directory/connectorGroups/create | Tworzenie grup łączników sieci prywatnej |
| microsoft.directory/connectorGroups/delete | Usuwanie grup łączników sieci prywatnej |
| microsoft.directory/connectorGroups/allProperties/read | Odczytywanie wszystkich właściwości grup łączników sieci prywatnej |
| microsoft.directory/connectorGroups/allProperties/update | Aktualizowanie wszystkich właściwości grup łączników sieci prywatnej |
| microsoft.directory/connectors/create | Tworzenie łączników sieci prywatnej |
| microsoft.directory/connectors/allProperties/read | Odczytywanie wszystkich właściwości łączników sieci prywatnej |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Uruchamianie, ponowne uruchamianie i wstrzymywanie zadań synchronizacji aprowizacji aplikacji |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Odczyt ustawień aprowizacji skojarzonych z jednostką usługi |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Tworzenie zadań i schematu synchronizacji aprowizacji aplikacji i zarządzanie nimi |
| microsoft.directory/provisioningLogs/allProperties/read | Odczytywanie wszystkich właściwości dzienników aprowizacji |