Uprawnienia zgody aplikacji dla ról niestandardowych w usłudze Microsoft Entra ID
Ten artykuł zawiera obecnie dostępne uprawnienia zgody aplikacji dla niestandardowych definicji ról w identyfikatorze Entra firmy Microsoft. W tym artykule znajdziesz uprawnienia wymagane dla niektórych typowych scenariuszy związanych ze zgodą i uprawnieniami aplikacji.
Wymagania dotyczące licencji
Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.
Uprawnienia dotyczące zgód aplikacji
Użyj uprawnień wymienionych w tym artykule, aby zarządzać zasadami zgody aplikacji, a także uprawnieniami do udzielania zgody na aplikacje.
Uwaga
Centrum administracyjne firmy Microsoft Entra nie obsługuje jeszcze dodawania uprawnień wymienionych w tym artykule do niestandardowej definicji roli katalogu. Aby utworzyć rolę katalogu niestandardowego z uprawnieniami wymienionymi w tym artykule, musisz użyć programu Microsoft Graph PowerShell.
Udzielanie delegowanych uprawnień do aplikacji w imieniu siebie (zgoda użytkownika)
Aby zezwolić użytkownikom na wyrażanie zgody na aplikacje w imieniu siebie (zgoda użytkownika), podlegają zasadom zgody aplikacji.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf. {id}
Gdzie {id} jest zastępowany przez identyfikator zasad zgody aplikacji, które ustawi warunki, które muszą zostać spełnione, aby to uprawnienie było aktywne.
Aby na przykład zezwolić użytkownikom na udzielanie zgody we własnym imieniu, z zastrzeżeniem wbudowanych zasad zgody aplikacji o identyfikatorze microsoft-user-default-low, należy użyć uprawnienia ...managePermissionGrantsForSelf.microsoft-user-default-low.
Udzielanie uprawnień do aplikacji w imieniu wszystkich (zgoda administratora)
Aby delegować zgodę administratora dla całej dzierżawy na aplikacje, zarówno dla uprawnień delegowanych, jak i uprawnień aplikacji (ról aplikacji):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll. {id}
Gdzie {id} jest zastępowany przez identyfikator zasad zgody aplikacji, które będą ustawiać warunki, które muszą zostać spełnione, aby to uprawnienie było możliwe do użycia.
Aby na przykład zezwolić przypisom ról na udzielanie zgody administratora dla całej dzierżawy na aplikacje podlegające niestandardowym zasadom zgody aplikacji o identyfikatorze low-risk-any-app, należy użyć uprawnienia microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.
Zarządzanie zasadami zgody aplikacji
Aby delegować tworzenie, aktualizowanie i usuwanie zasad zgody aplikacji.
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
Pełna lista uprawnień
| Uprawnienie | opis |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf. {id} | Przyznaje możliwość wyrażania zgody na aplikacje w imieniu siebie (zgody użytkownika) z zastrzeżeniem zasad {id}zgody aplikacji. |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll. {id} | Przyznaje uprawnienie do wyrażania zgody na aplikacje w imieniu wszystkich (zgoda administratora dla całej dzierżawy), z zastrzeżeniem zasad {id}zgody aplikacji. |
| microsoft.directory/permissionGrantPolicies/standard/read | Odczytywanie standardowych właściwości zasad udzielania uprawnień |
| microsoft.directory/permissionGrantPolicies/basic/update | Aktualizowanie podstawowych właściwości zasad udzielania uprawnień |
| microsoft.directory/permissionGrantPolicies/create | Tworzenie zasad udzielania uprawnień |
| microsoft.directory/permissionGrantPolicies/delete | Usuwanie zasad udzielania uprawnień |