Uprawnienia zgody aplikacji dla ról niestandardowych w usłudze Microsoft Entra ID

Ten artykuł zawiera obecnie dostępne uprawnienia zgody aplikacji dla niestandardowych definicji ról w identyfikatorze Entra firmy Microsoft. W tym artykule znajdziesz uprawnienia wymagane dla niektórych typowych scenariuszy związanych ze zgodą i uprawnieniami aplikacji.

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.

Uprawnienia dotyczące zgód aplikacji

Użyj uprawnień wymienionych w tym artykule, aby zarządzać zasadami zgody aplikacji, a także uprawnieniami do udzielania zgody na aplikacje.

Uwaga

Centrum administracyjne firmy Microsoft Entra nie obsługuje jeszcze dodawania uprawnień wymienionych w tym artykule do niestandardowej definicji roli katalogu. Aby utworzyć rolę katalogu niestandardowego z uprawnieniami wymienionymi w tym artykule, musisz użyć programu Microsoft Graph PowerShell.

Udzielanie delegowanych uprawnień do aplikacji w imieniu siebie (zgoda użytkownika)

Aby zezwolić użytkownikom na wyrażanie zgody na aplikacje w imieniu siebie (zgoda użytkownika), podlegają zasadom zgody aplikacji.

• microsoft.directory/servicePrincipals/managePermissionGrantsForSelf. {id}

Gdzie {id} jest zastępowany przez identyfikator zasad zgody aplikacji, które ustawi warunki, które muszą zostać spełnione, aby to uprawnienie było aktywne.

Aby na przykład zezwolić użytkownikom na udzielanie zgody we własnym imieniu, z zastrzeżeniem wbudowanych zasad zgody aplikacji o identyfikatorze microsoft-user-default-low, należy użyć uprawnienia ...managePermissionGrantsForSelf.microsoft-user-default-low.

Udzielanie uprawnień do aplikacji w imieniu wszystkich (zgoda administratora)

Aby delegować zgodę administratora dla całej dzierżawy na aplikacje, zarówno dla uprawnień delegowanych, jak i uprawnień aplikacji (ról aplikacji):

• microsoft.directory/servicePrincipals/managePermissionGrantsForAll. {id}

Gdzie {id} jest zastępowany przez identyfikator zasad zgody aplikacji, które będą ustawiać warunki, które muszą zostać spełnione, aby to uprawnienie było możliwe do użycia.

Aby na przykład zezwolić przypisom ról na udzielanie zgody administratora dla całej dzierżawy na aplikacje podlegające niestandardowym zasadom zgody aplikacji o identyfikatorze low-risk-any-app, należy użyć uprawnienia microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.

Zarządzanie zasadami zgody aplikacji

Aby delegować tworzenie, aktualizowanie i usuwanie zasad zgody aplikacji.

• microsoft.directory/permissionGrantPolicies/create
• microsoft.directory/permissionGrantPolicies/standard/read
• microsoft.directory/permissionGrantPolicies/basic/update
• microsoft.directory/permissionGrantPolicies/delete

Pełna lista uprawnień

Uprawnienie	opis
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf. {id}	Przyznaje możliwość wyrażania zgody na aplikacje w imieniu siebie (zgody użytkownika) z zastrzeżeniem zasad {id}zgody aplikacji.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll. {id}	Przyznaje uprawnienie do wyrażania zgody na aplikacje w imieniu wszystkich (zgoda administratora dla całej dzierżawy), z zastrzeżeniem zasad {id}zgody aplikacji.
microsoft.directory/permissionGrantPolicies/standard/read	Odczytywanie standardowych właściwości zasad udzielania uprawnień
microsoft.directory/permissionGrantPolicies/basic/update	Aktualizowanie podstawowych właściwości zasad udzielania uprawnień
microsoft.directory/permissionGrantPolicies/create	Tworzenie zasad udzielania uprawnień
microsoft.directory/permissionGrantPolicies/delete	Usuwanie zasad udzielania uprawnień

Następne kroki

• Tworzenie i przypisywanie roli niestandardowej w identyfikatorze Entra firmy Microsoft
• Wyświetlanie przypisań roli niestandardowej