Compartilhar via


Permissões de consentimento de aplicativo para funções personalizadas no ID do Microsoft Entra

Esse artigo contém as permissões de consentimento de aplicativo atualmente disponíveis para definições de função personalizadas no ID do Microsoft Entra. Neste artigo, você encontrará as permissões necessárias para alguns cenários comuns relacionados ao consentimento e às permissões do aplicativo.

Requisitos de licença

O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.

Use as permissões listadas neste artigo para gerenciar as políticas de consentimento do aplicativo, bem como a permissão para conceder consentimento aos aplicativos.

Observação

O centro de administração do Microsoft Entra ainda não oferece suporte à adição das permissões listadas neste artigo a uma definição de função de diretório personalizada. Você deve usar o Microsoft Graph PowerShell para criar uma função de diretório personalizada com as permissões listadas neste artigo.

Para permitir que os usuários concedam consentimento a aplicativos em nome de si mesmos (consentimento do usuário), sujeito a uma política de consentimento do aplicativo.

  • microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}

Em que {id} é substituído pela ID de uma política de consentimento do aplicativo que definirá as condições que precisam ser atendidas para que essa permissão esteja ativa.

Por exemplo, para permitir que os usuários deem consentimento em nome deles, sujeito à política de consentimento do aplicativo interno com a ID microsoft-user-default-low, você usaria a permissão ...managePermissionGrantsForSelf.microsoft-user-default-low.

Para delegar consentimento do administrador em todo o locatário a aplicativos, para permissões delegadas e permissões de aplicativo (funções de aplicativo):

  • microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}

Em que {id} é substituído pela ID de uma política de consentimento do aplicativo que definirá as condições que precisam ser atendidas para que essa permissão seja passível de ser usada.

Por exemplo, para permitir que as atribuições de função deem consentimento do administrador em todo o locatário a aplicativos sujeitos a uma política de consentimento do aplicativo personalizada com a ID low-risk-any-app, você usaria a permissão microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.

Para delegar a criação, a atualização e a exclusão de políticas de consentimento do aplicativo.

  • microsoft.directory/permissionGrantPolicies/create
  • microsoft.directory/permissionGrantPolicies/standard/read
  • microsoft.directory/permissionGrantPolicies/basic/update
  • microsoft.directory/permissionGrantPolicies/delete

Lista completa de permissões

Permissão Descrição
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} Concede a capacidade de dar consentimento a aplicativos no próprio nome (consentimento do usuário), sujeito à política de consentimento do aplicativo {id}.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} Concede a permissão para dar consentimento a aplicativos em nome de todos (consentimento do administrador em todo o locatário), sujeito à política de consentimento do aplicativo {id}.
microsoft.directory/permissionGrantPolicies/standard/read Ler as propriedades padrão das políticas de concessão de permissão
microsoft.directory/permissionGrantPolicies/basic/update Atualizar todas as propriedades das políticas de concessão de permissão
microsoft.directory/permissionGrantPolicies/create Criar as políticas de concessão de permissão
microsoft.directory/permissionGrantPolicies/delete Excluir as políticas de concessão de permissão

Próximas etapas