Permissões de aplicativos corporativos para funções personalizadas no Microsoft Entra ID
Este artigo contém as permissões de aplicativo empresarial atualmente disponíveis para definições de função personalizadas no Microsoft Entra ID. Neste artigo, você encontrará listas de permissões para alguns cenários comuns e a lista completa de permissões de aplicativos corporativos.
Requisitos de licença
O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os requisitos, veja Comparar as funcionalidades geralmente disponíveis do Microsoft Entra ID.
Permissões de aplicativos corporativos
Para obter mais informações sobre como usar essas permissões, consulte Atribuir funções personalizadas para gerenciar aplicativos corporativos
Atribuindo usuários ou grupos a um aplicativo
Para delegar a atribuição de usuários e grupos que podem acessar aplicativos de logon único baseados em SAML. Permissões necessárias
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Criando aplicativos de galeria
Delegar a criação de aplicações Microsoft Entra Gallery como ServiceNow, F5, Salesforce, entre outras. Permissões necessárias:
- microsoft.directory/applicationTemplates/instanciar
Configurando URLs SAML básicas
Para delegar a atualização e a leitura de configurações básicas de SAML para aplicativos de logon único baseados em SAML. Permissões necessárias:
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
Rolagem ou criação de certificados de assinatura
Para delegar o gerenciamento de certificados de assinatura para aplicativos de logon único baseados em SAML. Permissões necessárias.
microsoft.directory/servicePrincipals/credentials/update
Atualizar o endereço de e-mail de notificação de certificado de entrada expirando
Para delegar a atualização de endereços de e-mail de notificação de certificados de entrada expirando para aplicativos de logon único baseados em SAML. Permissões necessárias:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
Gerenciar assinatura de token SAML e algoritmo de entrada
Para delegar a atualização da assinatura do token SAML e do algoritmo de entrada para aplicativos de logon único baseados em SAML. Permissões necessárias:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/aplicativos/autenticação/atualização
- microsoft.directory/servicePrincipals/policies/update
Gerenciar atributos e declarações do usuário
Para delegar a criação, exclusão e atualização de atributos de usuário e declarações para aplicativos de logon único baseados em SAML. Permissões necessárias:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/aplicativos/autenticação/atualização
- microsoft.directory/servicePrincipals/policies/update
Permissões de provisionamento de aplicativos
A execução de qualquer operação de gravação, como o gerenciamento do trabalho, esquema ou credenciais por meio da interface do usuário, também exigirá as permissões de leitura para exibir a página de provisionamento.
Definir o escopo para todos os usuários e grupos ou usuários e grupos atribuídos atualmente requer as permissões synchronizationJob e synchronizationCredentials.
Ativar ou reiniciar trabalhos de provisionamento
Para delegar a capacidade de ativar, desativar e reiniciar trabalhos de provisionamento. Permissões necessárias:
- microsoft.directory/servicePrincipals/synchronizationJobs/gerenciar
Configurar o esquema de provisionamento
Para delegar atualizações ao mapeamento de atributos. Permissões necessárias:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Ler as configurações de provisionamento associadas ao objeto do aplicativo
Para delegar a capacidade de ler as configurações de provisionamento associadas ao objeto. Permissões necessárias:
- microsoft.directory/aplicativos/sincronização/padrão/leitura
Ler as configurações de provisionamento associadas à sua entidade de serviço
Para delegar a capacidade de ler as configurações de provisionamento associadas à sua entidade de serviço. Permissões necessárias:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Autorizar o acesso ao aplicativo para provisionamento
Para delegar a capacidade de autorizar o acesso ao aplicativo para provisionamento. Exemplo de entrada Oauth bearer token. Permissões necessárias:
- microsoft.directory/servicePrincipals/synchronizationCredentials/gerenciar
Permissões de Proxy de Aplicativo
A execução de quaisquer operações de gravação nas propriedades do Proxy de Aplicativo do aplicativo também requer as permissões para atualizar as propriedades básicas e a autenticação do aplicativo.
Para ler e executar quaisquer operações de gravação nas propriedades do Proxy de Aplicativo do aplicativo também requer as permissões de leitura para exibir grupos de conectores, pois isso faz parte da lista de propriedades mostradas na página.
Delegar gerenciamento de conector de Proxy de Aplicativo
Para delegar ações de criação, leitura, atualização e exclusão para gerenciamento de conectores. Permissões necessárias:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/conectores/criar
Delegar gerenciamento de configurações de Proxy de Aplicativo
Para delegar ações de criação, leitura, atualização e exclusão para propriedades de Proxy de Aplicativo em um aplicativo. Permissões necessárias:
- microsoft.directory/applications/applicationProxy/leitura
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applications/basic/update
- microsoft.directory/aplicativos/autenticação/atualização
- microsoft.directory/connectorGroups/allProperties/read
Ler configurações de proxy de aplicativo para um aplicativo
Para delegar permissões de leitura para propriedades de Proxy de Aplicativo em um aplicativo. Permissões necessárias:
- microsoft.directory/applications/applicationProxy/leitura
- microsoft.directory/connectorGroups/allProperties/read
Atualizar configurações de URL de Proxy de Aplicativo para um aplicativo
Para delegar permissões de criação, leitura, atualização e exclusão (CRUD) para atualizar a URL externa do Proxy de Aplicativo, a URL interna e as propriedades do certificado SSL. Permissões necessárias:
- microsoft.directory/applications/applicationProxy/leitura
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.directory/aplicativos/autenticação/atualização
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
Lista completa de permissões
| Permissão | Description |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Leia todas as propriedades (incluindo propriedades privilegiadas) em políticas de aplicativo |
| microsoft.directory/applicationPolicies/allProperties/update | Atualizar todas as propriedades (incluindo propriedades privilegiadas) em políticas de aplicativo |
| microsoft.directory/applicationPolicies/basic/update | Atualizar propriedades padrão de políticas de aplicativos |
| microsoft.directory/applicationPolicies/create | Criar políticas de aplicativo |
| microsoft.directory/applicationPolicies/createAsOwner | Crie políticas de aplicativo e o criador é adicionado como o primeiro proprietário |
| microsoft.directory/applicationPolicies/excluir | Excluir políticas de aplicativo |
| microsoft.directory/applicationPolicies/owners/read | Leia os proprietários sobre as políticas do aplicativo |
| microsoft.directory/applicationPolicies/owners/update | Atualizar a propriedade do proprietário das políticas do aplicativo |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Ler políticas de aplicativos aplicadas à lista de objetos |
| microsoft.directory/applicationPolicies/standard/read | Leia as propriedades padrão das políticas de aplicativos |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Criar e excluir entidades de serviço e ler e atualizar todas as propriedades |
| microsoft.directory/servicePrincipals/allProperties/read | Leia todas as propriedades (incluindo propriedades privilegiadas) em servicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update | Atualizar todas as propriedades (incluindo propriedades privilegiadas) em servicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Ler atribuições de função principal de serviço |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Atualizar atribuições de função principal de serviço |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Ler atribuições de função atribuídas a entidades de serviço |
| microsoft.directory/servicePrincipals/audience/update | Atualizar propriedades de audiência em entidades de serviço |
| microsoft.directory/servicePrincipals/authentication/update | Atualizar propriedades de autenticação em entidades de serviço |
| microsoft.directory/servicePrincipals/basic/update | Atualizar propriedades básicas em entidades de serviço |
| microsoft.directory/servicePrincipals/create | Criar principais de serviço |
| microsoft.directory/servicePrincipals/createAsOwner | Crie entidades de serviço, com o criador como o primeiro proprietário |
| microsoft.directory/servicePrincipals/credentials/update | Atualizar credenciais de entidades de serviço |
| microsoft.directory/servicePrincipals/excluir | Excluir entidades de serviço |
| microsoft.directory/servicePrincipals/disable | Desativar entidades de serviço |
| microsoft.directory/servicePrincipals/enable | Habilitar entidades de serviço |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Ler credenciais de logon único de senha em entidades de serviço |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Gerenciar credenciais de logon único de senha em entidades de serviço |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Ler concessões de permissão delegada em entidades de serviço |
| microsoft.directory/servicePrincipals/owners/read | Ler proprietários de entidades de serviço |
| microsoft.directory/servicePrincipals/owners/update | Atualizar proprietários de entidades de serviço |
| microsoft.directory/servicePrincipals/permissions/update | Atualizar permissões de entidades de serviço |
| microsoft.directory/servicePrincipals/policies/read | Ler políticas de entidades de serviço |
| microsoft.directory/servicePrincipals/policies/update | Políticas de atualização de entidades de serviço |
| microsoft.directory/servicePrincipals/standard/read | Ler propriedades básicas de entidades de serviço |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Ler as configurações de provisionamento associadas à sua entidade de serviço |
| microsoft.directory/servicePrincipals/tag/update | Atualizar a propriedade tag para entidades de serviço |
| microsoft.directory/applicationTemplates/instanciar | Instanciar aplicativos de galeria a partir de modelos de aplicativo |
| microsoft.directory/auditLogs/allProperties/read | Leia todas as propriedades em logs de auditoria, incluindo propriedades privilegiadas |
| microsoft.directory/signInReports/allProperties/read | Leia todas as propriedades em relatórios de entrada, incluindo propriedades privilegiadas |
| microsoft.directory/applications/applicationProxy/leitura | Leia todas as propriedades de proxy de aplicativo |
| microsoft.directory/applications/applicationProxy/update | Atualizar todas as propriedades de proxy de aplicativo |
| microsoft.directory/applications/applicationProxyAuthentication/update | Atualizar a autenticação em todos os tipos de aplicativos |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Atualizar configurações de URL para proxy de aplicativo |
| microsoft.directory/applications/applicationProxySslCertificate/update | Atualizar configurações de certificado SSL para proxy de aplicativo |
| microsoft.directory/aplicativos/sincronização/padrão/leitura | Ler as configurações de provisionamento associadas ao objeto do aplicativo |
| microsoft.directory/connectorGroups/create | Criar grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/delete | Excluir grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/allProperties/read | Leia todas as propriedades de grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/allProperties/update | Atualizar todas as propriedades de grupos de conectores de rede privada |
| microsoft.directory/conectores/criar | Criar conectores de rede privada |
| microsoft.directory/connectors/allProperties/read | Leia todas as propriedades dos conectores de rede privada |
| microsoft.directory/servicePrincipals/synchronizationJobs/gerenciar | Iniciar, reiniciar e pausar trabalhos de sincronização de provisionamento de aplicativos |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Ler as configurações de provisionamento associadas à sua entidade de serviço |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Criar e gerenciar o provisionamento de aplicativos, trabalhos de sincronização e esquema |
| microsoft.directory/provisioningLogs/allProperties/read | Ler todas as propriedades dos logs de provisionamento |