Разрешения корпоративного приложения для пользовательских ролей в идентификаторе Microsoft Entra
Эта статья содержит доступные в настоящее время разрешения корпоративного приложения для определений пользовательских ролей в идентификаторе Microsoft Entra. В ней вы найдете списки разрешений для нескольких распространенных сценариев, а также полный список разрешений корпоративных приложений.
Требования к лицензиям
Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.
Разрешения корпоративных приложений
Дополнительные сведения об использовании этих разрешений см. в статье Назначение пользовательских ролей для управления корпоративными приложениями.
Назначение пользователей или групп приложению
Позволяет делегировать назначение пользователей или групп, которые смогут использовать приложения с единым входом на основе SAML. Требуемые разрешения
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Создание приложений в коллекции
Чтобы делегировать создание приложений коллекции Microsoft Entra, таких как ServiceNow, F5, Salesforce, среди прочего. Необходимые разрешения:
- microsoft.directory/applicationTemplates/instantiate
Настройка базовых URL-адресов SAML
Позволяет делегировать обновление и чтение базовых конфигураций SAML для приложений с единым входом на основе SAML. Необходимые разрешения:
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
Смена или создание сертификатов для подписи
Позволяет делегировать управление сертификатами для подписи для приложений с единым входом на основе SAML. Необходимые разрешения:
microsoft.directory/servicePrincipals/credentials/update
Изменение адреса электронной почты для уведомлений об истечении срока действия сертификата
Позволяет делегировать изменение адреса электронной почты для уведомлений об истечении срока действия сертификата для приложений с единым входом на основе SAML. Необходимые разрешения:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
Управление алгоритмом подписи и входа для токенов SAML
Позволяет делегировать изменение алгоритма подписи и входа для токенов SAML для приложений с единым входом на основе SAML. Необходимые разрешения:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Управление атрибутами и утверждениями пользователя
Позволяет делегировать создание, удаление и обновление атрибутов и утверждений пользователя для приложений с единым входом на основе SAML. Необходимые разрешения:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Разрешения на подготовку приложения к работе
Выполнение любых операций записи, таких как управление заданием, схемой или учетными данными через пользовательский интерфейс, требует также разрешений на чтение для просмотра страницы подготовки к работе.
Чтобы указать всех или назначенных пользователей или группы в качестве области действия, в настоящее время необходимо присвоить одновременно разрешения synchronizationJob и synchronizationCredentials.
Включение или перезапуск заданий подготовки к работе
Позволяет делегировать возможность включать, выключать и перезапускать задания подготовки к работе. Необходимые разрешения:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
Настройка схемы подготовки к работе
Позволяет делегировать изменение схемы сопоставления атрибутов. Необходимые разрешения:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Чтение параметров подготовки к работе, связанных с объектом приложения
Позволяет делегировать возможность читать параметры подготовки к работе, связанные с объектом. Необходимые разрешения:
- microsoft.directory/applications/synchronization/standard/read
Чтение параметров подготовки к работе, связанных с субъектом-службой
Позволяет делегировать возможность читать параметры подготовки к работе, связанные с объектом. Необходимые разрешения:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Авторизация доступа к приложениям для подготовки к работе
Позволяет делегировать возможность разрешать доступ к приложениям для подготовки к работе. Пример входящего маркера носителя OAuth. Необходимые разрешения:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Разрешения Application Proxy
Для выполнения любых операций записи со свойствами Application Proxy приложения также требуются разрешения на обновление основных свойств и проверки подлинности приложения.
Для чтения свойств Application Proxy приложения и выполнения любых операций записи с ними также требуются разрешения на чтение для просмотра групп соединителей, так как они входят в состав списка свойств, представленного на странице.
Делегирование управления соединителями Application Proxy
Делегирование действий создания, чтения, обновления и удаления для управления соединителями. Необходимые разрешения:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
Делегирование управления параметрами Application Proxy
Делегирование действий создания, чтения, обновления и удаления свойств Application Proxy в приложении. Необходимые разрешения:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/connectorGroups/allProperties/read
Чтение параметров Application Proxy для приложения
Делегирование разрешений на чтение для свойств Application Proxy в приложении. Необходимые разрешения:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
Обновление параметров Application Proxy конфигурации URL-адреса для приложения
Делегирование разрешений на создание, чтение, обновление и удаление (CRUD) для обновления свойств внешнего URL-адреса, внутреннего URL-адреса и сертификата SSL Application Proxy. Необходимые разрешения:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
Полный список разрешений
| Разрешение | Description |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Чтение всех свойств (включая привилегированные свойства) в политиках приложений |
| microsoft.directory/applicationPolicies/allProperties/update | Обновление всех свойств (включая привилегированные свойства) в политиках приложений |
| microsoft.directory/applicationPolicies/basic/update | Обновление стандартных свойств политик приложений |
| microsoft.directory/applicationPolicies/create | Создание политик приложений |
| microsoft.directory/applicationPolicies/createAsOwner | Создание политик приложений и добавление создателя в качестве первого владельца |
| microsoft.directory/applicationPolicies/delete | Удаление политик приложений |
| microsoft.directory/applicationPolicies/owners/read | Чтение сведений о владельцах политик приложений |
| microsoft.directory/applicationPolicies/owners/update | Обновление свойства владельца политик приложений |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Чтение списка политик приложений, назначенных объекту |
| microsoft.directory/applicationPolicies/standard/read | Чтение стандартных свойств политик приложений |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Создание и удаление субъектов-служб, а также чтение и обновление всех свойств |
| microsoft.directory/servicePrincipals/allProperties/read | Чтение всех свойств (включая привилегированные свойства) для servicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update | Обновление всех свойств (включая привилегированные свойства) в servicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Чтение назначений ролей субъекта-службы |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Обновление назначений ролей для субъекта-службы |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Чтение назначений ролей, назначенных субъекту-службе |
| microsoft.directory/servicePrincipals/audience/update | Обновление свойств аудитории для субъектов-служб |
| microsoft.directory/servicePrincipals/authentication/update | Обновление свойств проверки подлинности для субъектов-служб |
| microsoft.directory/servicePrincipals/basic/update | Обновление базовых свойств для субъектов-служб |
| microsoft.directory/servicePrincipals/create | Создание субъектов-служб |
| microsoft.directory/servicePrincipals/createAsOwner | Создание субъектов-служб с создателем в качестве первого владельца |
| microsoft.directory/servicePrincipals/credentials/update | Обновление учетных данных субъектов-служб |
| microsoft.directory/servicePrincipals/delete | Удаление субъектов-служб |
| microsoft.directory/servicePrincipals/disable | Отключение субъектов-служб |
| microsoft.directory/servicePrincipals/enable | Включение субъектов-служб |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Чтение учетных данных для единого входа на основе пароля в субъектах-службах |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Управление учетными данными для единого входа на основе пароля в субъектах-службах |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Чтение данных об операциях предоставления делегированных разрешений для субъекта-служб |
| microsoft.directory/servicePrincipals/owners/read | Чтение сведений о владельцах субъектов-служб |
| microsoft.directory/servicePrincipals/owners/update | Обновление владельцев субъектов-служб |
| microsoft.directory/servicePrincipals/permissions/update | Обновление разрешений субъектов-служб |
| microsoft.directory/servicePrincipals/policies/read | Чтение политик субъектов-служб |
| microsoft.directory/servicePrincipals/policies/update | Обновление политик для субъектов-служб |
| microsoft.directory/servicePrincipals/standard/read | Чтение базовых свойств субъектов-служб |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Чтение параметров подготовки к работе, связанных с субъектом-службой |
| microsoft.directory/servicePrincipals/tag/update | Обновление свойства тега для субъектов-служб |
| microsoft.directory/applicationTemplates/instantiate | Создание экземпляров приложений коллекции из шаблонов приложений |
| microsoft.directory/auditLogs/allProperties/read | Чтение всех свойств журналов аудита, включая привилегированные свойства |
| microsoft.directory/signInReports/allProperties/read | Чтение всех свойств отчета о входах, включая привилегированные свойства |
| microsoft.directory/applications/applicationProxy/read | Чтение всех свойств прокси приложения |
| microsoft.directory/applications/applicationProxy/update | Обновление всех свойств прокси приложения |
| microsoft.directory/applications/applicationProxyAuthentication/update | Обновление проверки подлинности для всех типов приложений |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Обновление параметров URL-адреса для Application Proxy |
| microsoft.directory/applications/applicationProxySslCertificate/update | Обновление параметров SSL-сертификата для Application Proxy |
| microsoft.directory/applications/synchronization/standard/read | Чтение параметров подготовки к работе, связанных с объектом приложения |
| microsoft.directory/connectorGroups/create | Создание групп соединителей частной сети |
| microsoft.directory/connectorGroups/delete | Удаление групп соединителей частной сети |
| microsoft.directory/connectorGroups/allProperties/read | Чтение всех свойств групп соединителей частной сети |
| microsoft.directory/connectorGroups/allProperties/update | Обновление всех свойств групп соединителей частной сети |
| microsoft.directory/connectors/create | Создание соединителей частной сети |
| microsoft.directory/connectors/allProperties/read | Чтение всех свойств соединителей частной сети |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Чтение параметров подготовки к работе, связанных с субъектом-службой |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Создание заданий и схем синхронизации подготовки приложений и управление ими |
| microsoft.directory/provisioningLogs/allProperties/read | Чтение всех свойств журналов подготовки к работе. |