Behörigheter för företagsprogram för anpassade roller i Azure Active Directory

Den här artikeln innehåller de för närvarande tillgängliga behörigheterna för företagsprogram för anpassade rolldefinitioner i Azure Active Directory (Azure AD). I den här artikeln hittar du behörighetslistor för några vanliga scenarier och en fullständig lista över behörigheter för företagsappar.

Licenskrav

Användning av den här funktionen kräver Azure AD Premium P1 licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Azure AD.

Behörigheter för företagsprogram

Mer information om hur du använder dessa behörigheter finns i Tilldela anpassade roller för att hantera företagsappar

Tilldela användare eller grupper till ett program

Delegera tilldelningen av användare och grupper som har åtkomst till SAML-baserade program för enkel inloggning. Behörigheter som krävs

  • microsoft.directory/servicePrincipals/appRoleAssignedTo/update

För att delegera skapandet av Azure AD galleriprogram som ServiceNow, F5, Salesforce, bland andra. Behörigheter som krävs:

  • microsoft.directory/applicationTemplates/instantiate

Konfigurera grundläggande SAML-URL:er

Delegera uppdateringen och läsningen av grundläggande SAML-konfigurationer för SAML-baserade program för enkel inloggning. Behörigheter som krävs:

  • microsoft.directory/servicePrincipals/authentication/update
  • microsoft.directory/applications.myOrganization/authentication/update

Rulla över eller skapa signeringscertifikat

Delegera hanteringen av signeringscertifikat för SAML-baserade program för enkel inloggning. Behörigheter krävs.

microsoft.directory/servicePrincipals/credentials/update

Uppdatera e-postadress för utgående inloggningscertifikat

Så här delegerar du uppdateringen av e-postadresser för utgående inloggningscertifikat för SAML-baserade program för enkel inloggning. Behörigheter som krävs:

  • microsoft.directory/applications.myOrganization/authentication/update
  • microsoft.directory/applications.myOrganization/permissions/update
  • microsoft.directory/servicePrincipals/authentication/update
  • microsoft.directory/servicePrincipals/basic/update

Hantera SAML-tokensignatur och inloggningsalgoritm

Delegera uppdateringen av SAML-tokensignaturen och inloggningsalgoritmen för SAML-baserade program för enkel inloggning. Behörigheter som krävs:

  • microsoft.directory/applicationPolicies/basic/update
  • microsoft.directory/applications/authentication/update
  • microsoft.directory/servicePrincipals/policies/update

Hantera användarattribut och anspråk

Delegera skapa, ta bort och uppdatera användarattribut och anspråk för SAML-baserade program för enkel inloggning. Behörigheter som krävs:

  • microsoft.directory/applicationPolicies/basic/update
  • microsoft.directory/applications/authentication/update
  • microsoft.directory/servicePrincipals/policies/update

Appetableringsbehörigheter

Om du utför någon skrivåtgärd, till exempel att hantera jobbet, schemat eller autentiseringsuppgifterna via användargränssnittet, krävs också läsbehörighet för att visa etableringssidan.

Omfånget för alla användare och grupper eller tilldelade användare och grupper kräver för närvarande både behörigheterna synchronizationJob och synchronizationCredentials.

Aktivera eller starta om etableringsjobb

För att delegera möjligheten att aktivera, inaktivera och starta om etableringsjobb. Behörigheter som krävs:

  • microsoft.directory/servicePrincipals/synchronizationJobs/manage

Konfigurera etableringsschemat

Så här delegerar du uppdateringar av attributmappning. Behörigheter som krävs:

  • microsoft.directory/servicePrincipals/synchronizationSchema/manage

Läsa etableringsinställningar som är associerade med programobjektet

Delegera möjligheten att läsa etableringsinställningar som är associerade med objektet. Behörigheter som krävs:

  • microsoft.directory/applications/synchronization/standard/read

Läsa etableringsinställningar som är associerade med tjänstens huvudnamn

Delegera möjligheten att läsa etableringsinställningar som är associerade med tjänstens huvudnamn. Behörigheter som krävs:

  • microsoft.directory/servicePrincipals/synchronization/standard/read

Auktorisera programåtkomst för etablering

Delegera möjligheten att auktorisera programåtkomst för etablering. Exempel på Oauth-ägartoken för indata. Behörigheter som krävs:

  • microsoft.directory/servicePrincipals/synchronizationCredentials/manage

Programproxy behörigheter

Om du utför skrivåtgärder till programmets Programproxy egenskaper måste du också ha behörighet att uppdatera programmets grundläggande egenskaper och autentisering.

För att läsa och utföra skrivåtgärder till Programproxy egenskaper för programmet krävs också läsbehörighet för att visa anslutningsgrupper eftersom detta är en del av listan över egenskaper som visas på sidan.

Delegera hantering av Programproxy anslutningsapp

För att delegera åtgärder för att skapa, läsa, uppdatera och ta bort för hantering av anslutningsappar. Behörigheter som krävs:

  • microsoft.directory/connectorGroups/allProperties/read
  • microsoft.directory/connectorGroups/allProperties/update
  • microsoft.directory/connectorGroups/create
  • microsoft.directory/connectorGroups/delete
  • microsoft.directory/connectors/allProperties/read
  • microsoft.directory/connectors/create

Delegera hantering av Programproxy inställningar

För att delegera åtgärder för att skapa, läsa, uppdatera och ta bort för Programproxy egenskaper i en app. Behörigheter som krävs:

  • microsoft.directory/applications/applicationProxy/read
  • microsoft.directory/applications/applicationProxy/update
  • microsoft.directory/applications/applicationProxyAuthentication/update
  • microsoft.directory/applications/applicationProxySslCertificate/update
  • microsoft.directory/applications/applicationProxyUrlSettings/update
  • microsoft.directory/applications/basic/update
  • microsoft.directory/applications/authentication/update
  • microsoft.directory/connectorGroups/allProperties/read

Läsa Programproxy inställningar för en app

Delegera läsbehörigheter för Programproxy egenskaper i en app. Behörigheter som krävs:

  • microsoft.directory/applications/applicationProxy/read
  • microsoft.directory/connectorGroups/allProperties/read

Uppdatera URL-konfiguration Programproxy inställningar för en app

Delegera behörigheterna skapa, läsa, uppdatera och ta bort (CRUD) för att uppdatera Programproxy externa URL,intern URL och SSL-certifikategenskaper. Behörigheter som krävs:

  • microsoft.directory/applications/applicationProxy/read
  • microsoft.directory/connectorGroups/allProperties/read
  • microsoft.directory/applications/basic/update
  • microsoft.directory/applications/authentication/update
  • microsoft.directory/applications/applicationProxyAuthentication/update
  • microsoft.directory/applications/applicationProxySslCertificate/update
  • microsoft.directory/applications/applicationProxyUrlSettings/update

Fullständig lista över behörigheter

Behörighet Description
microsoft.directory/applicationPolicies/allProperties/read Läs alla egenskaper (inklusive privilegierade egenskaper) i programprinciper
microsoft.directory/applicationPolicies/allProperties/update Uppdatera alla egenskaper (inklusive privilegierade egenskaper) för programprinciper
microsoft.directory/applicationPolicies/basic/update Uppdatera standardegenskaper för programprinciper
microsoft.directory/applicationPolicies/create Skapa programprinciper
microsoft.directory/applicationPolicies/createAsOwner Skapa programprinciper och skapare läggs till som första ägare
microsoft.directory/applicationPolicies/delete Ta bort programprinciper
microsoft.directory/applicationPolicies/owners/read Läs ägare om programprinciper
microsoft.directory/applicationPolicies/owners/update Uppdatera ägaregenskapen för programprinciper
microsoft.directory/applicationPolicies/policyAppliedTo/read Läsa programprinciper som tillämpas på objektlistan
microsoft.directory/applicationPolicies/standard/read Läsa standardegenskaper för programprinciper
microsoft.directory/servicePrincipals/allProperties/allTasks Skapa och ta bort tjänstens huvudnamn och läs och uppdatera alla egenskaper
microsoft.directory/servicePrincipals/allProperties/read Läs alla egenskaper (inklusive privilegierade egenskaper) i servicePrincipals
microsoft.directory/servicePrincipals/allProperties/update Uppdatera alla egenskaper (inklusive privilegierade egenskaper) på servicePrincipals
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Läsa rolltilldelningar för tjänstens huvudnamn
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Uppdatera rolltilldelningar för tjänstens huvudnamn
microsoft.directory/servicePrincipals/appRoleAssignments/read Läsa rolltilldelningar som tilldelats tjänstens huvudnamn
microsoft.directory/servicePrincipals/audience/update Uppdatera målgruppsegenskaper för tjänstens huvudnamn
microsoft.directory/servicePrincipals/authentication/update Uppdatera autentiseringsegenskaper för tjänstens huvudnamn
microsoft.directory/servicePrincipals/basic/update Uppdatera grundläggande egenskaper för tjänstens huvudnamn
microsoft.directory/servicePrincipals/create Skapa tjänsthuvudnamn
microsoft.directory/servicePrincipals/createAsOwner Skapa tjänstens huvudnamn med skaparen som första ägare
microsoft.directory/servicePrincipals/credentials/update Uppdatera autentiseringsuppgifter för tjänstens huvudnamn
microsoft.directory/servicePrincipals/delete Ta bort tjänstens huvudnamn
microsoft.directory/servicePrincipals/disable Inaktivera tjänstens huvudnamn
microsoft.directory/servicePrincipals/enable Aktivera tjänstens huvudnamn
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Läsa autentiseringsuppgifter för enkel inloggning med lösenord på tjänstens huvudnamn
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Hantera autentiseringsuppgifter för enkel inloggning med lösenord på tjänstens huvudnamn
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Läs delegerade behörighetsbidrag för tjänstens huvudnamn
microsoft.directory/servicePrincipals/owners/read Läs ägare av tjänstens huvudnamn
microsoft.directory/servicePrincipals/owners/update Uppdatera ägare av tjänstens huvudnamn
microsoft.directory/servicePrincipals/permissions/update Uppdatera behörigheter för tjänstens huvudnamn
microsoft.directory/servicePrincipals/policies/read Läsa principer för tjänstens huvudnamn
microsoft.directory/servicePrincipals/policies/update Uppdatera principer för tjänstens huvudnamn
microsoft.directory/servicePrincipals/standard/read Läs grundläggande egenskaper för tjänstens huvudnamn
microsoft.directory/servicePrincipals/synchronization/standard/read Läsa etableringsinställningar som är associerade med tjänstens huvudnamn
microsoft.directory/servicePrincipals/tag/update Uppdatera taggegenskapen för tjänstens huvudnamn
microsoft.directory/applicationTemplates/instantiate Instansiera galleriprogram från programmallar
microsoft.directory/auditLogs/allProperties/read Läs alla egenskaper i granskningsloggar, inklusive privilegierade egenskaper
microsoft.directory/signInReports/allProperties/read Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper
microsoft.directory/applications/applicationProxy/read Läsa alla egenskaper för programproxy
microsoft.directory/applications/applicationProxy/update Uppdatera alla egenskaper för programproxy
microsoft.directory/applications/applicationProxyAuthentication/update Uppdatera autentisering för alla typer av program
microsoft.directory/applications/applicationProxyUrlSettings/update Uppdatera URL-inställningar för programproxy
microsoft.directory/applications/applicationProxySslCertificate/update Uppdatera SSL-certifikatinställningar för programproxy
microsoft.directory/applications/synchronization/standard/read Läsa etableringsinställningar som är associerade med programobjektet
microsoft.directory/connectorGroups/create Skapa programproxyanslutningsgrupper
microsoft.directory/connectorGroups/delete Ta bort programproxyanslutningsgrupper
microsoft.directory/connectorGroups/allProperties/read Läs alla egenskaper för programproxyanslutningsgrupper
microsoft.directory/connectorGroups/allProperties/update Uppdatera alla egenskaper för programproxyanslutningsgrupper
microsoft.directory/connectors/create Skapa anslutningsappar för programproxy
microsoft.directory/connectors/allProperties/read Läs alla egenskaper för programproxyanslutningsprogram
microsoft.directory/servicePrincipals/synchronizationJobs/manage Starta, starta om och pausa synkroniseringsjobb för programetablering
microsoft.directory/servicePrincipals/synchronization/standard/read Läsa etableringsinställningar som är associerade med tjänstens huvudnamn
microsoft.directory/servicePrincipals/synchronizationSchema/manage Skapa och hantera synkroniseringsjobb och schema för programetablering
microsoft.directory/provisioningLogs/allProperties/read Läs alla egenskaper för etableringsloggar

Nästa steg