Microsoft Entra ID 中自定義角色的企業應用程式許可權
本文包含 Microsoft Entra ID 中自定義角色定義的目前可用的企業應用程式許可權。 在本文中,您將找到一些常見案例的許可權清單,以及企業應用程式許可權的完整清單。
授權需求
使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
企業應用程式許可權
如需如何使用這些許可權的詳細資訊,請參閱 指派自定義角色來管理企業應用程式
將使用者或群組指派給應用程式
委派可存取 SAML 型單一登錄應用程式的使用者和群組指派。 需要的權限
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
建立資源庫應用程式
委派建立 Microsoft Entra Gallery 應用程式,例如 ServiceNow、F5、Salesforce 等。 需要的權限:
- microsoft.directory/applicationTemplates/instantiate
設定基本 SAML URL
委派 SAML 型單一登錄應用程式之基本 SAML 組態的更新和讀取。 需要的權限:
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
變換或建立簽署憑證
委派 SAML 型單一登錄應用程式的簽署憑證管理。 需要的許可權。
microsoft.directory/servicePrincipals/credentials/update
更新即將到期的登入憑證通知電子郵件位址
委派 SAML 型單一登錄應用程式的過期登入憑證通知電子郵件位址更新。 需要的權限:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
管理 SAML 令牌簽章和登入演算法
委派 SAML 令牌簽章和 SAML 型單一登錄應用程式的登入演算法更新。 需要的權限:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
管理用戶屬性和宣告
委派 SAML 型單一登錄應用程式的建立、刪除和更新使用者屬性和宣告。 需要的權限:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
應用程式布建許可權
執行任何寫入作業,例如透過UI管理作業、架構或認證,也需要讀取許可權才能檢視布建頁面。
將範圍設定為所有使用者和群組或指派的使用者和群組,目前需要 synchronizationJob 和 synchronizationCredentials 許可權。
開啟或重新啟動布建作業
若要委派開啟、關閉和重新啟動布建作業的能力。 需要的權限:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
設定布建架構
將更新委派給屬性對應。 需要的權限:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
讀取此應用程式物件相關聯的佈建設定
委派讀取與 對象相關聯的布建設定的能力。 需要的權限:
- microsoft.directory/applications/synchronization/standard/read
讀取您服務主體相關聯的佈建設定
委派讀取與服務主體相關聯布建設定的能力。 需要的權限:
- microsoft.directory/servicePrincipals/synchronization/standard/read
授權應用程式存取以進行布建
委派授權應用程式存取權以進行布建的能力。 範例輸入 Oauth 持有人令牌。 需要的權限:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
應用程式 Proxy許可權
對應用程式 應用程式 Proxy 屬性執行任何寫入作業,也需要許可權來更新應用程式的基本屬性和驗證。
若要讀取和執行應用程式 應用程式 Proxy 屬性的任何寫入作業,也需要讀取許可權才能檢視連接器群組,因為這是頁面上所顯示屬性清單的一部分。
委派 應用程式 Proxy 連接器管理
若要委派連接器管理的建立、讀取、更新和刪除動作。 需要的權限:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
委派 應用程式 Proxy 設定管理
若要委派應用程式上 應用程式 Proxy 屬性的建立、讀取、更新和刪除動作。 需要的權限:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/connectorGroups/allProperties/read
讀取應用程式的 應用程式 Proxy 設定
委派應用程式上 應用程式 Proxy 屬性的讀取許可權。 需要的權限:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
更新應用程式的 URL 組態 應用程式 Proxy 設定
委派用來更新 應用程式 Proxy 外部 URL、內部 URL 和 SSL 憑證屬性的建立、讀取、更新和刪除 (CRUD) 許可權。 需要的權限:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
許可權的完整清單
權限 | 描述 |
---|---|
microsoft.directory/applicationPolicies/allProperties/read | 讀取應用程式原則上的所有屬性(包括特殊權限屬性) |
microsoft.directory/applicationPolicies/allProperties/update | 更新應用程式原則上的所有屬性(包括特殊許可權屬性) |
microsoft.directory/applicationPolicies/basic/update | 更新應用程式原則的標準屬性 |
microsoft.directory/applicationPolicies/create | 建立應用程式原則 |
microsoft.directory/applicationPolicies/createAsOwner | 建立應用程式原則,並新增建立者作為第一個擁有者 |
microsoft.directory/applicationPolicies/delete | 刪除應用程式原則 |
microsoft.directory/applicationPolicies/owners/read | 讀取應用程式原則的擁有者 |
microsoft.directory/applicationPolicies/owners/update | 更新應用程式原則的擁有者屬性 |
microsoft.directory/applicationPolicies/policyAppliedTo/read | 讀取套用到物件清單的應用程式原則 |
microsoft.directory/applicationPolicies/standard/read | 讀取應用程式原則的標準屬性 |
microsoft.directory/servicePrincipals/allProperties/allTasks | 建立和刪除服務主體,以及讀取和更新所有屬性 |
microsoft.directory/servicePrincipals/allProperties/read | 讀取 servicePrincipals 上的所有屬性 (包括特殊許可權屬性) |
microsoft.directory/servicePrincipals/allProperties/update | 更新 servicePrincipals 上的所有屬性(包括特殊許可權屬性) |
microsoft.directory/servicePrincipals/appRoleAssignedTo/read | 讀取服務主體角色指派 |
microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 更新服務主體的角色指派 |
microsoft.directory/servicePrincipals/appRoleAssignments/read | 讀取指派給服務主體的角色指派 |
microsoft.directory/servicePrincipals/audience/update | 更新服務主體的對象屬性 |
microsoft.directory/servicePrincipals/authentication/update | 更新服務主體的驗證屬性 |
microsoft.directory/servicePrincipals/basic/update | 更新服務主體的基本屬性 |
microsoft.directory/servicePrincipals/create | 建立服務主體 |
microsoft.directory/servicePrincipals/createAsOwner | 建立服務主體,建立者為第一個擁有者 |
microsoft.directory/servicePrincipals/credentials/update | 更新服務主體的認證 |
microsoft.directory/servicePrincipals/delete | 刪除服務主體 |
microsoft.directory/servicePrincipals/disable | 停用服務主體 |
microsoft.directory/servicePrincipals/enable | 啟用服務主體 |
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | 讀取服務主體的密碼單一登入認證 |
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | 管理服務主體上的密碼單一登入認證 |
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | 讀取服務主體的委派許可權授與 |
microsoft.directory/servicePrincipals/owners/read | 讀取服務主體的擁有者 |
microsoft.directory/servicePrincipals/owners/update | 更新服務主體的擁有者 |
microsoft.directory/servicePrincipals/permissions/update | 更新服務主體的權限 |
microsoft.directory/servicePrincipals/policies/read | 讀取服務主體的原則 |
microsoft.directory/servicePrincipals/policies/update | 更新服務主體的原則 |
microsoft.directory/servicePrincipals/standard/read | 讀取服務主體的基本屬性 |
microsoft.directory/servicePrincipals/synchronization/standard/read | 讀取您服務主體相關聯的佈建設定 |
microsoft.directory/servicePrincipals/tag/update | 更新服務主體的標籤屬性 |
microsoft.directory/applicationTemplates/instantiate | 從應用程式範本具現化資源庫應用程式 |
microsoft.directory/auditLogs/allProperties/read | 讀取稽核記錄上的所有屬性,包括特殊許可權屬性 |
microsoft.directory/signInReports/allProperties/read | 讀取登入報告上的所有屬性,包括特殊權限屬性 |
microsoft.directory/applications/applicationProxy/read | 讀取所有應用程式 Proxy 屬性 |
microsoft.directory/applications/applicationProxy/update | 更新所有應用程式 Proxy 屬性 |
microsoft.directory/applications/applicationProxyAuthentication/update | 更新所有類型的應用程式上的驗證 |
microsoft.directory/applications/applicationProxyUrlSettings/update | 更新應用程式 Proxy 的 URL 設定 |
microsoft.directory/applications/applicationProxySslCertificate/update | 更新應用程式 Proxy 的 SSL 憑證設定 |
microsoft.directory/applications/synchronization/standard/read | 讀取此應用程式物件相關聯的佈建設定 |
microsoft.directory/connectorGroups/create | 建立專用網連接器群組 |
microsoft.directory/connectorGroups/delete | 刪除專用網連接器群組 |
microsoft.directory/connectorGroups/allProperties/read | 讀取專用網連接器群組的所有屬性 |
microsoft.directory/connectorGroups/allProperties/update | 更新專用網連接器群組的所有屬性 |
microsoft.directory/connectors/create | 建立專用網連接器 |
microsoft.directory/connectors/allProperties/read | 讀取專用網連接器的所有屬性 |
microsoft.directory/servicePrincipals/synchronizationJobs/manage | 啟動、重新啟動及暫停應用程式佈建同步作業 |
microsoft.directory/servicePrincipals/synchronization/standard/read | 讀取您服務主體相關聯的佈建設定 |
microsoft.directory/servicePrincipals/synchronizationSchema/manage | 建立及管理應用程式佈建同步作業及結構描述 |
microsoft.directory/provisioningLogs/allProperties/read | 讀取佈建記錄的所有屬性 |