你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

配置权限分类

在本文中,你将了解如何在 Azure Active Directory (Azure AD) 中配置权限分类。 通过权限分类,可根据组织的策略和风险评估确定不同权限的影响。 例如,可使用同意策略中的权限分类来确定允许用户同意哪一组权限。

目前仅支持“影响较低”这一权限分类。 只有无需管理员同意的委托权限可被分类为“影响较低”。

执行基本登录所需的最小权限是 openidprofileemailoffline_access,它们是 Microsoft Graph 上的所有委托的权限。 借助这些权限,应用可以读取已登录用户配置文件的详细信息,并且即使用户不再使用该应用,也可以保留此访问权限。

先决条件

要配置权限分类,你需要:

  • 具有活动订阅的 Azure 帐户。 免费创建帐户
  • 以下角色之一:全局管理员、云应用程序管理员、应用程序管理员或服务主体的所有者。

管理权限分类

按照以下步骤使用 Azure 门户对权限进行分类:

  1. 全局管理员应用程序管理员云应用程序管理员的身份登录到 Azure 门户
  2. 选择“Azure Active Directory”>“企业应用程序”>“同意和权限”>“权限分类” 。
  3. 选择“添加权限”,再将一个权限分类为“影响较小”。
  4. 选择 API,然后选择委托的权限。

在下例中,我们对单一登录所需的最小一组权限进行了分类:

权限分类

后续步骤

若要了解详细信息,请访问以下链接: