分享方式:

Microsoft Entra ID 中自訂角色的企業應用程式權限

  • 文章

本文包含 Microsoft Entra ID 中的自訂角色定義目前可用的企業應用程式權限。 在本文中,您會看到一些常見案例的權限清單,以及企業應用程式權限的完整清單。

授權需求

使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能

企業應用程式權限

如需如何使用這些權限的詳細資訊,請參閱指派自訂角色來管理企業應用程式

將使用者或群組指派給應用程式

委派指派可存取 SAML 型單一登入應用程式的使用者和群組。 需要的權限

  • microsoft.directory/servicePrincipals/appRoleAssignedTo/update

委派建立 Microsoft Entra 資源庫應用程式,例如 ServiceNow、F5、Salesforce 等等。 所需的權限:

  • microsoft.directory/applicationTemplates/instantiate

設定基本 SAML URL

委派更新和讀取 SAML 型單一登入應用程式的基本 SAML 設定。 所需的權限:

  • microsoft.directory/servicePrincipals/authentication/update
  • microsoft.directory/applications.myOrganization/authentication/update

變換或建立簽署憑證

委派管理 SAML 型單一登入應用程式的簽署憑證。 所需的權限。

microsoft.directory/servicePrincipals/credentials/update

更新即將到期的登入憑證通知電子郵件地址

委派更新 SAML 型單一登入應用程式即將到期的登入憑證通知電子郵件地址。 所需的權限:

  • microsoft.directory/applications.myOrganization/authentication/update
  • microsoft.directory/applications.myOrganization/permissions/update
  • microsoft.directory/servicePrincipals/authentication/update
  • microsoft.directory/servicePrincipals/basic/update

管理 SAML 權杖簽章和登入演算法

委派更新 SAML 型單一登入應用程式的 SAML 權杖簽章和登入演算法。 所需的權限:

  • microsoft.directory/applicationPolicies/basic/update
  • microsoft.directory/applications/authentication/update
  • microsoft.directory/servicePrincipals/policies/update

管理使用者屬性和宣告

委派建立、刪除和更新 SAML 型單一登入應用程式的使用者屬性和宣告。 所需的權限:

  • microsoft.directory/applicationPolicies/basic/update
  • microsoft.directory/applications/authentication/update
  • microsoft.directory/servicePrincipals/policies/update

應用程式佈建權限

執行任何寫入作業 (例如,透過 UI 管理作業、結構描述或認證) 時,也需要有讀取權限才能檢視佈建頁面。

目前,若要將範圍設定為所有使用者和群組或已指派的使用者和群組,必須同時具備 synchronizationJob 和 synchronizationCredentials 權限。

開啟或重新啟動佈建作業

委派開啟、關閉和重新啟動佈建作業的能力。 所需的權限:

  • microsoft.directory/servicePrincipals/synchronizationJobs/manage

設定佈建結構描述

委派屬性對應的更新。 所需的權限:

  • microsoft.directory/servicePrincipals/synchronizationSchema/manage

讀取此應用程式物件相關聯的佈建設定

委派讀取物件相關佈建設定的能力。 所需的權限:

  • microsoft.directory/applications/synchronization/standard/read

讀取您服務主體相關聯的佈建設定

委派讀取服務主體相關佈建設定的能力。 所需的權限:

  • microsoft.directory/servicePrincipals/synchronization/standard/read

授與應用程式存取權以進行佈建

委派授與應用程式存取權以進行佈建的能力。 範例輸入 Oauth 持有人權杖。 所需的權限:

  • microsoft.directory/servicePrincipals/synchronizationCredentials/manage

應用程式 Proxy 權限

對應用程式的應用程式 Proxy 屬性執行任何寫入作業,也需要更新應用程式的基本屬性和驗證的權限。

若要對應用程式的應用程式 Proxy 屬性進行讀取和執行任何寫入作業,也需要檢視連接器群組的讀取權限,因為這是頁面上顯示的屬性清單的一部分。

委派應用程式 Proxy 連接器管理

委派連接器管理的建立、讀取、更新和刪除動作。 所需的權限:

  • microsoft.directory/connectorGroups/allProperties/read
  • microsoft.directory/connectorGroups/allProperties/update
  • microsoft.directory/connectorGroups/create
  • microsoft.directory/connectorGroups/delete
  • microsoft.directory/connectors/allProperties/read
  • microsoft.directory/connectors/create

委派應用程式 Proxy 設定管理

在應用程式上委派應用程式 Proxy 屬性的建立、讀取、更新和刪除動作。 所需的權限:

  • microsoft.directory/applications/applicationProxy/read
  • microsoft.directory/applications/applicationProxy/update
  • microsoft.directory/applications/applicationProxyAuthentication/update
  • microsoft.directory/applications/applicationProxySslCertificate/update
  • microsoft.directory/applications/applicationProxyUrlSettings/update
  • microsoft.directory/applications/basic/update
  • microsoft.directory/applications/authentication/update
  • microsoft.directory/connectorGroups/allProperties/read

讀取應用程式的應用程式 Proxy 設定

在應用程式上委派應用程式 Proxy 屬性的讀取權限。 所需的權限:

  • microsoft.directory/applications/applicationProxy/read
  • microsoft.directory/connectorGroups/allProperties/read

更新應用程式的 URL 設定應用程式 Proxy 設定

委派建立、讀取、更新和刪除 (CRUD) 權限,以更新應用程式 Proxy 的外部 URL、內部 URL 和 SSL 憑證屬性。 所需的權限:

  • microsoft.directory/applications/applicationProxy/read
  • microsoft.directory/connectorGroups/allProperties/read
  • microsoft.directory/applications/basic/update
  • microsoft.directory/applications/authentication/update
  • microsoft.directory/applications/applicationProxyAuthentication/update
  • microsoft.directory/applications/applicationProxySslCertificate/update
  • microsoft.directory/applications/applicationProxyUrlSettings/update

權限的完整清單

權限 描述
microsoft.directory/applicationPolicies/allProperties/read 讀取應用程式原則上的所有屬性 (包括特殊權限屬性)
microsoft.directory/applicationPolicies/allProperties/update 更新應用程式原則上的所有屬性 (包括特殊權限屬性)
microsoft.directory/applicationPolicies/basic/update 更新應用程式原則的標準屬性
microsoft.directory/applicationPolicies/create 建立應用程式原則
microsoft.directory/applicationPolicies/createAsOwner 建立應用程式原則,建立者會新增為第一位擁有者
microsoft.directory/applicationPolicies/delete 刪除應用程式原則
microsoft.directory/applicationPolicies/owners/read 讀取應用程式原則的擁有者
microsoft.directory/applicationPolicies/owners/update 更新應用程式原則的擁有者屬性
microsoft.directory/applicationPolicies/policyAppliedTo/read 讀取套用到物件清單的應用程式原則
microsoft.directory/applicationPolicies/standard/read 讀取應用程式原則的標準屬性
microsoft.directory/servicePrincipals/allProperties/allTasks 建立和刪除服務主體,以及讀取和更新所有屬性
microsoft.directory/servicePrincipals/allProperties/read 讀取 servicePrincipals 的所有屬性 (包括特殊權限屬性)
microsoft.directory/servicePrincipals/allProperties/update 更新 servicePrincipals 上的所有屬性 (包括特殊權限屬性)
microsoft.directory/servicePrincipals/appRoleAssignedTo/read 讀取服務主體的角色指派
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體的角色指派
microsoft.directory/servicePrincipals/appRoleAssignments/read 讀取指派給服務主體的角色指派
microsoft.directory/servicePrincipals/audience/update 更新服務主體的對象屬性
microsoft.directory/servicePrincipals/authentication/update 更新服務主體的驗證屬性
microsoft.directory/servicePrincipals/basic/update 更新服務主體的基本屬性
microsoft.directory/servicePrincipals/create 建立服務主體
microsoft.directory/servicePrincipals/createAsOwner 建立服務主體,建立者為第一個擁有者
microsoft.directory/servicePrincipals/credentials/update 更新服務主體的認證
microsoft.directory/servicePrincipals/delete 刪除服務主體
microsoft.directory/servicePrincipals/disable 停用服務主體
microsoft.directory/servicePrincipals/enable 啟用服務主體
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 讀取服務主體的密碼單一登入認證
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 管理服務主體上的密碼單一登入認證
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read 讀取授與服務主體的委派權限
microsoft.directory/servicePrincipals/owners/read 讀取服務主體的擁有者
microsoft.directory/servicePrincipals/owners/update 更新服務主體的擁有者
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的權限
microsoft.directory/servicePrincipals/policies/read 讀取服務主體的原則
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/servicePrincipals/standard/read 讀取服務主體的基本屬性
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取您服務主體相關聯的佈建設定
microsoft.directory/servicePrincipals/tag/update 更新服務主體的標籤屬性
microsoft.directory/applicationTemplates/instantiate 從應用程式範本具現化資源庫應用程式
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄的所有屬性 (包括特殊權限屬性)
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括特殊權限屬性
microsoft.directory/applications/applicationProxy/read 讀取所有應用程式 Proxy 屬性
microsoft.directory/applications/applicationProxy/update 更新所有應用程式 Proxy 屬性
microsoft.directory/applications/applicationProxyAuthentication/update 更新所有類型的應用程式上的驗證
microsoft.directory/applications/applicationProxyUrlSettings/update 更新應用程式 Proxy 的 URL 設定
microsoft.directory/applications/applicationProxySslCertificate/update 更新應用程式 Proxy 的 SSL 憑證設定
microsoft.directory/applications/synchronization/standard/read 讀取此應用程式物件相關聯的佈建設定
microsoft.directory/connectorGroups/create 建立私人網路連接器群組
microsoft.directory/connectorGroups/delete 刪除私人網路連接器群組
microsoft.directory/connectorGroups/allProperties/read 讀取私人網路連接器群組的所有屬性
microsoft.directory/connectorGroups/allProperties/update 更新私人網路連接器群組的所有屬性
microsoft.directory/connectors/create 建立私人網路連線器
microsoft.directory/connectors/allProperties/read 讀取私人網路連接器的所有屬性
microsoft.directory/servicePrincipals/synchronizationJobs/manage 啟動、重新啟動及暫停應用程式佈建同步作業
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取您服務主體相關聯的佈建設定
microsoft.directory/servicePrincipals/synchronizationSchema/manage 建立及管理應用程式佈建同步作業及結構描述
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性

下一步