Microsoft Entra ID 中自定義角色的企業應用程式許可權

  • 發行項

本文包含 Microsoft Entra ID 中自定義角色定義的目前可用的企業應用程式許可權。 在本文中,您將找到一些常見案例的許可權清單,以及企業應用程式許可權的完整清單。

授權需求

使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能

企業應用程式許可權

如需如何使用這些許可權的詳細資訊,請參閱 指派自定義角色來管理企業應用程式

將使用者或群組指派給應用程式

委派可存取 SAML 型單一登錄應用程式的使用者和群組指派。 需要的權限

  • microsoft.directory/servicePrincipals/appRoleAssignedTo/update

委派建立 Microsoft Entra Gallery 應用程式,例如 ServiceNow、F5、Salesforce 等。 需要的權限:

  • microsoft.directory/applicationTemplates/instantiate

設定基本 SAML URL

委派 SAML 型單一登錄應用程式之基本 SAML 組態的更新和讀取。 需要的權限:

  • microsoft.directory/servicePrincipals/authentication/update
  • microsoft.directory/applications.myOrganization/authentication/update

變換或建立簽署憑證

委派 SAML 型單一登錄應用程式的簽署憑證管理。 需要的許可權。

microsoft.directory/servicePrincipals/credentials/update

更新即將到期的登入憑證通知電子郵件位址

委派 SAML 型單一登錄應用程式的過期登入憑證通知電子郵件位址更新。 需要的權限:

  • microsoft.directory/applications.myOrganization/authentication/update
  • microsoft.directory/applications.myOrganization/permissions/update
  • microsoft.directory/servicePrincipals/authentication/update
  • microsoft.directory/servicePrincipals/basic/update

管理 SAML 令牌簽章和登入演算法

委派 SAML 令牌簽章和 SAML 型單一登錄應用程式的登入演算法更新。 需要的權限:

  • microsoft.directory/applicationPolicies/basic/update
  • microsoft.directory/applications/authentication/update
  • microsoft.directory/servicePrincipals/policies/update

管理用戶屬性和宣告

委派 SAML 型單一登錄應用程式的建立、刪除和更新使用者屬性和宣告。 需要的權限:

  • microsoft.directory/applicationPolicies/basic/update
  • microsoft.directory/applications/authentication/update
  • microsoft.directory/servicePrincipals/policies/update

應用程式布建許可權

執行任何寫入作業,例如透過UI管理作業、架構或認證,也需要讀取許可權才能檢視布建頁面。

將範圍設定為所有使用者和群組或指派的使用者和群組,目前需要 synchronizationJob 和 synchronizationCredentials 許可權。

開啟或重新啟動布建作業

若要委派開啟、關閉和重新啟動布建作業的能力。 需要的權限:

  • microsoft.directory/servicePrincipals/synchronizationJobs/manage

設定布建架構

將更新委派給屬性對應。 需要的權限:

  • microsoft.directory/servicePrincipals/synchronizationSchema/manage

讀取此應用程式物件相關聯的佈建設定

委派讀取與 對象相關聯的布建設定的能力。 需要的權限:

  • microsoft.directory/applications/synchronization/standard/read

讀取您服務主體相關聯的佈建設定

委派讀取與服務主體相關聯布建設定的能力。 需要的權限:

  • microsoft.directory/servicePrincipals/synchronization/standard/read

授權應用程式存取以進行布建

委派授權應用程式存取權以進行布建的能力。 範例輸入 Oauth 持有人令牌。 需要的權限:

  • microsoft.directory/servicePrincipals/synchronizationCredentials/manage

應用程式 Proxy許可權

對應用程式 應用程式 Proxy 屬性執行任何寫入作業,也需要許可權來更新應用程式的基本屬性和驗證。

若要讀取和執行應用程式 應用程式 Proxy 屬性的任何寫入作業,也需要讀取許可權才能檢視連接器群組,因為這是頁面上所顯示屬性清單的一部分。

委派 應用程式 Proxy 連接器管理

若要委派連接器管理的建立、讀取、更新和刪除動作。 需要的權限:

  • microsoft.directory/connectorGroups/allProperties/read
  • microsoft.directory/connectorGroups/allProperties/update
  • microsoft.directory/connectorGroups/create
  • microsoft.directory/connectorGroups/delete
  • microsoft.directory/connectors/allProperties/read
  • microsoft.directory/connectors/create

委派 應用程式 Proxy 設定管理

若要委派應用程式上 應用程式 Proxy 屬性的建立、讀取、更新和刪除動作。 需要的權限:

  • microsoft.directory/applications/applicationProxy/read
  • microsoft.directory/applications/applicationProxy/update
  • microsoft.directory/applications/applicationProxyAuthentication/update
  • microsoft.directory/applications/applicationProxySslCertificate/update
  • microsoft.directory/applications/applicationProxyUrlSettings/update
  • microsoft.directory/applications/basic/update
  • microsoft.directory/applications/authentication/update
  • microsoft.directory/connectorGroups/allProperties/read

讀取應用程式的 應用程式 Proxy 設定

委派應用程式上 應用程式 Proxy 屬性的讀取許可權。 需要的權限:

  • microsoft.directory/applications/applicationProxy/read
  • microsoft.directory/connectorGroups/allProperties/read

更新應用程式的 URL 組態 應用程式 Proxy 設定

委派用來更新 應用程式 Proxy 外部 URL、內部 URL 和 SSL 憑證屬性的建立、讀取、更新和刪除 (CRUD) 許可權。 需要的權限:

  • microsoft.directory/applications/applicationProxy/read
  • microsoft.directory/connectorGroups/allProperties/read
  • microsoft.directory/applications/basic/update
  • microsoft.directory/applications/authentication/update
  • microsoft.directory/applications/applicationProxyAuthentication/update
  • microsoft.directory/applications/applicationProxySslCertificate/update
  • microsoft.directory/applications/applicationProxyUrlSettings/update

許可權的完整清單

權限 描述
microsoft.directory/applicationPolicies/allProperties/read 讀取應用程式原則上的所有屬性(包括特殊權限屬性)
microsoft.directory/applicationPolicies/allProperties/update 更新應用程式原則上的所有屬性(包括特殊許可權屬性)
microsoft.directory/applicationPolicies/basic/update 更新應用程式原則的標準屬性
microsoft.directory/applicationPolicies/create 建立應用程式原則
microsoft.directory/applicationPolicies/createAsOwner 建立應用程式原則,並新增建立者作為第一個擁有者
microsoft.directory/applicationPolicies/delete 刪除應用程式原則
microsoft.directory/applicationPolicies/owners/read 讀取應用程式原則的擁有者
microsoft.directory/applicationPolicies/owners/update 更新應用程式原則的擁有者屬性
microsoft.directory/applicationPolicies/policyAppliedTo/read 讀取套用到物件清單的應用程式原則
microsoft.directory/applicationPolicies/standard/read 讀取應用程式原則的標準屬性
microsoft.directory/servicePrincipals/allProperties/allTasks 建立和刪除服務主體,以及讀取和更新所有屬性
microsoft.directory/servicePrincipals/allProperties/read 讀取 servicePrincipals 上的所有屬性 (包括特殊許可權屬性)
microsoft.directory/servicePrincipals/allProperties/update 更新 servicePrincipals 上的所有屬性(包括特殊許可權屬性)
microsoft.directory/servicePrincipals/appRoleAssignedTo/read 讀取服務主體角色指派
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體的角色指派
microsoft.directory/servicePrincipals/appRoleAssignments/read 讀取指派給服務主體的角色指派
microsoft.directory/servicePrincipals/audience/update 更新服務主體的對象屬性
microsoft.directory/servicePrincipals/authentication/update 更新服務主體的驗證屬性
microsoft.directory/servicePrincipals/basic/update 更新服務主體的基本屬性
microsoft.directory/servicePrincipals/create 建立服務主體
microsoft.directory/servicePrincipals/createAsOwner 建立服務主體,建立者為第一個擁有者
microsoft.directory/servicePrincipals/credentials/update 更新服務主體的認證
microsoft.directory/servicePrincipals/delete 刪除服務主體
microsoft.directory/servicePrincipals/disable 停用服務主體
microsoft.directory/servicePrincipals/enable 啟用服務主體
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 讀取服務主體的密碼單一登入認證
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 管理服務主體上的密碼單一登入認證
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read 讀取服務主體的委派許可權授與
microsoft.directory/servicePrincipals/owners/read 讀取服務主體的擁有者
microsoft.directory/servicePrincipals/owners/update 更新服務主體的擁有者
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的權限
microsoft.directory/servicePrincipals/policies/read 讀取服務主體的原則
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/servicePrincipals/standard/read 讀取服務主體的基本屬性
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取您服務主體相關聯的佈建設定
microsoft.directory/servicePrincipals/tag/update 更新服務主體的標籤屬性
microsoft.directory/applicationTemplates/instantiate 從應用程式範本具現化資源庫應用程式
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,包括特殊許可權屬性
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括特殊權限屬性
microsoft.directory/applications/applicationProxy/read 讀取所有應用程式 Proxy 屬性
microsoft.directory/applications/applicationProxy/update 更新所有應用程式 Proxy 屬性
microsoft.directory/applications/applicationProxyAuthentication/update 更新所有類型的應用程式上的驗證
microsoft.directory/applications/applicationProxyUrlSettings/update 更新應用程式 Proxy 的 URL 設定
microsoft.directory/applications/applicationProxySslCertificate/update 更新應用程式 Proxy 的 SSL 憑證設定
microsoft.directory/applications/synchronization/standard/read 讀取此應用程式物件相關聯的佈建設定
microsoft.directory/connectorGroups/create 建立專用網連接器群組
microsoft.directory/connectorGroups/delete 刪除專用網連接器群組
microsoft.directory/connectorGroups/allProperties/read 讀取專用網連接器群組的所有屬性
microsoft.directory/connectorGroups/allProperties/update 更新專用網連接器群組的所有屬性
microsoft.directory/connectors/create 建立專用網連接器
microsoft.directory/connectors/allProperties/read 讀取專用網連接器的所有屬性
microsoft.directory/servicePrincipals/synchronizationJobs/manage 啟動、重新啟動及暫停應用程式佈建同步作業
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取您服務主體相關聯的佈建設定
microsoft.directory/servicePrincipals/synchronizationSchema/manage 建立及管理應用程式佈建同步作業及結構描述
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性

下一步