Oprávnění souhlasu aplikace pro vlastní role v Microsoft Entra ID
Tento článek obsahuje aktuálně dostupná oprávnění k vyjádření souhlasu aplikace pro vlastní definice rolí v Microsoft Entra ID. V tomto článku najdete oprávnění požadovaná pro některé běžné scénáře související se souhlasem a oprávněními aplikace.
Licenční požadavky
Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcíMicrosoft Entra ID .
Oprávnění souhlasu aplikace
Pomocí oprávnění uvedených v tomto článku můžete spravovat zásady souhlasu aplikace a také oprávnění k udělení souhlasu s aplikacemi.
Poznámka
Centrum pro správu Microsoft Entra zatím nepodporuje přidání oprávnění uvedených v tomto článku do vlastní definice role. K vytvoření vlastní role s oprávněními uvedenými v tomto článku musíte
Udělení delegovaných oprávnění aplikacím jménem uživatele (souhlas uživatele)
Pokud chcete uživatelům umožnit udělit souhlas s aplikacemi jménem sebe (souhlas uživatele), podléhají zásadám souhlasu aplikace.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}
Kde se {id} nahradí ID zásady souhlasu aplikace ,, která nastaví podmínky, jež musí být splněny, aby toto oprávnění bylo aktivní.
Pokud například chcete uživatelům umožnit udělit souhlas vlastním jménem, s výhradou předdefinovaných zásad souhlasu aplikace s ID microsoft-user-default-low, použili byste oprávnění ...managePermissionGrantsForSelf.microsoft-user-default-low.
Udělení oprávnění aplikacím jménem všech (souhlas správce)
Delegování souhlasu správce celého tenanta s aplikacemi pro delegovaná oprávnění i oprávnění aplikací (role aplikací):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
Pokud je za {id} dosazeno ID zásady souhlasu aplikace , která stanoví podmínky, jež musí být splněny, aby bylo možné toto oprávnění použít.
Pokud chcete například umožnit přiřazeným rolím udělit celotenantský správní souhlas aplikacím podléhajícím vlastní zásadě souhlasu s ID low-risk-any-app, použili byste oprávnění microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.
Správa zásad souhlasu aplikací
Pověření vytvářením, aktualizací a odstraněním zásad souhlasu aplikace .
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
Úplný seznam oprávnění
| Povolení | Popis |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} | Uděluje možnost souhlasu s aplikacemi jménem uživatele (souhlas uživatele), s výhradou zásad souhlasu aplikace {id}. |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | Uděluje oprávnění k vyjádření souhlasu s aplikacemi jménem všech (souhlas správce v rámci celého tenanta), s výhradou zásad souhlasu aplikace {id}. |
| microsoft.directory/permissionGrantPolicies/standard/read | Čtení standardních vlastností zásad udělení oprávnění |
| microsoft.directory/permissionGrantPolicies/basic/update | Aktualizace základních vlastností zásad udělení oprávnění |
| microsoft.directory/permissionGrantPolicies/create | Vytvoření zásad udělení oprávnění |
| microsoft.directory/permissionGrantPolicies/delete | Odstranění zásad udělení oprávnění |
Další kroky
- Vytvořte vlastní roli v Microsoft Entra ID
- Seznam rolí přiřazených v Microsoft Entra