Oprávnění souhlasu aplikace pro vlastní role v Microsoft Entra ID
Tento článek obsahuje aktuálně dostupná oprávnění k vyjádření souhlasu aplikace pro vlastní definice rolí v Microsoft Entra ID. V tomto článku najdete oprávnění požadovaná pro některé běžné scénáře související s oprávněními a udělováním souhlasu pro aplikace.
Požadavky na licenci
Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.
Oprávnění souhlasu pro aplikace
Pomocí oprávnění uvedených v tomto článku můžete spravovat zásady souhlasu aplikace a také oprávnění k udělení souhlasu s aplikacemi.
Poznámka:
Centrum pro správu Microsoft Entra zatím nepodporuje přidání oprávnění uvedených v tomto článku do definice vlastní role adresáře. K vytvoření vlastní role adresáře s oprávněními uvedenými v tomto článku musíte použít Microsoft Graph PowerShell.
Udělení delegovaných oprávnění aplikacím jménem uživatele (souhlas uživatele)
Pokud chcete uživatelům umožnit udělit souhlas s aplikacemi jménem sebe (souhlas uživatele), podléhají zásadám souhlasu aplikace.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf. {id}
Kde {id}
se nahradí ID zásady souhlasu aplikace, která nastaví podmínky, které musí být splněny, aby toto oprávnění bylo aktivní.
Pokud například chcete uživatelům umožnit udělit souhlas vlastním jménem, s výhradou předdefinované zásady souhlasu aplikace s ID microsoft-user-default-low
, použili byste oprávnění ...managePermissionGrantsForSelf.microsoft-user-default-low
.
Udělení oprávnění aplikacím jménem všech (souhlas správce)
Delegování souhlasu správce celého tenanta s aplikacemi pro delegovaná oprávnění i oprávnění aplikací (role aplikací):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll. {id}
Kde {id}
se nahradí ID zásady souhlasu aplikace, která nastaví podmínky, které musí být splněny, aby bylo možné toto oprávnění použít.
Pokud chcete například umožnit, aby přiřazování rolí správcům v rámci celého tenanta udělilo aplikacím souhlas s vlastní zásadou souhlasu s ID low-risk-any-app
aplikace , použili byste oprávnění microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app
.
Správa zásad souhlasu aplikací
Delegování vytváření, aktualizace a odstranění zásad souhlasu aplikace
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
Úplný seznam oprávnění
Oprávnění | Popis |
---|---|
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf. {id} | Uděluje možnost souhlasu s aplikacemi jménem uživatele (souhlas uživatele) v souladu se zásadami {id} souhlasu aplikace . |
microsoft.directory/servicePrincipals/managePermissionGrantsForAll. {id} | Uděluje oprávnění k vyjádření souhlasu s aplikacemi jménem všech (souhlas správce v rámci celého tenanta), s výhradou zásad {id} souhlasu s aplikací . |
microsoft.directory/permissionGrantPolicies/standard/read | Čtení standardních vlastností zásad udělení oprávnění |
microsoft.directory/permissionGrantPolicies/basic/update | Aktualizace základních vlastností zásad udělení oprávnění |
microsoft.directory/permissionGrantPolicies/create | Vytvoření zásad udělení oprávnění |
microsoft.directory/permissionGrantPolicies/delete | Odstranění zásad udělení oprávnění |