Oprávnění podnikových aplikací pro vlastní role v Microsoft Entra ID
Tento článek obsahuje aktuálně dostupná oprávnění podnikové aplikace pro vlastní definice rolí v Microsoft Entra ID. V tomto článku najdete seznamy oprávnění pro některé běžné scénáře a úplný seznam oprávnění podnikových aplikací.
Licenční požadavky
Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcíMicrosoft Entra ID .
Oprávnění podnikových aplikací
Další informace o tom, jak tato oprávnění používat, najdete v tématu Přiřazení vlastních rolí ke správě podnikových aplikací
Přiřazení uživatelů nebo skupin k aplikaci
Delegování přiřazení uživatelů a skupin, které mají přístup k aplikacím s jednotným přihlašováním založeným na SAML. Požadovaná oprávnění
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Vytváření aplikací galerie
Delegování vytváření aplikací Microsoft Entra Gallery, jako jsou ServiceNow, F5, Salesforce a další. Požadovaná oprávnění:
- microsoft.directory/applicationTemplates/instantiate
Konfigurace základních adres URL SAML
Delegování aktualizace a čtení základních konfigurací SAML pro aplikace jednotného přihlašování založené na SAML Požadovaná oprávnění:
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
Obnovení nebo vytvoření podpisových certifikátů
Delegování správy podpisových certifikátů pro aplikace jednotného přihlašování založené na SAML Požadovaná oprávnění.
microsoft.directory/servicePrincipals/credentials/update
Aktualizace e-mailové adresy oznámení o přihlašovacím certifikátu s vypršenou platností
Delegování aktualizace e-mailových adres pro oznámení o vypršení platnosti přihlašovacích certifikátů u aplikací s jedním přihlášením založených na SAML. Požadovaná oprávnění:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
Správa podpisu tokenu SAML a algoritmu přihlášení
Delegování aktualizace podpisu tokenu SAML a algoritmu přihlašování pro aplikace jednotného přihlašování založeného na SAML Požadovaná oprávnění:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/aktualizovat
Správa atributů a deklarací identity uživatelů
Delegování vytváření, odstraňování a aktualizace atributů a deklarací identity uživatelů pro aplikace jednotného přihlašování založené na SAML Požadovaná oprávnění:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/aktualizovat
Oprávnění zřizování aplikací
Provedení jakékoli operace zápisu, jako je správa úlohy, schématu nebo přihlašovacích údajů prostřednictvím uživatelského rozhraní, bude také vyžadovat oprávnění ke čtení k zobrazení stránky zřizování.
Nastavení oboru pro všechny uživatele a skupiny nebo přiřazené uživatele a skupiny v současné době vyžaduje oprávnění synchronizationJob i synchronizationCredentials.
Zapnutí nebo restartování úloh zřizování
Pokud chcete delegovat možnost zapnout, vypnout a restartovat úlohy zřizování. Požadovaná oprávnění:
- microsoft.directory/servicePrincipals/synchronizationJobs/správa
Konfigurujte schéma zřizování
Delegování aktualizací pro mapování atributů Požadovaná oprávnění:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Čtení nastavení zřizování spojeného s objektem aplikace
Delegování možnosti čtení nastavení zřizování přidruženého k objektu Požadovaná oprávnění:
- microsoft.directory/applications/synchronization/standard/read
Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu
Delegování schopnosti číst nastavení zřizování souvisící s vaším instančním objektem služby. Požadovaná oprávnění:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Autorizace přístupu k aplikacím pro zřizování
Delegování schopnosti autorizovat přístup k aplikacím pro zřizování Příklad autentizačního tokenu Oauth. Požadovaná oprávnění:
- microsoft.directory/servicePrincipals/synchronizationCredentials/správa synchronizačních pověření
Oprávnění pro aplikační proxy
Provádění jakýchkoli operací zápisu do vlastností proxy aplikací aplikace také vyžaduje oprávnění k aktualizaci základních vlastností a ověřování aplikace.
Ke čtení a provádění jakýchkoli operací zápisu do vlastností proxy aplikací aplikace také vyžaduje oprávnění ke čtení pro zobrazení skupin konektorů, protože je to součástí seznamu vlastností zobrazených na stránce.
Delegování správy konektoru proxy aplikací
Delegování akcí vytváření, čtení, aktualizace a odstraňování pro správu konektorů Požadovaná oprávnění:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.adresář/konektory/všechnyVlastnosti/číst
- microsoft.directory/connectors/create
Delegování správy nastavení proxy aplikací
Delegování akcí vytváření, čtení, aktualizace a odstraňování pro vlastnosti proxy aplikace v rámci aplikace. Požadovaná oprávnění:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/aplikace/základní/aktualizace
- microsoft.directory/applications/authentication/update
- microsoft.directory/connectorGroups/allProperties/read
Čtení nastavení proxy aplikací pro aplikaci
Delegování oprávnění ke čtení pro vlastnosti proxy aplikací v aplikaci Požadovaná oprávnění:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
Aktualizace nastavení proxy aplikace konfigurace adresy URL pro aplikaci
Delegování oprávnění k vytváření, čtení, aktualizaci a odstraňování (CRUD) pro aktualizaci externí adresy URL proxy aplikací, interní adresy URL a vlastností certifikátu SSL Požadovaná oprávnění:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/aplikace/základní/aktualizace
- microsoft.directory/applications/authentication/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
Úplný seznam oprávnění
| Povolení | Popis |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Čtení všech vlastností (včetně privilegovaných vlastností) v rámci zásad aplikace |
| microsoft.directory/applicationPolicies/allProperties/update | Aktualizace všech vlastností (včetně privilegovaných vlastností) v zásadách aplikace |
| microsoft.directory/applicationPolicies/basic/update | Aktualizace standardních vlastností zásad aplikace |
| microsoft.directory/applicationPolicies/create | Vytvoření zásad aplikace |
| microsoft.directory/applicationPolicies/createAsOwner | Vytvořte zásady aplikace a tvůrce se přidá jako první vlastník. |
| microsoft.directory/applicationPolicies/delete | Odstranění zásad aplikace |
| microsoft.directory/applicationPolicies/owners/read | Čtení vlastníků zásad aplikací |
| microsoft.directory/applicationPolicies/owners/update | Aktualizovat vlastnost vlastníka zásad aplikace |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Čtení zásad aplikací aplikovaných na seznam objektů |
| microsoft.directory/applicationPolicies/standard/read | Čtení standardních vlastností zásad aplikace |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Vytváření a odstraňování služebních principálů a čtení a aktualizace všech vlastností |
| microsoft.directory/servicePrincipals/allProperties/read | Čtení všech vlastností (včetně privilegovaných vlastností) v servicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update | Aktualizace všech vlastností (včetně privilegovaných vlastností) v servicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Přečíst přiřazení rolí service principalu |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizace přiřazení rolí služebního principalu |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Čtení přiřazení rolí přiřazených instančním objektům |
| microsoft.directory/servicePrincipals/audience/update | Aktualizace vlastností cílové skupiny u instančních objektů |
| microsoft.directory/servicePrincipals/authentication/update | Aktualizace vlastností ověřování u služebních principálů |
| microsoft.directory/servicePrincipals/basic/update | Aktualizace základních vlastností služebních principálů |
| microsoft.directory/servicePrincipals/create | Vytvoření služebních principálů |
| microsoft.directory/servicePrincipals/createAsOwner | Vytvořte servisní principály s tvůrcem jako prvním vlastníkem. |
| microsoft.directory/servicePrincipals/credentials/update | Aktualizace přihlašovacích údajů služebních principálů |
| microsoft.directory/servicePrincipals/delete | Odstranění objektů služby |
| microsoft.directory/servicePrincipals/disable | Zakázat služební principály |
| microsoft.directory/servicePrincipals/enable | Povolení služebních identit |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Čtení pověření jednotného přihlášení pomocí hesla na poskytovatelích služeb. |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Správa přihlašovacích údajů pro jednorázové přihlášení pomocí hesel u služebních identit |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Čtení delegovaných oprávnění u službových účtů |
| microsoft.directory/servicePrincipals/owners/read | Čtení vlastníků služebních principálů |
| microsoft.directory/servicePrincipals/owners/update | Aktualizace vlastníků servisních identit |
| microsoft.directory/servicePrincipals/permissions/update | Aktualizace oprávnění služebních zástupců |
| microsoft.directory/servicePrincipals/policies/read | Prohlédnout si politiky zástupců služby |
| microsoft.directory/servicePrincipals/policies/aktualizovat | Aktualizace zásad služebních principálů |
| microsoft.directory/servicePrincipals/standard/read | Čtení základních vlastností principálů služby |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu |
| microsoft.directory/servicePrincipals/tag/update | Aktualizujte vlastnost značky pro principály služby |
| microsoft.directory/applicationTemplates/instantiate | Instanciování aplikací galerie ze šablon aplikací |
| microsoft.directory/auditLogs/allProperties/read | Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností |
| microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností v přihlašovacích sestavách, včetně privilegovaných vlastností. |
| microsoft.directory/applications/applicationProxy/read | Číst všechny vlastnosti aplikace proxy |
| microsoft.directory/applications/applicationProxy/update | Aktualizace všech vlastností proxy aplikace |
| microsoft.directory/applications/applicationProxyAuthentication/update | Aktualizace ověřování u všech typů aplikací |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Aktualizace nastavení adresy URL pro proxy aplikace |
| microsoft.directory/applications/applicationProxySslCertificate/update | Aktualizace nastavení certifikátu SSL pro proxy aplikace |
| microsoft.directory/applications/synchronization/standard/read | Čtení nastavení zřizování spojeného s objektem aplikace |
| microsoft.directory/connectorGroups/create | Vytvoření skupin privátních síťových konektorů |
| microsoft.directory/connectorGroups/delete | Odstranění skupin privátních síťových konektorů |
| microsoft.directory/connectorGroups/allProperties/read | Čtení vlastností všech skupin privátních síťových konektorů |
| microsoft.directory/connectorGroups/allProperties/update | Aktualizace všech vlastností skupin privátních síťových konektorů |
| microsoft.directory/connectors/create | Vytvoření privátních síťových konektorů |
| microsoft.adresář/konektory/všechnyVlastnosti/číst | Přečíst všechny vlastnosti privátních síťových konektorů |
| microsoft.directory/servicePrincipals/synchronizationJobs/správa | Spuštění, restart a pozastavení synchronizace úloh pro zřizování aplikací |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Vytváření a správa synchronizačních úloh a schématu zřizování aplikací |
| microsoft.directory/provisioningLogs/allProperties/read | Čtení všech vlastností protokolů provisioningových logů |
Další kroky
- Vytvořte vlastní roli v Microsoft Entra ID
- Seznam přiřazení rolí Microsoft Entra