Freigeben über

App-Berechtigungen für benutzerdefinierte Rollen in Microsoft Entra ID

  • Artikel

Dieser Artikel enthält die derzeit verfügbaren App-Zustimmungsberechtigungen für benutzerdefinierte Rollendefinitionen in der Microsoft Entra-ID. In diesem Artikel finden Sie die erforderlichen Berechtigungen für einige gängige Szenarien zu App-Zustimmungen und -Berechtigungen.

Lizenzanforderungen

Die Verwendung dieses Features erfordert Microsoft Entra ID P1-Lizenzen. Informationen zur richtigen Lizenz für Ihre Anforderungen finden Sie unter Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.

Verwenden Sie die in diesem Artikel aufgeführten Berechtigungen zum Verwalten von App-Zustimmungsrichtlinien sowie die Berechtigung zum Erteilen der Zustimmung zu Apps.

Anmerkung

Das Microsoft Entra Admin Center unterstützt das Hinzufügen der in diesem Artikel aufgeführten Berechtigungen zu einer benutzerdefinierten Rollendefinition noch nicht. Sie müssen Microsoft Graph PowerShell zum Erstellen einer benutzerdefinierten Rolle verwenden, die über die in diesem Artikel aufgeführten Berechtigungen verfügt.

Um Benutzern das Erteilen der Zustimmung zu Anwendungen im eigenen Namen (Benutzerzustimmung) zu ermöglichen, wobei dies einer App-Zustimmungsrichtlinie unterliegt.

  • microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}

Dabei wird {id} durch die ID einer App-Zustimmungsrichtlinie ersetzt, in der die Bedingungen festgelegt sind, die erfüllt sein müssen, damit diese Berechtigung aktiv ist.

Wenn Sie den Benutzern beispielsweise erlauben möchten, die Einwilligung im eigenen Namen gemäß der integrierten App-Einwilligungsrichtlinie mit der ID microsoft-user-default-low zu erteilen, würden Sie die Berechtigung ...managePermissionGrantsForSelf.microsoft-user-default-low verwenden.

Verwenden Sie Folgendes, um sowohl für delegierte Berechtigungen als auch für Anwendungsberechtigungen (App-Rollen) die mandantenweite Administratoreinwilligung für Apps zu delegieren:

  • microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}

Dabei wird {id} durch die ID einer App-Zustimmungsrichtlinie ersetzt, in der die Bedingungen festgelegt sind, die erfüllt sein müssen, damit diese Berechtigung verwendbar ist.

Wenn Sie beispielsweise Rolleninhabern erlauben möchten, eine mandantenweite Administratoreinwilligung für Apps gemäß der benutzerdefinierten App-Einwilligungsrichtlinie mit der ID low-risk-any-app zu erteilen, würden Sie die Berechtigung microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app verwenden.

Verwenden Sie Folgendes, um die Erstellung, Aktualisierung und Löschung von App-Einwilligungsrichtlinien zu delegieren.

  • microsoft.directory/permissionGrantPolicies/create
  • microsoft.directory/permissionGrantPolicies/standard/read
  • microsoft.directory/permissionGrantPolicies/basic/update
  • microsoft.directory/permissionGrantPolicies/delete

Vollständige Liste der Berechtigungen

Erlaubnis Beschreibung
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} Gewährt die Möglichkeit der Zustimmung zu Apps im eigenen Namen (Benutzerzustimmung) gemäß der App-Zustimmungsrichtlinie {id}.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} Gewährt die Möglichkeit der Zustimmung zu Apps in aller Namen (mandantenweite Administratorzustimmung) gemäß der App-Zustimmungsrichtlinie {id}.
microsoft.directory/permissionGrantPolicies/standard/read Lesen der Standardeigenschaften von Richtlinien für die Berechtigungszuweisung
microsoft.directory/permissionGrantPolicies/basic/update Aktualisieren grundlegender Eigenschaften von Berechtigungserteilungsrichtlinien
microsoft.directory/permissionGrantPolicies/create Erstellen Sie Berechtigungsvergabe-Richtlinien
microsoft.directory/permissionGrantPolicies/delete Löschen von Richtlinien für die Berechtigungszuweisung

Nächste Schritte