Enterprise-Anwendungsberechtigungen für benutzerdefinierte Rollen in Microsoft Entra ID
Dieser Artikel enthält die derzeit verfügbaren Unternehmensanwendungsberechtigungen für benutzerdefinierte Rollendefinitionen in der Microsoft Entra-ID. In diesem Artikel finden Sie Berechtigungslisten für einige gängige Szenarien und die vollständige Liste der Enterprise-App-Berechtigungen.
Lizenzanforderungen
Die Verwendung dieses Features erfordert Microsoft Entra ID P1-Lizenzen. Informationen zur richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Funktionen von Microsoft Entra ID.
Enterprise-Anwendungsberechtigungen
Weitere Informationen zur Verwendung dieser Berechtigungen finden Sie unter Zuweisen von benutzerdefinierten Rollen zum Verwalten von Unternehmens-Apps
Zuweisen von Benutzern oder Gruppen zu einer Anwendung
Dient zum Delegieren der Zuweisung von Benutzern und Gruppen, die auf SAML-basierte SSO-Anwendungen zugreifen können. Erforderliche Berechtigungen
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Erstellen von Galerieanwendungen
Um die Erstellung von Microsoft Entra Gallery-Anwendungen wie ServiceNow, F5, Salesforce usw. zu delegieren. Erforderliche Berechtigungen:
- microsoft.directory/applicationTemplates/instantiate
Konfigurieren grundlegender SAML-URLs
Dient zum Delegieren der Aktualisierung und des Lesens grundlegender SAML-Konfigurationen für SAML-basierte SSO-Anwendungen. Erforderliche Berechtigungen:
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
Durchführen des Rollovers von Signaturzertifikaten oder Erstellen von Signaturzertifikaten
Die Verwaltung von Signaturzertifikaten für SAML-basierte Single Sign-On-Anwendungen zu delegieren. Erforderliche Berechtigungen:
microsoft.directory/servicePrincipals/credentials/update
Aktualisierung der Benachrichtigungs-E-Mail-Adresse für ablaufende Anmeldezertifikate
Dient zum Delegieren der Aktualisierung der E-Mail-Adressen für Benachrichtigungen bei ablaufenden Anmeldezertifikaten für SAML-basierte SSO-Anwendungen. Erforderliche Berechtigungen:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
Verwalten der SAML-Tokensignatur und des Anmeldealgorithmus
Dient zum Delegieren der Aktualisierung der SAML-Tokensignatur und des Anmeldealgorithmus für SAML-basierte SSO-Anwendungen. Erforderliche Berechtigungen:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Verwalten von Benutzerattributen und Ansprüchen
Um das Erstellen, Löschen und Aktualisieren von Benutzerattributen und Ansprüchen für SAML-basierte Single Sign-On-Anwendungen zu delegieren. Erforderliche Berechtigungen:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
App-Bereitstellungsberechtigungen
Zum Ausführen von Schreibvorgängen (etwa beim Verwalten des Auftrags, des Schemas oder der Anmeldeinformationen über die Benutzeroberfläche) sind auch die Leseberechtigungen erforderlich, um die Bereitstellungsseite anzuzeigen.
Wenn Sie den Bereich auf alle Benutzer und Gruppen oder auf zugewiesene Benutzer und Gruppen festlegen, sind aktuell die Berechtigungen „synchronizationJob“ und „synchronizationCredentials“ erforderlich.
Aktivieren oder Neustarten von Bereitstellungsaufträgen
Dient zum Delegieren der Möglichkeit zum Aktivieren, Deaktivieren und Neustarten von Bereitstellungsaufträgen. Erforderliche Berechtigungen:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
Konfigurieren des Bereitstellungsschemas
Dient zum Delegieren von Aktualisierungen für die Attributzuordnung. Erforderliche Berechtigungen:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Lesen Sie die Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind
Dient zum Delegieren der Möglichkeit zum Lesen von Bereitstellungseinstellungen, die dem Objekt zugeordnet sind. Erforderliche Berechtigungen:
- microsoft.directory/applications/synchronization/standard/read
Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind
Dient zum Delegieren der Möglichkeit zum Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind. Erforderliche Berechtigungen:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Autorisieren des Anwendungszugriffs für die Bereitstellung
Dient zum Delegieren der Möglichkeit zum Autorisieren des Anwendungszugriffs für die Bereitstellung. Beispieleingabe: OAuth-Bearertoken. Erforderliche Berechtigungen:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Berechtigungen des Anwendungsproxys
Zum Ausführen von Schreibvorgängen für die Anwendungsproxyeigenschaften der Anwendung sind auch die Berechtigungen zum Aktualisieren der grundlegenden Eigenschaften und der Authentifizierung der Anwendung erforderlich.
Zum Lesen und Ausführen von Schreibvorgängen für die Anwendungsproxyeigenschaften der Anwendung sind auch die Leseberechtigungen zum Anzeigen von Connectorgruppen erforderlich, da dies Teil der auf der Seite angezeigten Eigenschaftenliste ist.
Delegieren der Verwaltung von Anwendungsproxyconnectors
Zum Delegieren von Erstellungs-, Lese-, Aktualisierungs- und Löschaktionen für die Connectorverwaltung. Erforderliche Berechtigungen:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
Verwaltung von Anwendungsproxyeinstellungen delegieren
Zum Delegieren von Erstellungs-, Lese-, Aktualisierungs- und Löschaktionen für Anwendungsproxyeigenschaften für eine App. Erforderliche Berechtigungen:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/connectorGroups/allProperties/read
Lesen der Anwendungsproxyeinstellungen für eine App
Zum Delegieren von Leseberechtigungen für Anwendungsproxyeigenschaften für eine App. Erforderliche Berechtigungen:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
Aktualisieren der Anwendungsproxyeinstellungen für die URL-Konfiguration für eine App
Zum Delegieren von Erstellungs-, Lese-, Aktualisierungs- und Löschberechtigungen (Create, Read, Update, Delete, CRUD) zum Aktualisieren der externen URL, der internen URL und der SSL-Zertifikateigenschaften des Anwendungsproxys. Erforderliche Berechtigungen:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
Vollständige Liste der Berechtigungen
| Erlaubnis | Beschreibung |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Lesen sämtlicher Eigenschaften (einschließlich privilegierter Eigenschaften) von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/allProperties/update | Aktualisieren aller Eigenschaften (einschließlich privilegierter Eigenschaften) von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/basic/update | Aktualisieren von Standardeigenschaften von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/create | Erstellen von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/createAsOwner | Erstellen von Anwendungsrichtlinien, und der Ersteller wird als erster Besitzer hinzugefügt |
| microsoft.directory/applicationPolicies/delete | Löschen von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/owners/read | Lesen der Besitzer von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/owners/update | Aktualisieren der owner-Eigenschaft von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Lesen der Liste der auf Objekte angewendeten Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Erstellen und Löschen von Dienstprinzipalen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/servicePrincipals/allProperties/read | Lesen sämtlicher Eigenschaften (einschließlich privilegierter Eigenschaften) von servicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update | Aktualisieren aller Eigenschaften (einschließlich privilegierter Eigenschaften) von servicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Lesen der Rollenzuweisungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Lesen der Rollenzuweisungen, die Dienstprinzipalen zugewiesen sind |
| microsoft.directory/servicePrincipals/audience/update | Aktualisieren der Zielgruppeneigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/authentication/update | Aktualisieren der Authentifizierungseigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/basic/update | Aktualisieren grundlegender Eigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/create | Erstellen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/createAsOwner | Erstellen von Dienstprinzipalen (Ersteller wird als erster Besitzer hinzugefügt) |
| microsoft.directory/servicePrincipals/credentials/update | Aktualisieren der Anmeldeinformationen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/delete | Löschen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/disable | Deaktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/enable | Aktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Lesen von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Verwalten von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Lesen delegierter Berechtigungsgewährungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/owners/read | Lesen der Besitzer von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/owners/update | Aktualisieren der Besitzer von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/permissions/update | Aktualisieren der Berechtigungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/policies/read | Lesen der Richtlinien von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/policies/update | Aktualisieren der Richtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipals/standard/read | Lesen sämtlicher Eigenschaften von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind |
| microsoft.directory/servicePrincipals/tag/update | Aktualisieren der tag-Eigenschaft für Dienstprinzipale |
| microsoft.directory/applicationTemplates/instantiate | Instanziieren von Kataloganwendungen über Anwendungsvorlagen |
| microsoft.directory/auditLogs/allProperties/read | Lesen sämtlicher Eigenschaften von Überwachungsprotokollen (einschließlich privilegierter Eigenschaften) |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte einschließlich privilegierter Eigenschaften |
| microsoft.directory/applications/applicationProxy/read | Lesen aller Anwendungsproxyeigenschaften |
| microsoft.directory/applications/applicationProxy/update | Aktualisieren Sie alle Anwendungsproxyeigenschaften |
| microsoft.directory/applications/applicationProxyAuthentication/update | Aktualisieren der Authentifizierung für alle Arten von Anwendungen |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Aktualisieren Sie die URL-Einstellungen für den Anwendungsproxy |
| microsoft.directory/applications/applicationProxySslCertificate/update | Aktualisieren der SSL-Zertifikateinstellungen für den Anwendungsproxy |
| microsoft.directory/applications/synchronization/standard/read | Auslesen der Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind |
| microsoft.directory/connectorGroups/create | Erstellen Sie private Netzwerk-Konnektor-Gruppen |
| microsoft.directory/connectorGroups/delete | Löschen privater Netzwerkkonnektorgruppen |
| microsoft.directory/connectorGroups/allProperties/read | Lesen aller Eigenschaften privater Netzwerkkonnektorgruppen |
| microsoft.directory/connectorGroups/allProperties/update | Aktualisieren aller Eigenschaften privater Netzwerkkonnektorgruppen |
| microsoft.directory/connectors/create | Erstellen Sie private Netzwerkverbinder |
| microsoft.directory/connectors/allProperties/read | Alle Eigenschaften privater Netzwerkanschlüsse lesen |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |