Compartir a través de

Permisos de consentimiento de la aplicación para roles personalizados en Microsoft Entra ID

  • Artículo

Este artículo contiene los permisos de consentimiento de la aplicación disponibles actualmente para las definiciones de roles personalizados en Microsoft Entra ID. En este artículo, encontrará los permisos necesarios para algunos escenarios comunes relacionados con el consentimiento y los permisos de la aplicación.

Requisitos de licencia

El uso de esta característica requiere licencias de Microsoft Entra ID P1. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.

Use los permisos enumerados en este artículo para administrar las directivas de consentimiento de aplicaciones, así como el permiso para conceder consentimiento a las aplicaciones.

Nota

El Centro de administración de Microsoft Entra aún no admite la adición de los permisos enumerados en este artículo a una definición de rol personalizada. Debe usar PowerShell de Microsoft Graph para crear un rol personalizado con los permisos que se enumeran en este artículo.

Para permitir que los usuarios concedan consentimiento a las aplicaciones en nombre de sí mismos (consentimiento del usuario), sujeto a una directiva de consentimiento de la aplicación.

  • microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}

Cuando {id} se reemplaza por el identificador de una directiva de consentimiento de aplicación que establecerá las condiciones que deben cumplirse para que este permiso esté activo.

Por ejemplo, para permitir que los usuarios concedan consentimiento en su propio nombre, sujeto a la directiva de consentimiento de la aplicación integrada con el identificador microsoft-user-default-low, usarías el permiso ...managePermissionGrantsForSelf.microsoft-user-default-low.

Para delegar el consentimiento de administrador a las aplicaciones para todo el inquilino, tanto permisos delegados como permisos de aplicación (roles de aplicación):

  • microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}

Cuando {id} se reemplaza por el identificador de una directiva de consentimiento de aplicación que establecerá las condiciones que deben cumplirse para que este permiso se pueda usar.

Por ejemplo, para permitir que los destinatarios del rol concedan consentimiento de administrador a las aplicaciones para todo el inquilino, de acuerdo con una directiva de consentimiento de aplicaciones personalizada con el identificador low-risk-any-app, se usaría el permiso microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.

Para delegar la creación, actualización y eliminación de directivas de consentimiento de aplicaciones.

  • microsoft.directory/permissionGrantPolicies/create
  • microsoft.directory/permissionGrantPolicies/standard/read
  • microsoft.directory/permissionGrantPolicies/basic/update
  • microsoft.directory/permissionGrantPolicies/delete

Lista completa de permisos

Permiso Descripción
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} Concede la capacidad de dar su consentimiento a las aplicaciones en su propio nombre (consentimiento del usuario), sujeto a la política de consentimiento de aplicaciones {id}.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} Concede los permisos para dar su consentimiento a las aplicaciones en nombre de todos (consentimiento administrativo a nivel de toda la organización), conforme a la política de consentimiento de aplicaciones {id}.
microsoft.directory/permissionGrantPolicies/standard/read Leer las propiedades estándar de las políticas de concesión de permisos
microsoft.directory/permissionGrantPolicies/basic/update Actualización de las propiedades básicas de las directivas de concesión de permisos
microsoft.directory/permissionGrantPolicies/create Creación de directivas de concesión de permisos
microsoft.directory/permissionGrantPolicies/delete Eliminar directivas de concesión de permisos

Pasos siguientes