Permisos de aplicaciones empresariales para roles personalizados en Microsoft Entra ID
Este artículo contiene los permisos de aplicación empresarial actualmente disponibles para las definiciones de roles personalizados en Microsoft Entra ID. En este artículo, encontrará listas de permisos para algunos escenarios comunes y la lista completa de permisos de aplicación empresarial.
Requisitos de licencia
El uso de esta característica requiere licencias de Microsoft Entra ID P1. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.
Permisos de aplicación empresarial
Para obtener más información sobre cómo usar estos permisos, consulte Asignación de roles personalizados para administrar aplicaciones empresariales
Asignación de usuarios o grupos a una aplicación
Para delegar la asignación de usuarios y grupos que pueden acceder a aplicaciones de inicio de sesión único basadas en SAML. Permisos necesarios
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Creación de aplicaciones de galerías
Para delegar la creación de aplicaciones de la galería de Microsoft Entra como ServiceNow, F5 y Salesforce, entre otros. Permisos necesarios:
- microsoft.directory/applicationTemplates/instantiate
Configuración de direcciones URL básicas de SAML
Para delegar la actualización y lectura de configuraciones básicas de SAML para aplicaciones de inicio de sesión único basadas en SAML. Permisos necesarios:
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
Sustitución o creación de certificados de firma
Para delegar la administración de certificados de firma para aplicaciones de inicio de sesión único basadas en SAML. Permisos necesarios.
microsoft.directory/servicePrincipals/credentials/update
Actualizar la dirección de correo electrónico de notificación del certificado de inicio de sesión que expira
Para delegar la actualización de las direcciones de correo electrónico de notificación de certificados de inicio de sesión expirados para aplicaciones de inicio de sesión único basadas en SAML. Permisos necesarios:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
Administración de la firma de tokens SAML y el algoritmo de inicio de sesión
Para delegar la actualización de la firma del token SAML y el algoritmo de autenticación para aplicaciones de inicio de sesión único basadas en SAML. Permisos necesarios:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Administración de atributos y declaraciones de usuario
Para delegar la creación, eliminación y actualización de atributos de usuario y declaraciones para aplicaciones de inicio de sesión único basadas en SAML. Permisos necesarios:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Permisos de aprovisionamiento de aplicaciones
La realización de cualquier operación de escritura, como administrar el trabajo, el esquema o las credenciales a través de la interfaz de usuario también requerirá los permisos de lectura para ver la página de aprovisionamiento.
Para establecer el ámbito en todos los usuarios y grupos, o en los usuarios y grupos asignados actualmente, se necesitan los permisos synchronizationJob y synchronizationCredentials.
Activar o reiniciar trabajos de aprovisionamiento
Para delegar la capacidad de activar, desactivar y reiniciar los trabajos de aprovisionamiento. Permisos necesarios:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
Configuración del esquema de aprovisionamiento
Para delegar las actualizaciones en la asignación de atributos. Permisos necesarios:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Leer la configuración de aprovisionamiento asociada al objeto de aplicación
Para delegar la capacidad de leer la configuración de aprovisionamiento asociada al objeto . Permisos necesarios:
- microsoft.directory/applications/synchronization/standard/read
Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio
Para delegar la capacidad de leer la configuración de aprovisionamiento asociada a la entidad de servicio. Permisos necesarios:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Autorización del acceso a aplicaciones para el aprovisionamiento
Para delegar la capacidad de autorización del acceso a la aplicación para el aprovisionamiento. Token de portador de OAuth de entrada de ejemplo. Permisos necesarios:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Permisos de Application Proxy
La realización de operaciones de escritura en las propiedades de Application Proxy de la aplicación también requiere los permisos para actualizar las propiedades básicas y la autenticación de la aplicación.
Para leer y realizar cualquier operación de escritura en las propiedades de Application Proxy de la aplicación también requiere los permisos de lectura para ver los grupos de conectores, ya que esto forma parte de la lista de propiedades que se muestran en la página.
Delegación de la administración del conector de Application Proxy
Para delegar acciones de creación, lectura, actualización y eliminación en la gestión de conectores. Permisos necesarios:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
Administración delegada de la configuración de proxy de aplicaciones
Para delegar acciones de creación, lectura, actualización y eliminación de las propiedades de Application Proxy en una aplicación. Permisos necesarios:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/connectorGroups/allProperties/read
Lectura de la configuración de Application Proxy para una aplicación
Para delegar permisos de lectura para las propiedades de Application Proxy en una aplicación. Permisos necesarios:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
Actualización de la configuración de URL de Application Proxy para una aplicación
Para delegar permisos de creación, lectura, actualización y eliminación (CRUD) para actualizar la dirección URL externa del proxy de aplicación, la dirección URL interna y las propiedades del certificado SSL. Permisos necesarios:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
Lista completa de permisos
| Permiso | Descripción |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Lectura de todas las propiedades (incluidas las propiedades con privilegios) en directivas de aplicación |
| microsoft.directory/applicationPolicies/allProperties/update | Actualizar todas las propiedades (incluidas las propiedades con privilegios) en las directivas de aplicación |
| microsoft.directory/applicationPolicies/basic/update | Actualización de las propiedades estándar de las directivas de aplicación |
| microsoft.directory/applicationPolicies/create | Creación de directivas de aplicación |
| microsoft.directory/applicationPolicies/createAsOwner | Crea directivas de aplicación, y el creador se agrega como el primer propietario |
| microsoft.directory/applicationPolicies/delete | Eliminar directivas de aplicación |
| microsoft.directory/applicationPolicies/owners/read | Leer los propietarios en directivas de aplicación |
| microsoft.directorio/politicasDeAplicacion/propietarios/actualizar | Actualizar la propiedad de propietario de las directivas de aplicación |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Leer directivas de aplicación aplicadas a la lista de objetos |
| microsoft.directory/applicationPolicies/standard/read | Leer las propiedades estándar de las directivas de aplicación |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Crear y eliminar entidades de servicio, y leer y actualizar todas las propiedades |
| microsoft.directory/servicePrincipals/allProperties/read | Leer todas las propiedades (incluidas las propiedades con privilegios) en servicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update | Actualizar todas las propiedades (incluidas las propiedades con privilegios) en servicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Leer las asignaciones de roles de la entidad de servicio |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Actualiza las asignaciones de rol de la entidad de servicio. |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Leer las asignaciones de roles asignadas a las entidades de servicio |
| microsoft.directory/servicePrincipals/audience/update | Actualizar las propiedades de público en las entidades de servicio |
| microsoft.directory/servicePrincipals/authentication/update | Actualizar las propiedades de autenticación en las entidades de servicio |
| microsoft.directory/servicePrincipals/basic/update | Actualizar las propiedades básicas de las entidades de servicio |
| microsoft.directory/servicePrincipals/create | Creación de entidades de servicio |
| microsoft.directory/servicePrincipals/createAsOwner | Crear entidades de servicio, con el creador como primer propietario |
| microsoft.directory/servicePrincipals/credentials/update | Actualización de las credenciales de los principales de servicio |
| microsoft.directory/servicePrincipals/delete | Eliminar entidades de servicio |
| microsoft.directory/servicePrincipals/disable | Deshabilitar entidades de servicio |
| microsoft.directory/servicePrincipals/enable | Permite habilitar entidades de servicio. |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Leer las credenciales de inicio de sesión único con contraseña en las entidades de servicio |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Administrar las credenciales de inicio de sesión único con contraseña en las entidades de servicio |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Leer las concesiones de permisos delegados de las entidades de servicio |
| microsoft.directory/servicePrincipals/owners/read | Leer los propietarios de las entidades de servicio |
| microsoft.directory/servicePrincipals/owners/update | Actualizar los propietarios de las entidades de servicio |
| microsoft.directory/servicePrincipals/permissions/update | Actualizar los permisos de las entidades de servicio |
| microsoft.directory/servicePrincipals/policies/read | Leer las directivas de las entidades de servicio |
| microsoft.directory/servicePrincipals/policies/update | Actualizar las directivas de las entidades de servicio |
| microsoft.directory/servicePrincipals/standard/read | Leer las propiedades básicas de las entidades de servicio |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio |
| microsoft.directory/servicePrincipals/tag/update | Actualizar la propiedad de etiqueta de las entidades de servicio |
| microsoft.directory/applicationTemplates/instantiate | Instanciar aplicaciones de galería desde plantillas de aplicación |
| microsoft.directory/auditLogs/allProperties/read | Lee todas las propiedades de los registros de auditoría, incluidas las propiedades con privilegios. |
| microsoft.directory/signInReports/allProperties/read | Leer todas las propiedades de los informes de inicio de sesión, incluidas las propiedades con privilegios |
| microsoft.directory/applications/applicationProxy/read | Leer todas las propiedades del proxy de aplicación |
| microsoft.directory/applications/applicationProxy/update | Actualización de todas las propiedades del proxy de aplicación |
| microsoft.directory/applications/applicationProxyAuthentication/update | Actualización de la autenticación en todos los tipos de aplicaciones |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Actualizar la configuración de dirección URL para el proxy de aplicación |
| microsoft.directory/applications/applicationProxySslCertificate/update | Actualización de la configuración del certificado SSL para el proxy de aplicación |
| microsoft.directory/applications/synchronization/standard/read | Leer la configuración de aprovisionamiento asociada al objeto de aplicación |
| microsoft.directory/connectorGroups/create | Creación de grupos de conectores de red privada |
| microsoft.directory/connectorGroups/delete | Eliminación de grupos de conectores de red privada |
| microsoft.directory/connectorGroups/allProperties/read | Leer todas las propiedades de los grupos de conectores de red privada |
| microsoft.directory/connectorGroups/allProperties/update | Actualización de todas las propiedades de los grupos de conectores de red privada |
| microsoft.directory/connectors/create | Creación de conectores de red privada |
| microsoft.directory/connectors/allProperties/read | Leer todas las propiedades de los conectores de red privada |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Iniciar, reiniciar y pausar trabajos de sincronización de aprovisionamiento de aplicaciones |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lectura de la configuración de aprovisionamiento asociada a la entidad de servicio |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Creación y administración de esquemas y trabajos de sincronización de aprovisionamiento de aplicaciones |
| microsoft.directory/provisioningLogs/allProperties/read | Permite leer todas las propiedades de los registros de aprovisionamiento. |