Autorisations de consentement d’application pour les rôles personnalisés dans l’ID Microsoft Entra
Cet article contient les autorisations de consentement d’application actuellement disponibles pour les définitions de rôle personnalisées dans l’ID Microsoft Entra. Dans cet article, vous trouverez les autorisations requises pour certains scénarios courants liés au consentement et aux autorisations de l’application.
Conditions requises pour la licence
Cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence appropriée pour vos besoins, consultez Comparaison des fonctionnalités généralement disponibles de Microsoft Entra ID.
Autorisations de consentement de l’application
Utilisez les autorisations répertoriées dans cet article pour gérer les stratégies de consentement des applications, ainsi que l’autorisation d’accorder le consentement aux applications.
Note
Le Centre d’administration Microsoft Entra ne prend pas encore en charge l’ajout des autorisations répertoriées dans cet article à une définition de rôle personnalisée. Vous devez utiliser Microsoft Graph PowerShell pour créer un rôle personnalisé avec les autorisations répertoriées dans cet article.
Octroi d’autorisations déléguées aux applications pour le compte d’eux-mêmes (consentement de l’utilisateur)
Pour permettre aux utilisateurs d’accorder leur consentement aux applications pour le compte d’eux-mêmes (consentement de l’utilisateur), soumis à une stratégie de consentement d’application.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}
Lorsque {id} est remplacé par l’ID d’une stratégie de consentement d’application qui définit les conditions qui doivent être remplies pour que cette autorisation soit active.
Par exemple, pour permettre aux utilisateurs d’accorder leur consentement en leur propre nom, sous réserve de la stratégie de consentement d’application intégrée avec l’ID microsoft-user-default-low, vous utiliserez l’autorisation ...managePermissionGrantsForSelf.microsoft-user-default-low.
Octroi d’autorisations aux applications au nom de tous (consentement administrateur)
Pour déléguer le consentement administrateur au niveau du locataire pour des applications, à la fois pour les autorisations déléguées et les autorisations d’application (rôles d’application) :
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
Lorsque {id} est remplacé par l’ID d’une stratégie de consentement d’application qui définit les conditions qui doivent être remplies pour que cette autorisation soit utilisable.
Par exemple, pour autoriser les destinataires de rôles à accorder un consentement administrateur au niveau du locataire aux applications soumises à une stratégie de consentement d’application personnalisée ayant l’ID low-risk-any-app, vous devez utiliser l’autorisation microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.
Gestion des stratégies de consentement de l’application
Pour déléguer la création, la mise à jour et la suppression de politiques de consentement des applications .
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
Liste complète des autorisations
| Autorisation | Description |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} | Accorde la possibilité de donner son consentement aux applications en son propre nom (consentement de l'utilisateur), sous réserve de la politique de consentement de l'application {id}. |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | Octroie l’autorisation d’accorder son consentement aux applications pour le compte de tous (consentement administrateur au niveau du locataire), sous réserve de la stratégie de consentement d’application {id}. |
| microsoft.directory/permissionGrantPolicies/standard/read | Lire les propriétés standard des stratégies d’octroi d’autorisations |
| microsoft.directory/permissionGrantPolicies/basic/update | Mettre à jour les propriétés de base des stratégies d’octroi d’autorisations |
| microsoft.directory/permissionGrantPolicies/create | Créer des stratégies d’octroi d’autorisations |
| microsoft.directory/permissionGrantPolicies/delete | Supprimer les stratégies d’octroi d’autorisations |