Autorisations d’application d’entreprise pour les rôles personnalisés dans l’ID Microsoft Entra
Cet article contient les autorisations d’application d’entreprise actuellement disponibles pour les définitions de rôles personnalisées dans l’ID Microsoft Entra. Dans cet article, vous trouverez des listes d’autorisations pour certains scénarios courants et la liste complète des autorisations d’application d’entreprise.
Conditions requises pour la licence
Cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence appropriée pour vos besoins, consultez Comparer les fonctionnalités généralement disponibles de Microsoft Entra ID.
Autorisations d’application d’entreprise
Pour plus d’informations sur l’utilisation de ces autorisations, consultez Affecter des rôles personnalisés pour gérer les applications d’entreprise
Affectation d’utilisateurs ou de groupes à une application
Pour déléguer l’affectation d’utilisateurs et de groupes qui peuvent accéder aux applications d’authentification unique basées sur SAML. Autorisations requises
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Création d’applications de galerie
Pour déléguer la création d’applications Microsoft Entra Gallery telles que ServiceNow, F5, Salesforce, entre autres. Autorisations requises :
- microsoft.directory/applicationTemplates/instantiate
Configuration des URL SAML de base
Pour déléguer la mise à jour et la lecture des configurations SAML de base pour les applications d’authentification unique SAML. Autorisations requises :
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
Renouvellement ou création de certificats de signature
Pour déléguer la gestion des certificats de signature pour les applications d’authentification unique SAML. Autorisations requises.
microsoft.directory/servicePrincipals/credentials/update
Mettre à jour l’adresse e-mail de notification du certificat de connexion expirant
Pour déléguer la mise à jour des adresses e-mail de notification de certificats de connexion arrivant à expiration pour les applications d’authentification unique SAML. Autorisations requises :
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
Gérer la signature de jeton SAML et l’algorithme de connexion
Pour déléguer la mise à jour de la signature de jeton SAML et de l’algorithme de connexion pour les applications d’authentification unique basées sur SAML. Autorisations requises :
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Gérer les attributs et revendications utilisateur
Pour déléguer la création, la suppression et la mise à jour des attributs et revendications utilisateur pour les applications d’authentification unique basées sur SAML. Autorisations requises :
- microsoft.directory/applicationPolicies/basic/update
- microsoft.répertoire/applications/authentification/mise-à-jour
- microsoft.directory/servicePrincipals/policies/update
Autorisations d’approvisionnement d’applications
L’exécution d’une opération d’écriture telle que la gestion du travail, du schéma ou des informations d’identification via l’interface utilisateur nécessite également les autorisations de lecture pour afficher la page d’approvisionnement.
La définition de l’étendue à l’ensemble des utilisateurs et groupes ou aux utilisateurs et groupes affectés nécessite actuellement les autorisations synchronizationJob et synchronizationCredentials.
Activer ou redémarrer des travaux d’approvisionnement
Pour déléguer la possibilité d’activer, désactiver et redémarrer les travaux d’approvisionnement. Autorisations requises :
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
Configurer le schéma d’approvisionnement
Pour déléguer les mises à jour du mappage des attributs. Autorisations requises :
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Lire les paramètres d’approvisionnement associés à l’objet d’application
Pour déléguer la possibilité de lire les paramètres d’approvisionnement associés à l’objet. Autorisations requises :
- microsoft.directory/applications/synchronization/standard/read
Lire les paramètres d’approvisionnement associés à votre principal de service
Pour déléguer la possibilité de lire les paramètres d’approvisionnement associés à votre principal de service. Autorisations requises :
- microsoft.directory/servicePrincipals/synchronization/standard/read
Autoriser l’accès aux applications pour l’approvisionnement
Pour déléguer la possibilité d’autoriser l’accès aux applications pour l’approvisionnement. Exemple de jeton du porteur Oauth en entrée. Autorisations requises :
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Autorisations du proxy d’application
L’exécution d’opérations d’écriture dans les propriétés du proxy d’application de l’application nécessite également les autorisations nécessaires pour mettre à jour les propriétés de base et l’authentification de l’application.
Pour lire et effectuer des opérations d’écriture dans les propriétés du proxy d’application de l’application, vous devez également disposer des autorisations de lecture pour afficher les groupes de connecteurs, car cela fait partie de la liste des propriétés affichées sur la page.
Déléguer la gestion du connecteur proxy d’application
Pour déléguer des actions de création, de lecture, de mise à jour et de suppression pour la gestion des connecteurs. Autorisations requises :
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
Déléguer la gestion des paramètres du proxy d’application
Pour déléguer des actions de création, de lecture, de mise à jour et de suppression pour les propriétés du proxy d’application sur une application. Autorisations requises :
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update (mise à jour de l'authentification des applications)
- microsoft.directory/connectorGroups/allProperties/read
Lire les paramètres du proxy d’application pour une application
Pour déléguer des autorisations de lecture pour les propriétés du proxy d’application sur une application. Autorisations requises :
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
Mettre à jour la configuration d'URL du proxy d'application pour une application
Pour déléguer des autorisations CRUD (Create, Read, Update and Delete) pour la mise à jour de l’URL externe du proxy d’application, de l’URL interne et des propriétés de certificat SSL. Autorisations requises :
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.répertoire/applications/authentification/mise-à-jour
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
Liste complète des autorisations
| Autorisation | Description |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Lire toutes les propriétés (y compris les propriétés privilégiées) sur les stratégies d’application |
| microsoft.directory/applicationPolicies/allProperties/update | Mettre à jour toutes les propriétés (y compris les propriétés privilégiées) sur les stratégies d’application |
| microsoft.directory/applicationPolicies/basic/update | Mettre à jour les propriétés standard des stratégies d’application |
| microsoft.directory/applicationPolicies/create | Créer des stratégies d’application |
| microsoft.directory/applicationPolicies/createAsOwner | Créer des stratégies d’application et le créateur est ajouté en tant que premier propriétaire |
| microsoft.directory/applicationPolicies/delete | Supprimer des stratégies d’application |
| microsoft.directory/applicationPolicies/owners/read | Lire les propriétaires des stratégies d’application |
| microsoft.directory/applicationPolicies/owners/update | Mettre à jour la propriété Owner des stratégies d’application |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Lire les stratégies d’application appliquées à la liste des objets |
| microsoft.directory/applicationPolicies/standard/read | Lire les propriétés standard des stratégies d’application |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Créer et supprimer des principaux de service, ainsi que lire et mettre à jour toutes les propriétés |
| microsoft.directory/servicePrincipals/allProperties/read | Lire toutes les propriétés (y compris les propriétés privilégiées) sur servicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update | Mettre à jour toutes les propriétés (y compris les propriétés privilégiées) sur servicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Lire les attributions de rôles des principaux de service |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Mettre à jour les attributions de rôles de principal de service |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Lire les attributions de rôles affectées aux principaux de service |
| microsoft.directory/servicePrincipals/audience/update | Mettre à jour les propriétés d’audience sur les principaux de service |
| microsoft.directory/servicePrincipals/authentication/update | Mettre à jour les propriétés d’authentification sur les principaux de service |
| microsoft.directory/servicePrincipals/basic/update | Mettre à jour les propriétés de base sur les service principals |
| microsoft.directory/servicePrincipals/create | Créer des principaux de service |
| microsoft.directory/servicePrincipals/createAsOwner | Créer des principaux de service, avec le créateur comme premier propriétaire |
| microsoft.directory/servicePrincipals/credentials/update | Mettre à jour les informations d’identification des principaux de service |
| microsoft.directory/servicePrincipals/delete | Supprimer des principaux de service |
| microsoft.directory/servicePrincipals/disable | Désactiver des principaux de service |
| microsoft.directory/servicePrincipals/enable | Activer les principaux de service |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Lire les informations d’identification de l’authentification unique par mot de passe sur les principaux de service |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Gérer les informations d’identification de l’authentification unique par mot de passe sur les principaux de service |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Lire les octrois d’autorisations déléguées sur les principaux de service |
| microsoft.directory/servicePrincipals/owners/read | Lire les propriétaires des principaux de service |
| microsoft.directory/servicePrincipals/owners/update | Mettre à jour les propriétaires de principaux de service |
| microsoft.directory/servicePrincipals/permissions/update | Mettre à jour les autorisations des principaux de service |
| microsoft.directory/servicePrincipals/policies/read | Lire les stratégies des principaux de service |
| microsoft.directory/servicePrincipals/policies/update | Mettre à jour les stratégies des principaux de service |
| microsoft.directory/servicePrincipals/standard/read | Lire toutes les propriétés des principaux du service |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lire les paramètres d’approvisionnement associés à votre principal de service |
| microsoft.directory/servicePrincipals/tag/update | Mettre à jour la propriété Balise pour les principaux de service |
| microsoft.directory/applicationTemplates/instantiate | Instancier des applications de galerie à partir de modèles d’application |
| microsoft.directory/auditLogs/allProperties/read | Lire toutes les propriétés dans les journaux d’audit, y compris les propriétés privilégiées |
| microsoft.directory/signInReports/allProperties/read | Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées |
| microsoft.directory/applications/applicationProxy/read | Lire toutes les propriétés du proxy d’application |
| microsoft.directory/applications/applicationProxy/update | Mettre à jour toutes les propriétés du proxy d’application |
| microsoft.directory/applications/applicationProxyAuthentication/update | Mettre à jour l’authentification sur tous les types d’applications |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Mettre à jour les paramètres d’URL pour le proxy d’application |
| microsoft.directory/applications/applicationProxySslCertificate/update | Mettre à jour les paramètres de certificat SSL pour le proxy d’application |
| microsoft.directory/applications/synchronization/standard/read | Lire les paramètres d’approvisionnement associés à l’objet d’application |
| microsoft.directory/connectorGroups/create | Créer des groupes de connecteurs de réseau privé |
| microsoft.directory/connectorGroups/delete | Supprimer des groupes de connecteurs de réseau privé |
| microsoft.directory/connectorGroups/allProperties/read | Lire toutes les propriétés des groupes de connecteurs de réseau privé |
| microsoft.directory/connectorGroups/allProperties/update | Mettre à jour toutes les propriétés des groupes de connecteurs de réseau privé |
| microsoft.directory/connectors/create | Créer des connecteurs de réseau privé |
| microsoft.directory/connectors/allProperties/read | Lire toutes les propriétés des connecteurs de réseau privé |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Démarrer, redémarrer et suspendre les travaux de synchronisation d’approvisionnement d’applications |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lire les paramètres d’approvisionnement associés à votre principal de service |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Créer et gérer des travaux et schémas de synchronisation d’approvisionnement d’applications |
| microsoft.directory/provisioningLogs/allProperties/read | Lire toutes les propriétés des journaux d’approvisionnement |