Autorizzazioni di consenso dell'app per i ruoli personalizzati in Microsoft Entra ID
Questo articolo contiene le autorizzazioni di consenso dell'app attualmente disponibili per le definizioni di ruolo personalizzate in Microsoft Entra ID. In questo articolo sono disponibili le autorizzazioni necessarie per alcuni scenari comuni correlati al consenso e alle autorizzazioni dell'app.
Requisiti di licenza
L'uso di questa funzionalità richiede licenze microsoft Entra ID P1. Per trovare la licenza appropriata per le tue esigenze, vedere Confronta le funzionalità disponibili a livello generale di Microsoft Entra ID.
Autorizzazioni per l'uso dell'app
Usare le autorizzazioni elencate in questo articolo per gestire i criteri di consenso delle app, nonché l'autorizzazione per concedere il consenso alle app.
Nota
L'interfaccia di amministrazione di Microsoft Entra non supporta ancora l'aggiunta delle autorizzazioni elencate in questo articolo a una definizione di ruolo personalizzata. È necessario usare Microsoft Graph PowerShell per creare un ruolo personalizzato con le autorizzazioni elencate in questo articolo.
Concessione di autorizzazioni delegate alle app per conto dell'utente (consenso dell'utente)
Per consentire agli utenti di concedere il consenso alle applicazioni per conto di se stessi (consenso utente), soggetti a criteri di consenso dell'app.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}
Dove {id} viene sostituito dall'ID di un criterio di consenso dell'app che imposta le condizioni che devono essere soddisfatte affinché questa autorizzazione sia attiva.
Ad esempio, per consentire agli utenti di concedere il consenso per conto proprio, soggetto ai criteri predefiniti di consenso delle app con ID microsoft-user-default-low, usare l'autorizzazione ...managePermissionGrantsForSelf.microsoft-user-default-low.
Concessione di autorizzazioni alle app per conto di tutti (consenso amministratore)
Per delegare il consenso amministratore a livello di tenant alle app, sia per le autorizzazioni delegate che per le autorizzazioni dell'applicazione (ruoli dell'app):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
Dove {id} viene sostituito dall'ID di un criterio di consenso dell'app che imposta le condizioni che devono essere soddisfatte affinché questa autorizzazione sia utilizzabile.
Ad esempio, per consentire agli assegnatari di ruolo di concedere il consenso amministratore a livello di tenant alle app soggette a un criterio di consenso dell'app personalizzato con ID low-risk-any-app, si userà l'autorizzazione microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.
Gestione dei criteri di consenso delle app
Per delegare la creazione, l'aggiornamento e l'eliminazione dei criteri di consenso delle app .
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
Elenco completo delle autorizzazioni
| Permesso | Descrizione |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} | Concede la possibilità di fornire il consenso alle app per conto dell'utente (consenso dell'utente), soggetto ai criteri di consenso dell'app {id}. |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | Concede il permesso di acconsentire alle app a nome di tutti (consenso amministrativo a livello di tenant), secondo la politica di consenso delle app {id}. |
| microsoft.directory/permissionGrantPolicies/standard/read | Leggere le proprietà standard delle policy di autorizzazione |
| microsoft.directory/permissionGrantPolicies/basic/update | Aggiornare le proprietà di base dei criteri di concessione delle autorizzazioni |
| microsoft.directory/permissionGrantPolicies/create | Creare criteri di concessione delle autorizzazioni |
| microsoft.directory/permissionGrantPolicies/delete | Eliminare i criteri di concessione delle autorizzazioni |