Autorizzazioni dell'applicazione aziendale per ruoli personalizzati in Microsoft Entra ID
Questo articolo contiene le autorizzazioni dell'applicazione aziendale attualmente disponibili per le definizioni di ruolo personalizzate in Microsoft Entra ID. In questo articolo sono disponibili elenchi di autorizzazioni per alcuni scenari comuni e l'elenco completo delle autorizzazioni per le app aziendali.
Requisiti di licenza
L'uso di questa funzionalità richiede licenze microsoft Entra ID P1. Per trovare la licenza appropriata per le tue esigenze, vedere Confronta le funzionalità disponibili a livello generale di Microsoft Entra ID.
Autorizzazioni dell'applicazione aziendale
Per altre informazioni su come usare queste autorizzazioni, vedere Assegnare ruoli personalizzati per gestire le app aziendali
Assegnazione di utenti o gruppi a un'applicazione
Per delegare l'assegnazione di utenti e gruppi che possono accedere alle applicazioni Single Sign-On basate su SAML. Autorizzazioni necessarie
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Creazione di applicazioni per gallerie
Per delegare la creazione di applicazioni di Microsoft Entra Gallery come ServiceNow, F5, Salesforce, tra le altre. Autorizzazioni necessarie:
- microsoft.directory/applicationTemplates/crea un'istanza
Configurazione degli URL SAML di base
Per delegare l'aggiornamento e la lettura delle configurazioni SAML di base per le applicazioni Single Sign-On basate su SAML. Autorizzazioni necessarie:
- Aggiorna l'autenticazione per i servicePrincipals nella directory Microsoft.
- microsoft.directory/applications.myOrganization/authentication/update
Rinnovo o creazione di certificati di firma
Per delegare la gestione dei certificati di firma per le applicazioni Single Sign-On basate su SAML. Autorizzazioni necessarie.
microsoft.directory/servicePrincipals/credentials/update
Aggiornare l'indirizzo email per la notifica del certificato di accesso in scadenza
Per delegare l'aggiornamento degli indirizzi di posta elettronica di notifica dei certificati di accesso in scadenza per le applicazioni Single Sign-On basate su SAML. Autorizzazioni necessarie:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- Aggiorna l'autenticazione per i servicePrincipals nella directory Microsoft.
- microsoft.directory/servicePrincipals/basic/update
Gestire la firma del token SAML e l'algoritmo di accesso
Per delegare l'aggiornamento della firma del token SAML e dell'algoritmo di accesso per le applicazioni Single Sign-On basate su SAML. Autorizzazioni necessarie:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applicazioni/autenticazione/aggiornamento
- microsoft.directory/servicePrincipals/policies/update
Gestire attributi utente e asserzioni
Per delegare la creazione, l'eliminazione e l'aggiornamento degli attributi utente e delle attestazioni per le applicazioni Single Sign-On basate su SAML. Autorizzazioni necessarie:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applicazioni/autenticazione/aggiornamento
- microsoft.directory/servicePrincipals/policies/update
Autorizzazioni di provisioning delle app
Per eseguire qualsiasi operazione di scrittura, come la gestione del job, dello schema o delle credenziali tramite l'interfaccia utente, saranno necessarie anche le autorizzazioni di lettura per visualizzare la pagina di approvvigionamento.
L'impostazione dell'ambito su tutti gli utenti e gruppi o sugli utenti e gruppi assegnati attualmente richiede entrambe le autorizzazioni synchronizationJob e synchronizationCredentials.
Attivare o riavviare i processi di provisioning
Per delegare la capacità di attivare, disattivare e riavviare le attività di provisioning. Autorizzazioni necessarie:
- microsoft.directory/servicePrincipals/synchronizationJobs/gestire
Configurare lo schema di provisioning
Per delegare l'aggiornamento del mapping degli attributi. Autorizzazioni necessarie:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Leggere le impostazioni di provisioning associate all'oggetto dell'applicazione
Per delegare l'abilità di leggere le impostazioni di provisioning associate all'oggetto. Autorizzazioni necessarie:
- microsoft.directory/applications/synchronization/standard/read
Leggere le impostazioni di provisioning associate al principale del servizio
Per delegare l'accesso in lettura alle impostazioni di provisioning associate al principale del servizio. Autorizzazioni necessarie:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Autorizzare l'accesso alle applicazioni per il provisioning
Per delegare la possibilità di autorizzare l'accesso alle applicazioni per il provisioning. Token di esempio Oauth di tipo Bearer. Autorizzazioni necessarie:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Autorizzazioni per il proxy dell'applicazione
L'esecuzione di qualsiasi operazione di scrittura nelle proprietà del proxy di applicazione dell'applicazione richiede anche le autorizzazioni per aggiornare le proprietà e l'autenticazione di base dell'applicazione.
Per leggere ed eseguire qualsiasi operazione di scrittura sulle proprietà del proxy di applicazione, sono necessarie anche le autorizzazioni di lettura per visualizzare i gruppi di connettori, poiché essi fanno parte dell'elenco delle proprietà visualizzate nella pagina.
Delegare la gestione del Application Proxy connector
Per delegare azioni di creazione, lettura, aggiornamento ed eliminazione per la gestione dei connettori. Autorizzazioni necessarie:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
Delega la gestione delle impostazioni Proxy dell'applicazione
Per delegare azioni di creazione, lettura, aggiornamento ed eliminazione per le proprietà del proxy di applicazione in un'app. Autorizzazioni necessarie:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applicazioni/base/aggiornamento
- microsoft.directory/applicazioni/autenticazione/aggiornamento
- microsoft.directory/connectorGroups/allProperties/read
Leggere le impostazioni del proxy dell'applicazione per un'app
Per delegare le autorizzazioni di lettura per le proprietà di Application Proxy per un'app. Autorizzazioni necessarie:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
Aggiornare le impostazioni di configurazione dell'URL del proxy applicazione per un'app
Per delegare le autorizzazioni di creazione, lettura, aggiornamento ed eliminazione (CRUD) per l'aggiornamento delle proprietà dell'URL esterno, URL interno e certificato SSL del proxy di applicazione. Autorizzazioni necessarie:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applicazioni/base/aggiornamento
- microsoft.directory/applicazioni/autenticazione/aggiornamento
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
Elenco completo delle autorizzazioni
| Permesso | Descrizione |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Leggere tutte le proprietà (incluse le proprietà con privilegi) nelle politiche dell'applicazione |
| microsoft.directory/applicationPolicies/allProperties/update | Aggiornare tutte le proprietà (incluse le proprietà con privilegi) nelle politiche dell'applicazione |
| microsoft.directory/applicationPolicies/basic/update | Aggiornare le proprietà standard dei criteri dell'applicazione |
| microsoft.directory/politicheApplicazioni/crea | Creare criteri dell'applicazione |
| microsoft.directory/applicationPolicies/createAsOwner | Creare politiche dell'applicazione e, come primo proprietario, viene aggiunto l'autore. |
| microsoft.directory/applicationPolicies/delete | Eliminare le politiche dell'applicazione |
| microsoft.directory/applicationPolicies/owners/read | Leggere i proprietari nelle politiche dell'applicazione |
| microsoft.directory/applicationPolicies/owners/update | Aggiornare la proprietà proprietario dei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Leggere i criteri dell'applicazione applicati all'elenco di oggetti |
| microsoft.directory/applicationPolicies/standard/read | Leggere le proprietà standard dei criteri applicativi |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Creare ed eliminare principali del servizio e leggere e aggiornare tutte le proprietà |
| microsoft.directory/servicePrincipals/allProperties/read | Leggere tutte le proprietà (comprese quelle privilegiate) sui servicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update | Aggiornare tutte le proprietà (incluse le proprietà con privilegi) in servicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Leggere le assegnazioni di ruolo del principale del servizio |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornare le assegnazioni di ruolo del principale del servizio |
| microsoft.directory/servicePrincipals/appRoleAssignments/leggi | Leggere le assegnazioni di ruolo assegnate alle entità servizio |
| microsoft.directory/servicePrincipals/audience/update | Aggiornare le proprietà del gruppo di destinatari nelle entità servizio |
| Aggiorna l'autenticazione per i servicePrincipals nella directory Microsoft. | Aggiornare le proprietà di autenticazione nelle entità servizio |
| microsoft.directory/servicePrincipals/basic/update | Aggiornare le proprietà di base dei principali del servizio |
| microsoft.directory/servicePrincipals/create | Creare entità servizio |
| microsoft.directory/servicePrincipals/createAsOwner | Creare entità servizio, con creator come primo proprietario |
| microsoft.directory/servicePrincipals/credentials/update | Aggiornare le credenziali dei principali di servizio |
| microsoft.directory/servicePrincipals/delete | Eliminare i principali servizio |
| microsoft.directory/servicePrincipals/disable | Disabilitare i principali di servizio |
| microsoft.directory/servicePrincipals/enable | Abilitare i principali del servizio |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Leggere le credenziali di Single Sign-On per le password nelle entità servizio |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Gestire le credenziali di Single Sign-On basate su password nei principali del servizio |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/lettura | Leggere le concessioni di autorizzazioni delegate per le entità del servizio |
| microsoft.directory/servicePrincipals/owners/read | Leggere i proprietari delle entità servizio |
| microsoft.directory/servicePrincipals/owners/update | Aggiornare i proprietari delle entità di servizio |
| microsoft.directory/principaliDelServizio/permessi/aggiorna | Aggiornare le autorizzazioni delle entità di servizio |
| microsoft.directory/servicePrincipals/policies/read | Leggere le politiche dei principali del servizio |
| microsoft.directory/servicePrincipals/policies/update | Aggiornare le politiche dei principali del servizio |
| microsoft.directory/servicePrincipals/standard/read | Leggere le proprietà di base delle entità servizio |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Leggere le impostazioni di provisioning associate al principale del servizio |
| microsoft.directory/servicePrincipals/tag/update | Aggiornare la proprietà dei tag per i principali del servizio |
| microsoft.directory/applicationTemplates/crea un'istanza | Creare istanze di applicazione galleria dai modelli di applicazione |
| microsoft.directory/auditLogs/allProperties/read | Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi |
| microsoft.directory/signInReports/allProperties/read | Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.directory/applications/applicationProxy/read | Leggere tutte le proprietà del proxy di applicazione |
| microsoft.directory/applications/applicationProxy/update | Aggiornare tutte le proprietà del proxy dell'applicazione |
| microsoft.directory/applications/applicationProxyAuthentication/update | Aggiornare l'autenticazione in tutti i tipi di applicazioni |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Aggiornare le impostazioni URL per il proxy dell'applicazione |
| microsoft.directory/applications/applicationProxySslCertificate/update | Aggiornare le impostazioni del certificato SSL per il proxy dell'applicazione |
| microsoft.directory/applications/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'oggetto dell'applicazione |
| microsoft.directory/connectorGroups/create | Creare gruppi di connettori di rete privata |
| microsoft.directory/connectorGroups/delete | Eliminare gruppi di connettori di rete privati |
| microsoft.directory/connectorGroups/allProperties/read | Leggere tutte le proprietà dei gruppi di connettori di rete privata |
| microsoft.directory/connectorGroups/allProperties/update | Aggiornare tutte le proprietà dei gruppi di connettori di rete privata |
| microsoft.directory/connectors/create | Creare connettori di rete privata |
| microsoft.directory/connectors/allProperties/read | Leggere tutte le proprietà dei connettori di rete privata |
| microsoft.directory/servicePrincipals/synchronizationJobs/gestire | Avvia, riavvia e sospendi le attività di sincronizzazione del provisioning delle applicazioni. |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Leggere le impostazioni di provisioning associate al principale del servizio |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Creare e gestire processi di sincronizzazione e schemi di provisioning delle applicazioni |
| microsoft.directory/provisioningLogs/allProperties/read | Leggere tutte le proprietà dei log di provisioning |