Microsoft Entra ID의 사용자 지정 역할에 대한 엔터프라이즈 애플리케이션 권한
이 문서에는 Microsoft Entra ID의 사용자 지정 역할 정의에 대해 현재 사용 가능한 엔터프라이즈 애플리케이션 권한이 포함되어 있습니다. 이 문서에서는 몇 가지 일반적인 시나리오에 대한 사용 권한 목록과 엔터프라이즈 앱 사용 권한의 전체 목록을 찾을 수 있습니다.
라이선스 요구 사항
이 기능을 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 맞는 적절한 라이선스를 찾으려면 Microsoft Entra ID의 일반적으로 제공되는 기능을 비교한 을 참조하세요.
엔터프라이즈 애플리케이션 권한
"이러한 사용 권한을 사용하는 방법에 대한 자세한 내용은 엔터프라이즈 앱 관리를 위해 사용자 지정 역할 할당을 참조하십시오"
애플리케이션에 사용자 또는 그룹 할당
SAML 기반 Single Sign-On 애플리케이션에 액세스할 수 있는 사용자 및 그룹의 할당을 위임합니다. 필요한 권한
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
갤러리 애플리케이션 만들기
ServiceNow, F5, Salesforce 등과 같은 Microsoft Entra Gallery 애플리케이션 생성을 위임합니다. 필요한 권한:
- microsoft.directory/애플리케이션템플릿/인스턴스화
기본 SAML URL 구성
SAML 기반 Single Sign-On 애플리케이션에 대한 기본 SAML 구성의 업데이트 및 읽기를 위임합니다. 필요한 권한:
- microsoft.directory/servicePrincipals/authentication/update
- 마이크로소프트 디렉토리/애플리케이션.내조직/인증/업데이트
서명 인증서 갱신 또는 생성하기
SAML 기반 Single Sign-On 애플리케이션에 대한 서명 인증서 관리를 위임합니다. 권한이 필요합니다.
microsoft.directory/servicePrincipals/credentials/update (microsoft 디렉토리/서비스 주체/자격 증명/업데이트)
만료된 로그인 인증서 알림 이메일 주소 업데이트
SAML 기반 Single Sign-On 애플리케이션에 대해 만료되는 로그인 인증서 알림 이메일 주소의 업데이트를 위임하려면 필요한 권한:
- 마이크로소프트 디렉토리/애플리케이션.내조직/인증/업데이트
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
SAML 토큰 서명 및 로그인 알고리즘 관리
SAML 기반 Single Sign-On 애플리케이션에 대한 SAML 토큰 서명 및 로그인 알고리즘의 업데이트를 위임하려면 필요한 권한:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
사용자 특성 및 클레임 관리
SAML 기반 Single Sign-On 애플리케이션에 대한 사용자 특성 및 클레임의 만들기, 삭제 및 업데이트를 위임합니다. 필요한 권한:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
애플리케이션 프로비저닝 권한
UI를 통해 작업, 스키마 또는 자격 증명 관리와 같은 쓰기 작업을 수행하려면 프로비저닝 페이지를 보려면 읽기 권한이 필요합니다.
범위를 모든 사용자 및 그룹 또는 할당된 사용자 및 그룹으로 설정하려면 현재 synchronizationJob 및 synchronizationCredentials 권한이 모두 필요합니다.
프로비저닝 작업을 켜거나 다시 시작하기
프로비저닝 작업을 켜고, 해제하고, 다시 시작하는 기능을 위임합니다. 필요한 권한:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
프로비저닝 스키마 구성
속성 매핑에 업데이트를 위임합니다. 필요한 권한:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
애플리케이션 개체와 연결된 프로비저닝 설정 읽기
개체와 연결된 프로비저닝 설정을 읽는 기능을 위임합니다. 필요한 권한:
- microsoft.directory/applications/synchronization/standard/read
서비스 주체와 연결된 프로비저닝 설정 읽기
서비스 주체와 연결된 프로비저닝 설정을 읽을 수 있는 기능을 위임합니다. 필요한 권한:
- microsoft.directory/servicePrincipals/synchronization/standard/read
프로비전에 대한 애플리케이션 액세스 권한 부여
프로비전에 대한 애플리케이션 액세스 권한을 부여하는 기능을 위임합니다. 예제 입력 Oauth 전달자 토큰입니다. 필요한 권한:
- microsoft.directory/서비스Principal/동기화자격증명관리/관리
애플리케이션 프록시 권한
애플리케이션의 애플리케이션 프록시 속성에 대한 쓰기 작업을 수행하려면 애플리케이션의 기본 속성 및 인증을 업데이트할 수 있는 권한도 필요합니다.
애플리케이션의 애플리케이션 프록시 속성에 대한 쓰기 작업을 읽고 수행하려면 페이지에 표시된 속성 목록의 일부이므로 커넥터 그룹을 볼 수 있는 읽기 권한이 필요합니다.
애플리케이션 프록시 커넥터 관리 위임
커넥터 관리를 위해 만들기, 읽기, 업데이트 및 삭제 작업을 위임합니다. 필요한 권한:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- Microsoft 디렉터리/커넥터/생성
애플리케이션 프록시 설정 관리 위임
앱에서 애플리케이션 프록시 속성에 대한 만들기, 읽기, 업데이트 및 삭제 작업을 위임합니다. 필요한 권한:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- 마이크로소프트 디렉토리/애플리케이션/애플리케이션프록시인증/업데이트
- microsoft.directory/applications/applicationProxySslCertificate/update
- 계속 영어로 사용하되, 해당 API 기능이 한국어 설정 인터페이스에서 어떻게 명시되고 있는지에 대한 확인이 필요합니다. 실제로 API 엔드포인트 이름 등은 통상 그대로 두는 게 일반적입니다, 따라서 변경이 필요 없다면 그대로 유지하는 것이 좋습니다.
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/connectorGroups/allProperties/read
앱에 대한 애플리케이션 프록시 설정 읽기
앱에서 애플리케이션 프록시 속성에 대한 읽기 권한을 위임하려면 필요한 권한:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
앱에 대한 URL 구성 애플리케이션 프록시 설정을 업데이트하기
애플리케이션 프록시 외부 URL, 내부 URL 및 SSL 인증서 속성을 업데이트하기 위한 CRUD(만들기, 읽기, 업데이트 및 삭제) 권한을 위임하려면 필요한 권한:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- 마이크로소프트 디렉토리/애플리케이션/애플리케이션프록시인증/업데이트
- microsoft.directory/applications/applicationProxySslCertificate/update
- 계속 영어로 사용하되, 해당 API 기능이 한국어 설정 인터페이스에서 어떻게 명시되고 있는지에 대한 확인이 필요합니다. 실제로 API 엔드포인트 이름 등은 통상 그대로 두는 게 일반적입니다, 따라서 변경이 필요 없다면 그대로 유지하는 것이 좋습니다.
사용 권한의 전체 목록
| 허가 | 묘사 |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | 애플리케이션 정책의 모든 속성(권한 있는 속성 포함)을 읽습니다. |
| microsoft.directory/applicationPolicies/allProperties/update | 애플리케이션 정책의 모든 속성(권한 있는 속성 포함) 업데이트 |
| microsoft.directory/applicationPolicies/basic/update | 애플리케이션 정책의 표준 속성 업데이트 |
| microsoft.directory/applicationPolicies/create | 애플리케이션 정책 만들기 |
| microsoft.directory/applicationPolicies/createAsOwner (소유자로서 생성하기) | 애플리케이션 정책 만들기 및 작성자가 첫 번째 소유자로 추가됨 |
| microsoft.directory/applicationPolicies/delete (애플리케이션 정책 삭제) | 애플리케이션 정책 삭제 |
| microsoft.directory/applicationPolicies/owners/read | 애플리케이션 정책의 소유자 정보를 읽기 |
| microsoft.directory/applicationPolicies/owners/update | 애플리케이션 정책의 소유자 속성 업데이트 |
| microsoft.directory/applicationPolicies/policyAppliedTo/read (정책 적용 읽기) | 개체 목록에 적용된 애플리케이션 정책 읽기 |
| microsoft.directory/applicationPolicies/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.directory/servicePrincipals/allProperties/allTasks (마이크로소프트 디렉토리의 서비스 프린서플의 모든 속성과 모든 작업) | 서비스 주체 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/servicePrincipals/allProperties/read | servicePrincipals의 모든 속성(권한 있는 속성 포함)을 읽습니다. |
| microsoft.directory/servicePrincipals/allProperties/update (서비스 원칙/모든 속성/업데이트) | servicePrincipals의 모든 속성(권한 있는 속성 포함) 업데이트 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | 서비스 주체 역할 할당 보기 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 서비스 주체의 역할 할당 업데이트 |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | 서비스 주체에 할당된 역할 읽기 |
| microsoft.directory/servicePrincipals/audience/update | 서비스 주체의 대상 그룹 속성 업데이트 |
| microsoft.directory/servicePrincipals/authentication/update | 서비스 주체의 인증 속성 업데이트 |
| microsoft.directory/servicePrincipals/basic/update | 서비스 주체의 기본 속성 업데이트 |
| microsoft.directory/servicePrincipals/create | 서비스 주체 만들기 |
| microsoft.directory/servicePrincipals/createAsOwner (소유자로서 생성) | 작성자를 첫 번째 소유자로 사용하여 서비스 주체 만들기 |
| microsoft.directory/servicePrincipals/credentials/update (microsoft 디렉토리/서비스 주체/자격 증명/업데이트) | 서비스 주체의 자격 증명 업데이트 |
| microsoft.directory/servicePrincipals/delete | 서비스 주체 삭제 |
| microsoft.directory/servicePrincipals/disable | 서비스 주체 비활성화 |
| microsoft.directory/servicePrincipals/enable | 서비스 주체 활성화 |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | 서비스 주체에서 암호 Single Sign-On 자격 증명 읽기 |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | 서비스 주체에서 암호 Single Sign-On 자격 증명 관리 |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | 서비스 주체에 대한 위임된 권한 부여 읽기 |
| microsoft.directory/servicePrincipals/owners/read | 서비스 주체 소유자 정보를 읽기 |
| microsoft.directory/servicePrincipals/owners/update (서비스 주체 소유자 업데이트) | 서비스 주체의 소유자 업데이트 |
| microsoft.directory/servicePrincipals/permissions/update | 서비스 주체의 권한 업데이트 |
| microsoft.directory/servicePrincipals/policies/read | 서비스 주체의 정책 읽기 |
| microsoft.directory/servicePrincipals/policies/update | 서비스 주체의 정책 업데이트 |
| microsoft.directory/servicePrincipals/standard/read | 서비스 주체의 기본 속성 읽기 |
| microsoft.directory/servicePrincipals/synchronization/standard/read | 서비스 주체와 연결된 프로비저닝 설정 읽기 |
| microsoft.directory/servicePrincipals/tag/update (서비스 주체 태그 업데이트) | 서비스 주체에 대한 태그 속성 업데이트 |
| microsoft.directory/애플리케이션템플릿/인스턴스화 | 애플리케이션 템플릿에서 갤러리 애플리케이션 인스턴스화 |
| microsoft.directory/auditLogs/allProperties/read | 권한 있는 속성을 포함하여 감사 로그의 모든 속성 읽기 |
| microsoft.directory/signInReports/allProperties/read | 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기 |
| microsoft.directory/applications/applicationProxy/read | 모든 애플리케이션 프록시 속성 읽기 |
| microsoft.directory/applications/applicationProxy/update | 모든 애플리케이션 프록시 속성 업데이트 |
| 마이크로소프트 디렉토리/애플리케이션/애플리케이션프록시인증/업데이트 | 모든 유형의 애플리케이션에서 인증 업데이트 |
| 계속 영어로 사용하되, 해당 API 기능이 한국어 설정 인터페이스에서 어떻게 명시되고 있는지에 대한 확인이 필요합니다. 실제로 API 엔드포인트 이름 등은 통상 그대로 두는 게 일반적입니다, 따라서 변경이 필요 없다면 그대로 유지하는 것이 좋습니다. | 애플리케이션 프록시에 대한 URL 설정 업데이트 |
| microsoft.directory/applications/applicationProxySslCertificate/update | 애플리케이션 프록시에 대한 SSL 인증서 설정 업데이트 |
| microsoft.directory/applications/synchronization/standard/read | 애플리케이션 개체와 연결된 프로비저닝 설정 읽기 |
| microsoft.directory/connectorGroups/create | 프라이빗 네트워크 커넥터 그룹 만들기 |
| microsoft.directory/connectorGroups/delete | 프라이빗 네트워크 커넥터 그룹 삭제 |
| microsoft.directory/connectorGroups/allProperties/read | 프라이빗 네트워크 커넥터 그룹의 모든 속성 읽기 |
| microsoft.directory/connectorGroups/allProperties/update | 프라이빗 네트워크 커넥터 그룹의 모든 속성 업데이트 |
| Microsoft 디렉터리/커넥터/생성 | 프라이빗 네트워크 커넥터 만들기 |
| microsoft.directory/connectors/allProperties/read | 프라이빗 네트워크 커넥터의 모든 속성 읽기 |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | 애플리케이션 프로비저닝 동기화 작업 시작, 다시 시작 및 일시 중지 |
| microsoft.directory/servicePrincipals/synchronization/standard/read | 서비스 주체와 연결된 프로비저닝 설정 읽기 |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | 애플리케이션 프로비저닝 동기화 작업 및 스키마 만들기 및 관리 |
| microsoft.directory/provisioningLogs/allProperties/read | 프로비저닝 로그의 모든 속성 읽기 |