App-toestemmingsmachtigingen voor aangepaste rollen in Microsoft Entra-id
Dit artikel bevat de momenteel beschikbare app-toestemmingsmachtigingen voor aangepaste roldefinities in Microsoft Entra-id. In dit artikel vindt u de machtigingen die zijn vereist voor enkele veelvoorkomende scenario's met betrekking tot app-toestemming en -machtigingen.
Licentievereisten
Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra IDvergelijken om de juiste licentie voor uw vereisten te vinden.
App-toestemmingsmachtigingen
Gebruik de machtigingen die in dit artikel worden vermeld om app-toestemmingsbeleid te beheren, evenals de machtiging om toestemming te verlenen aan apps.
Notitie
Het Microsoft Entra-beheercentrum biedt nog geen ondersteuning voor het toevoegen van de machtigingen die in dit artikel worden vermeld aan een aangepaste roldefinitie. U moet Microsoft Graph PowerShell gebruiken om een aangepaste rol te maken met de machtigingen die in dit artikel worden vermeld.
Gedelegeerde machtigingen verlenen aan apps namens zichzelf (toestemming van de gebruiker)
Om gebruikers toestemming te geven aan toepassingen namens zichzelf (gebruikerstoestemming), afhankelijk van een app-toestemmingsbeleid.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}
Wanneer {id} wordt vervangen door de id van een app-toestemmingsbeleid die de voorwaarden instelt waaraan moet worden voldaan om deze machtiging actief te maken.
Als u bijvoorbeeld wilt toestaan dat gebruikers namens hen toestemming geven, afhankelijk van het ingebouwde app-toestemmingsbeleid met id-microsoft-user-default-low, gebruikt u de machtiging ...managePermissionGrantsForSelf.microsoft-user-default-low.
Machtigingen verlenen aan apps namens iedereen (beheerderstoestemming)
Voor het delegeren van tenantbrede beheerderstoestemming voor apps, voor zowel gedelegeerde machtigingen als toepassingsmachtigingen (app-rollen):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
Wanneer {id} wordt vervangen door de id van een app-toestemmingsbeleid waarmee de voorwaarden worden ingesteld waaraan moet worden voldaan om deze machtiging bruikbaar te maken.
Als u bijvoorbeeld wilt toestaan dat roltoewijzingen beheerderstoestemming verlenen aan apps die onderhevig zijn aan een aangepast app-toestemmingsbeleid met id-low-risk-any-app, gebruikt u de machtiging microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.
App-toestemmingsbeleid beheren
Om het maken, bijwerken en verwijderen van app-toestemmingsbeleidte delegeren.
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
Volledige lijst met machtigingen
| Toestemming | Beschrijving |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} | Verleent de mogelijkheid om namens zichzelf (gebruikerstoestemming) toestemming te geven aan apps, afhankelijk van app-toestemmingsbeleid {id}. |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | Verleent de machtiging om namens alle apps toestemming te geven (tenantbrede beheerderstoestemming), afhankelijk van app-toestemmingsbeleid {id}. |
| microsoft.directory/permissionGrantPolicies/standard/read | Standaardeigenschappen van machtigingsbeleid lezen |
| microsoft.directory/permissionGrantPolicies/basic/update | Basiseigenschappen van machtigingsbeleid bijwerken |
| microsoft.directory/permissionGrantPolicies/create | Beleid voor het verlenen van machtigingen maken |
| microsoft.directory/permissionGrantPolicies/delete | Beleid voor het verlenen van machtigingen verwijderen |