App-toestemmingsmachtigingen voor aangepaste rollen in Microsoft Entra ID
Dit artikel bevat de momenteel beschikbare app-toestemmingsmachtigingen voor aangepaste roldefinities in Microsoft Entra-id. In dit artikel vindt u de machtigingen die vereist zijn voor een aantal veelvoorkomende scenario's met betrekking tot app-toestemming en machtigingen.
Licentievereisten
Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.
Machtigingen voor app-toestemming
Gebruik de in dit artikel vermelde machtigingen voor het beheren van app-toestemmingsbeleid en de machtiging om toestemming te geven aan apps.
Notitie
Het Microsoft Entra-beheercentrum biedt nog geen ondersteuning voor het toevoegen van de machtigingen die in dit artikel worden vermeld aan een aangepaste directoryroldefinitie. U moet Microsoft Graph PowerShell gebruiken om een aangepaste maprol te maken met de machtigingen die in dit artikel worden vermeld.
Gedelegeerde machtigingen verlenen aan apps namens zichzelf (toestemming van de gebruiker)
Om gebruikers toe te staan om namens zichzelf toestemming te geven aan toepassingen (toestemming van de gebruiker), afhankelijk van een app-toestemmingsbeleid.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}
Waarbij {id} wordt vervangen door de id van een app-toestemmingsbeleid waarmee de voorwaarden worden ingesteld waaraan moet worden voldaan om deze machtiging actief te maken.
Als u bijvoorbeeld wilt toestaan dat gebruikers toestemming geven namens zichzelf, afhankelijk van het ingebouwde app-toestemmingsbeleid met id microsoft-user-default-low, zou u de machtiging ...managePermissionGrantsForSelf.microsoft-user-default-low gebruiken.
Machtigingen verlenen aan apps namens iedereen (beheerderstoestemming)
Voor het delegeren van de tenantbrede beheerderstoestemming aan apps, voor zowel gedelegeerde toestemmingen als app-toestemmingen (app-rollen):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
Waarbij {id} wordt vervangen door de id van een app-toestemmingsbeleid waarmee de voorwaarden worden ingesteld waaraan moet worden voldaan om deze machtiging bruikbaar te maken.
Als u bijvoorbeeld aan een rol toegewezen personen wilt toestaan tenantbrede beheerderstoestemming te geven aan apps, afhankelijk van een aangepast app-toestemmingsbeleid met id low-risk-any-app, zou u de machtiging microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app gebruiken.
App-toestemmingsbeleid beheren
Voor het delegeren van het maken, bijwerken en verwijderen van app-toestemmingsbeleid.
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
Lijst met alle machtigingen
| Machtiging | Beschrijving |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} | Geeft de mogelijkheid om apps toestemming te geven namens zichzelf (gebruikerstoestemming), afhankelijk van app-toestemmingsbeleid {id}. |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | Verleent de machtiging om apps toestemming te geven namens iedereen (tenantbrede beheerderstoestemming), afhankelijk van app-toestemmingsbeleid {id}. |
| microsoft.directory/permissionGrantPolicies/standard/read | Standaardeigenschappen van beleid voor het verlenen van machtigingen bijwerken |
| microsoft.directory/permissionGrantPolicies/basic/update | Basiseigenschappen van beleid voor het verlenen van machtigingen bijwerken |
| microsoft.directory/permissionGrantPolicies/create | Beleid voor het verlenen van machtigingen maken |
| microsoft.directory/permissionGrantPolicies/delete | Beleid voor het verlenen van machtigingen verwijderen |