Enterprise-toepassingsmachtigingen voor aangepaste rollen in Microsoft Entra-id
Dit artikel bevat de momenteel beschikbare enterprise-toepassingsmachtigingen voor aangepaste roldefinities in Microsoft Entra-id. In dit artikel vindt u machtigingenlijsten voor enkele veelvoorkomende scenario's en de volledige lijst met machtigingen voor bedrijfsapps.
Licentievereisten
Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra IDvergelijken om de juiste licentie voor uw vereisten te vinden.
Enterprise-toepassingsmachtigingen
Zie Aangepaste rollen toewijzen voor het beheren van zakelijke apps voor meer informatie over het gebruik van deze machtigingen
Gebruikers of groepen toewijzen aan een toepassing
Het delegeren van de toewijzing van gebruikers en groepen die toegang hebben tot op SAML gebaseerde toepassingen voor eenmalige aanmelding. Vereiste machtigingen
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Galerietoepassingen maken
Om de creatie van Microsoft Entra Gallery-toepassingen zoals ServiceNow, F5, Salesforce en andere te delegeren. Vereiste machtigingen:
- microsoft.directory/applicationTemplates/instantiate
Standaard SAML-URL's configureren
Voor het delegeren van de update en het lezen van standaard SAML-configuraties voor op SAML gebaseerde toepassingen voor eenmalige aanmelding. Vereiste machtigingen:
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
Het verlengen of aanmaken van ondertekeningscertificaten
Het beheer van ondertekeningscertificaten voor op SAML gebaseerde toepassingen voor eenmalige aanmelding delegeren. Vereiste toestemmingen.
microsoft.directory/servicePrincipals/credentials/update
E-mailadres voor verlopen aanmeldingscertificaat bijwerken
Het delegeren van het bijwerken van meldingen van e-mailadressen voor verlopen aanmeldingscertificaten voor SAML-gebaseerde toepassingen voor eenmalige aanmelding. Vereiste machtigingen:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
SamL-tokenhandtekening en aanmeldingsalgoritme beheren
Delegeren van de update van de SAML-tokenhandtekening en het aanmeldingsalgoritme voor op SAML gebaseerde toepassingen voor eenmalige aanmelding. Vereiste machtigingen:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applicaties/authenticatie/bijwerken
- microsoft.directory/servicePrincipals/policies/update
Gebruikerskenmerken en -claims beheren
Als u het maken, verwijderen en bijwerken van gebruikerskenmerken en -claims wilt delegeren voor op SAML gebaseerde toepassingen voor eenmalige aanmelding. Vereiste machtigingen:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applicaties/authenticatie/bijwerken
- microsoft.directory/servicePrincipals/policies/update
Toestemmingen voor app-inrichting
Voor het uitvoeren van schrijfbewerkingen, zoals het beheren van de taak, het schema of de referenties via de gebruikersinterface, zijn ook de leesmachtigingen vereist om de inrichtingspagina weer te geven.
Voor het instellen van het bereik voor alle gebruikers en groepen of toegewezen gebruikers en groepen zijn momenteel zowel de machtigingen synchronizationJob als synchronizationCredentials vereist.
Provisioning-taken inschakelen of opnieuw starten
Om de mogelijkheid te delegeren om voorzieningsopdrachten in te schakelen, uit te schakelen en opnieuw te starten. Vereiste machtigingen:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
Het voorzieningsschema configureren
Het delegeren van updates naar kenmerktoewijzing. Vereiste machtigingen:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Inrichtingsinstellingen lezen die zijn gekoppeld aan het toepassingsobject
Als u de mogelijkheid wilt delegeren om inrichtingsinstellingen te lezen die aan het object zijn gekoppeld. Vereiste machtigingen:
- microsoft.directory/applications/synchronization/standard/read
Inrichtingsinstellingen lezen die zijn gekoppeld aan uw serviceprincipal
Om de mogelijkheid te delegeren om inrichtingsinstellingen te lezen die gekoppeld zijn aan uw service-principal. Vereiste machtigingen:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Toegang tot toepassingen autoriseren voor provisioning
Om de bevoegdheid voor het autoriseren van toegang tot toepassingen voor voorziening te delegeren. Voorbeeld van een Oauth Bearer-token. Vereiste machtigingen:
- microsoft.directory/servicePrincipals/synchronizationCredentials/beheren
Machtigingen voor toepassingsproxy
Voor het uitvoeren van schrijfbewerkingen naar de eigenschappen van de toepassingsproxy van de toepassing zijn ook de machtigingen vereist om de basiseigenschappen en verificatie van de toepassing bij te werken.
Voor het lezen en uitvoeren van schrijfbewerkingen naar de eigenschappen van de toepassingsproxy van de toepassing zijn ook de leesmachtigingen vereist om connectorgroepen weer te geven, omdat dit deel uitmaakt van de lijst met eigenschappen die op de pagina worden weergegeven.
Connectorbeheer voor toepassingsproxy delegeren
Voor het delegeren van acties voor het maken, lezen, bijwerken en verwijderen van connectorbeheer. Vereiste machtigingen:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
Beheer van instellingen voor toepassingsproxy delegeren
Als u acties voor het maken, lezen, bijwerken en verwijderen van toepassingsproxy-eigenschappen voor een app wilt delegeren. Vereiste machtigingen:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applications/basic/update
- microsoft.directory/applicaties/authenticatie/bijwerken
- microsoft.directory/connectorGroups/allProperties/read
Toepassingsproxy-instellingen voor een app lezen
Leesmachtigingen voor eigenschappen van toepassingsproxy voor een app delegeren. Vereiste machtigingen:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
Instellingen voor URL-configuratie van applicatieproxy bijwerken voor een app
Als u CRUD-machtigingen (Create, Read, Update en Delete) wilt delegeren voor het bijwerken van de externe URL van de toepassingsproxy, interne URL en SSL-certificaateigenschappen. Vereiste machtigingen:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.directory/applicaties/authenticatie/bijwerken
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
Volledige lijst met machtigingen
| Toestemming | Beschrijving |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Alle eigenschappen (inclusief geprivilegieerde eigenschappen) in applicatiebeleid lezen |
| microsoft.directory/applicationPolicies/allProperties/update | Alle eigenschappen in het toepassingsbeleid bijwerken (inclusief eigenschappen met voorrechten) |
| microsoft.directory/applicationPolicies/basic/update | Standaardeigenschappen van toepassingsbeleid bijwerken |
| microsoft.directory/applicationPolicies/aanmaken | Toepassingsbeleid maken |
| microsoft.directory/applicationPolicies/aanmakenAlsEigenaar | Toepassingsbeleid maken en maker wordt toegevoegd als de eerste eigenaar |
| microsoft.directory/applicationPolicies/delete | Toepassingsbeleid verwijderen |
| microsoft.directory/applicationPolicies/owners/read | Lees eigenaren in de toepassingsbeleidsregels |
| microsoft.directory/applicationPolicies/owners/update | De eigenschap eigenaar van het toepassingsbeleid bijwerken |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Toepassingsbeleid lezen dat is toegepast op de lijst met objecten |
| microsoft.directory/applicationPolicies/standard/read | Standaardeigenschappen van toepassingsbeleid lezen |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Service-principals maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/servicePrincipals/allProperties/read | Alle eigenschappen lezen (inclusief geprivilegieerde eigenschappen) van servicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update | Alle eigenschappen (inclusief bevoegde eigenschappen) bijwerken in servicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Roltoewijzingen van de service-principal lezen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen van service-principal bijwerken |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Service-principals toegewezen roltoewijzingen lezen |
| microsoft.directory/servicePrincipals/audience/update | Doelgroepseigenschappen bijwerken op service principals |
| microsoft.directory/servicePrincipals/authentication/update | Verificatie-eigenschappen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/basic/update | Basiseigenschappen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/create | Service-principals maken |
| microsoft.directory/servicePrincipals/createAsOwner | Service-principals aanmaken, met de maker als de eerste eigenaar |
| microsoft.directory/servicePrincipals/credentials/update | Referenties van service-principals bijwerken |
| microsoft.directory/servicePrincipals/delete | Service-principals verwijderen |
| microsoft.directory/servicePrincipals/disable | Service-principals uitschakelen |
| microsoft.directory/servicePrincipals/enable | Service-principals inschakelen |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Single Sign-On-wachtwoordreferenties lezen bij service-principals |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Referenties voor eenmalige aanmelding met wachtwoord voor service-principals beheren |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Gedelegeerde machtigingen voor service-principals lezen |
| microsoft.directory/servicePrincipals/owners/read | Eigenaren van service-principals bekijken |
| microsoft.directory/servicePrincipals/owners/update | Het bijwerken van eigenaren van serviceprincipals |
| microsoft.directory/servicePrincipals/permissions/update | Machtigingen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/policies/read | Lees de beleidsregels van serviceprincipals |
| microsoft.directory/servicePrincipals/policies/update | Beleid voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/standard/read | Basiseigenschappen van service-principals lezen |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Inrichtingsinstellingen lezen die zijn gekoppeld aan uw serviceprincipal |
| microsoft.directory/servicePrincipals/tag/bijwerken | De tag-eigenschap voor service-principals bijwerken |
| microsoft.directory/applicationTemplates/instantiate | Galerietoepassingen instantiëren vanuit toepassingssjablonen |
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen in auditlogboeken lezen, inclusief bevoegde eigenschappen |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen in aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.directory/applications/applicationProxy/read | Alle eigenschappen van de toepassingsproxy lezen |
| microsoft.directory/applications/applicationProxy/update | Alle eigenschappen van de toepassingsproxy bijwerken |
| microsoft.directory/applications/applicationProxyAuthentication/update | Verificatie bijwerken voor alle typen toepassingen |
| microsoft.directory/applications/applicationProxyUrlSettings/update | URL-instellingen voor toepassingsproxy bijwerken |
| microsoft.directory/applications/applicationProxySslCertificate/update | SSL-certificaatinstellingen voor toepassingsproxy bijwerken |
| microsoft.directory/applications/synchronization/standard/read | Inrichtingsinstellingen lezen die zijn gekoppeld aan het toepassingsobject |
| microsoft.directory/connectorGroups/create | Privénetwerkconnectorgroepen maken |
| microsoft.directory/connectorGroups/delete | Verwijder privénetwerkconnectorgroepen |
| microsoft.directory/connectorGroups/allProperties/read | Alle eigenschappen van connectorgroepen voor privénetwerken lezen |
| microsoft.directory/connectorGroups/allProperties/update | Alle eigenschappen van connectorgroepen voor privénetwerken bijwerken |
| microsoft.directory/connectors/create | Privénetwerkconnectors maken |
| microsoft.directory/connectors/allProperties/read | Alle eigenschappen van privénetwerkconnectors lezen |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Het starten, opnieuw starten en onderbreken van synchronisatietaken voor het provisioneren van toepassingen. |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Inrichtingsinstellingen lezen die zijn gekoppeld aan uw serviceprincipal |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Synchronisatietaken en schema's voor het inrichten van toepassingen maken en beheren |
| microsoft.directory/provisioningLogs/allProperties/read | Alle eigenschappen van provisioning logboeken lezen |