Uprawnienia zgody aplikacji dla ról niestandardowych w identyfikatorze Entra firmy Microsoft
Ten artykuł zawiera obecnie dostępne uprawnienia zgody aplikacji dla niestandardowych definicji ról w identyfikatorze Entra firmy Microsoft. W tym artykule znajdziesz uprawnienia wymagane w niektórych typowych scenariuszach związanych ze zgodą i uprawnieniami aplikacji.
Wymagania licencyjne
Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć odpowiednią licencję spełniającą Twoje wymagania, zobacz Porównaj ogólnie dostępne funkcje Microsoft Entra ID.
Uprawnienia zgody aplikacji
Użyj uprawnień wymienionych w tym artykule, aby zarządzać zasadami zgody aplikacji, a także uprawnieniami do udzielania zgody na aplikacje.
Notatka
Centrum administracyjne firmy Microsoft Entra nie obsługuje jeszcze dodawania uprawnień wymienionych w tym artykule do niestandardowej definicji roli. Musisz użyć programu Microsoft Graph PowerShell, aby utworzyć rolę niestandardową z uprawnieniami wymienionymi w tym artykule.
Udzielanie delegowanych uprawnień do aplikacji w imieniu siebie (zgoda użytkownika)
Aby zezwolić użytkownikom na wyrażanie zgody na aplikacje we własnym imieniu (zgoda użytkownika), zgodnie z polityką zgody na aplikacje.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}
W przypadku zastąpienia {id} identyfikatorem zasad zgody aplikacji , które określą warunki, które muszą zostać spełnione, aby to uprawnienie było aktywne.
Aby na przykład zezwolić użytkownikom na udzielanie zgody we własnym imieniu, z zastrzeżeniem wbudowanych zasad zgody aplikacji o identyfikatorze microsoft-user-default-low, należy użyć uprawnienia ...managePermissionGrantsForSelf.microsoft-user-default-low.
Udzielanie uprawnień do aplikacji w imieniu wszystkich (zgoda administratora)
Aby delegować zgodę administratora na aplikacje w całej dzierżawie, zarówno w przypadku uprawnień delegowanych, jak i uprawnień aplikacji (ról aplikacji):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
Kiedy {id} jest zastąpione identyfikatorem polityki zgody aplikacji , która określa warunki, które muszą być spełnione, aby to uprawnienie mogło być używane.
Aby na przykład umożliwić osobom przypisanym do ról na przyznawanie zgody administratora w całej dzierżawie na aplikacje podlegające niestandardowym zasadom zgody aplikacji z identyfikatorem low-risk-any-app, należy użyć uprawnienia microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.
Zarządzanie zasadami zgody aplikacji
Aby delegować tworzenie, aktualizowanie i usuwanie zasad dotyczących zgody aplikacji .
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
Pełna lista uprawnień
| Pozwolenie | Opis |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} | Przyznaje możliwość wyrażania zgody na aplikacje w imieniu siebie (zgody użytkownika), z zastrzeżeniem zasad zgody aplikacji {id}. |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | Przyznaje uprawnienie do wyrażania zgody na aplikacje w imieniu wszystkich (administracyjna zgoda na poziomie dzierżawy), z uwzględnieniem zasad zgody aplikacji {id}. |
| microsoft.directory/permissionGrantPolicies/standard/read | Odczytywanie standardowych właściwości polityk udzielania uprawnień |
| microsoft.directory/permissionGrantPolicies/basic/update | Aktualizowanie podstawowych właściwości zasad udzielania uprawnień |
| microsoft.directory/permissionGrantPolicies/create | Tworzenie zasad udzielania uprawnień |
| microsoft.directory/permissionGrantPolicies/delete | Usuwanie zasad udzielania uprawnień |