Uprawnienia aplikacji biznesowych dla ról niestandardowych w Microsoft Entra ID
Ten artykuł zawiera obecnie dostępne uprawnienia aplikacji dla przedsiębiorstw dla niestandardowych definicji ról w identyfikatorze Entra firmy Microsoft. W tym artykule znajdziesz listy uprawnień dla niektórych typowych scenariuszy i pełną listę uprawnień aplikacji dla przedsiębiorstw.
Wymagania licencyjne
Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć odpowiednią licencję dla Twoich wymagań, zobacz Wypróbuj ogólnie dostępne funkcje Microsoft Entra ID.
Uprawnienia aplikacji dla przedsiębiorstw
Aby uzyskać więcej informacji na temat używania tych uprawnień, zobacz Przypisywanie ról niestandardowych do zarządzania aplikacjami dla przedsiębiorstw
Przypisywanie użytkowników lub grup do aplikacji
Aby delegować przydzielanie użytkowników i grup, które mogą uzyskiwać dostęp do aplikacji jednokrotnego logowania opartych na protokole SAML. Wymagane uprawnienia
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Tworzenie aplikacji galerii
Aby delegować tworzenie aplikacji z galerii Entra firmy Microsoft, takich jak ServiceNow, F5, Salesforce i inne. Wymagane uprawnienia:
- microsoft.directory/applicationTemplates/inicjalizować
Konfigurowanie podstawowych adresów URL protokołu SAML
Aby delegować aktualizację i odczyt podstawowych konfiguracji SAML dla aplikacji logowania jednokrotnego opartego na SAML. Wymagane uprawnienia:
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
Odnowienie lub utworzenie certyfikatów podpisywania
Aby delegować zarządzanie certyfikatami podpisywania dla aplikacji logowania jednokrotnego opartego na protokole SAML. Wymagane uprawnienia.
microsoft.directory/servicePrincipals/credentials/update
Aktualizowanie wygasającego adresu e-mail powiadomienia o certyfikatze logowania
Aby delegować aktualizację adresów e-mail powiadomień dla wygasających certyfikatów logowania, dotyczących aplikacji logowania jednokrotnego opartych na protokole SAML. Wymagane uprawnienia:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/podstawowe/update
Zarządzanie podpisem tokenu SAML i algorytmem logowania
Aby delegować aktualizację sygnatury tokenu SAML i algorytmu logowania dla aplikacji logowania jednokrotnego opartego na protokole SAML. Wymagane uprawnienia:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/aplikacje/uwierzytelnianie/aktualizacja
- microsoft.directory/servicePrincipals/policies/update
Zarządzanie atrybutami i oświadczeniami użytkownika
Aby delegować tworzenie, usuwanie i aktualizowanie atrybutów użytkownika oraz oświadczeń dla aplikacji logowania jednokrotnego opartego na protokole SAML. Wymagane uprawnienia:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/aplikacje/uwierzytelnianie/aktualizacja
- microsoft.directory/servicePrincipals/policies/update
Uprawnienia przydzielania aplikacji
Wykonanie dowolnej operacji zapisu, takiej jak zarządzanie zadaniem, schematem lub poświadczeniami za pośrednictwem interfejsu użytkownika, będzie również wymagać uprawnień do odczytu w celu wyświetlenia strony aprowizacji.
Ustawienie zakresu dla wszystkich użytkowników i grup lub przypisanych użytkowników i grup obecnie wymaga zarówno uprawnień synchronizationJob, jak i synchronizationCredentials.
Włączanie lub ponowne uruchamianie zadań aprowizacji
Aby przekazać odpowiedzialność za możliwość włączania, wyłączania i ponownego uruchamiania zadań aprowizacji. Wymagane uprawnienia:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
Konfigurowanie schematu aprowizacji
Aby delegować aktualizacje do mapowania atrybutów. Wymagane uprawnienia:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Odczyt ustawień aprowizacji skojarzonych z obiektem aplikacji
Aby delegować możliwość odczytywania ustawień aprowizacji skojarzonych z obiektem. Wymagane uprawnienia:
- microsoft.directory/applications/synchronization/standard/read
Odczyt ustawień aprowizacji związanych z głównym obiektem usługi
Aby delegować możliwość odczytu ustawień aprowizacji powiązanych z Twoim głównym elementem usługi. Wymagane uprawnienia:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Autoryzowanie dostępu do aplikacji na potrzeby aprowizacji
Aby delegować możliwość autoryzowania dostępu do aplikacji na potrzeby aprowizacji. Przykładowy wejściowy token elementu nośnego Oauth. Wymagane uprawnienia:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Uprawnienia serwera proxy aplikacji
Wykonywanie wszystkich operacji zapisu we właściwościach serwera proxy aplikacji wymaga również uprawnień do aktualizowania podstawowych właściwości i uwierzytelniania aplikacji.
Aby odczytać i wykonać dowolne operacje zapisu we właściwościach serwera proxy aplikacji, wymagane są także uprawnienia do odczytu grupy łączników, ponieważ jest to część listy właściwości prezentowanych na stronie.
Delegowanie zarządzania łącznikiem proxy aplikacji
Aby delegować akcje tworzenia, odczytu, aktualizowania i usuwania na potrzeby zarządzania łącznikami. Wymagane uprawnienia:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
Delegowanie zarządzania ustawieniami serwera proxy aplikacji
Aby delegować akcje tworzenia, odczytu, aktualizowania i usuwania dla właściwości proxy aplikacji na danej aplikacji. Wymagane uprawnienia:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applications/basic/update
- microsoft.directory/aplikacje/uwierzytelnianie/aktualizacja
- microsoft.directory/connectorGroups/allProperties/read
Odczytywanie ustawień serwera proxy dla aplikacji
Aby delegować uprawnienia do odczytu dla właściwości serwera proxy aplikacji w aplikacji. Wymagane uprawnienia:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
Aktualizacja ustawień proxy aplikacji w konfiguracji adresu URL dla aplikacji
Aby delegować uprawnienia do tworzenia, odczytywania, aktualizowania i usuwania (CRUD) na potrzeby aktualizowania zewnętrznego adresu URL serwera proxy aplikacji, wewnętrznego adresu URL i właściwości certyfikatu SSL. Wymagane uprawnienia:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.directory/aplikacje/uwierzytelnianie/aktualizacja
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
Pełna lista uprawnień
| Pozwolenie | Opis |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Odczytaj wszystkie właściwości (w tym uprzywilejowane) w politykach aplikacji |
| microsoft.directory/applicationPolicies/allProperties/update | Aktualizowanie wszystkich właściwości (w tym właściwości uprzywilejowanych) w zasadach aplikacji |
| microsoft.directory/applicationPolicies/basic/update | Aktualizowanie standardowych właściwości zasad aplikacji |
| microsoft.directory/applicationPolicies/create | Tworzenie zasad aplikacji |
| microsoft.directory/applicationPolicies/createAsOwner | Tworzenie zasad aplikacji i dodawanie twórcy jako pierwszego właściciela |
| microsoft.katalog/politykiAplikacji/usuń | Usuwanie zasad aplikacji |
| microsoft.directory/applicationPolicies/owners/read | Odczytywanie właścicieli zasad aplikacji |
| microsoft.directory/applicationPolicies/owners/update | Aktualizowanie właściwości właściciela zasad aplikacji |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Odczytywanie zasad aplikacji zastosowanych do listy obiektów |
| microsoft.directory/applicationPolicies/standard/read | Odczytywanie standardowych właściwości zasad aplikacji |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Tworzenie i usuwanie jednostek usługi oraz odczytywanie i aktualizowanie wszystkich właściwości |
| microsoft.directory/servicePrincipals/allProperties/read | Odczytywanie wszystkich właściwości (w tym właściwości uprzywilejowanych) w usłudze ServicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update (Aktualizacja wszystkich właściwości) | Aktualizowanie wszystkich właściwości (w tym właściwości uprzywilejowanych) w usłudze ServicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Odczytywanie przypisań ról jednostki usługi |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizowanie przypisań ról jednostki usługi |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Odczytywanie przypisań ról przypisanych do jednostek usługi |
| microsoft.directory/servicePrincipals/audience/update | Aktualizowanie właściwości odbiorców w jednostkach usługi |
| microsoft.directory/servicePrincipals/authentication/update | Aktualizowanie właściwości uwierzytelniania w głównych obiektach usługi |
| microsoft.directory/servicePrincipals/podstawowe/update | Aktualizowanie podstawowych właściwości jednostek usługi |
| microsoft.directory/servicePrincipals/create | Tworzenie jednostek usługi |
| microsoft.directory/servicePrincipals/createAsOwner | Tworzenie jednostek usługi z twórcą jako pierwszym właścicielem |
| microsoft.directory/servicePrincipals/credentials/update | Aktualizowanie poświadczeń jednostek usługi |
| microsoft.directory/usługiGłówne/delete | Usuń identyfikatory usługi |
| microsoft.directory/servicePrincipals/disable | Wyłączanie jednostek usługi |
| microsoft.directory/servicePrincipals/enable | Włączanie jednostek usługi |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Odczytywanie poświadczeń logowania jednokrotnego haseł w jednostkach usługi |
| microsoft.directory/pryncypałyUsług/zarządzanieHasłemJednoznacznegoLogowania | Zarządzanie poświadczeniami logowania jednokrotnego haseł w jednostkach usługi |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Odczytywanie udzielonych uprawnień delegowanych na jednostkach usługi |
| microsoft.directory/servicePrincipals/owners/read | Wyświetl właścicieli jednostek usługi |
| microsoft.directory/servicePrincipals/właściciele/update | Aktualizowanie właścicieli jednostek usługi |
| microsoft.directory/servicePrincipals/permissions/update | Aktualizowanie uprawnień jednostek usługi |
| microsoft.directory/servicePrincipals/policies/read | Przeczytaj zasady głównych jednostek usługi |
| microsoft.directory/servicePrincipals/policies/update | Aktualizacja zasad principałów usługi |
| microsoft.directory/servicePrincipals/standard/read | Odczytywanie podstawowych właściwości jednostek usługi |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Odczyt ustawień aprowizacji związanych z głównym obiektem usługi |
| microsoft.directory/servicePrincipals/tag/update | Aktualizowanie właściwości tagu dla jednostek usługi |
| microsoft.directory/applicationTemplates/inicjalizować | Twórz aplikacje galerii z szablonów aplikacji |
| microsoft.directory/auditLogs/allProperties/read | Odczytaj wszystkie właściwości dzienników inspekcji, w tym właściwości uprzywilejowane |
| microsoft.directory/signInReports/allProperties/read | Przeczytaj wszystkie właściwości w raportach logowania, w tym właściwości uprzywilejowane. |
| microsoft.directory/applications/applicationProxy/read | Odczytaj wszystkie właściwości serwera proxy aplikacji |
| microsoft.directory/applications/applicationProxy/update | Aktualizowanie wszystkich właściwości serwera proxy aplikacji |
| microsoft.directory/applications/applicationProxyAuthentication/update | Aktualizowanie uwierzytelniania we wszystkich typach aplikacji |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Aktualizowanie ustawień adresu URL serwera proxy aplikacji |
| microsoft.directory/applications/applicationProxySslCertificate/update | Aktualizowanie ustawień certyfikatu SSL dla serwera proxy aplikacji |
| microsoft.directory/applications/synchronization/standard/read | Odczyt ustawień aprowizacji skojarzonych z obiektem aplikacji |
| microsoft.directory/connectorGroups/create | Tworzenie grup łączników sieci prywatnej |
| microsoft.directory/connectorGroups/delete | Usuwanie grup łączników sieci prywatnej |
| microsoft.directory/connectorGroups/allProperties/read | Odczytywanie wszystkich właściwości grup łączników sieci prywatnej |
| microsoft.directory/connectorGroups/allProperties/update | Aktualizowanie wszystkich właściwości grup łączników sieci prywatnej |
| microsoft.directory/connectors/create | Tworzenie łączników sieci prywatnej |
| microsoft.directory/connectors/allProperties/read | Odczytywanie wszystkich właściwości łączników sieci prywatnej |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Uruchamianie, ponowne uruchamianie i wstrzymywanie zadań synchronizacji aprowizacji aplikacji |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Odczyt ustawień aprowizacji związanych z głównym obiektem usługi |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Tworzenie zadań i schematu synchronizacji aprowizacji aplikacji i zarządzanie nimi |
| microsoft.directory/provisioningLogs/allProperties/read | Odczytywanie wszystkich właściwości dzienników aprowizacji |