Permissões de consentimento de aplicativos para funções personalizadas no ID do Microsoft Entra
Este artigo contém as permissões de consentimento do aplicativo atualmente disponíveis para definições de função personalizadas na ID do Microsoft Entra. Neste artigo, você encontrará as permissões necessárias para alguns cenários comuns relacionados ao consentimento e permissões do aplicativo.
Requisitos de licença
Usar esse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para seus requisitos, consulte Comparar recursos do Microsoft Entra ID em disponibilidade geral.
Permissões de consentimento do aplicativo
Use as permissões listadas neste artigo para gerenciar políticas de consentimento do aplicativo, bem como a permissão para conceder consentimento aos aplicativos.
Nota
O Centro de administração do Microsoft Entra ainda não dá suporte à adição das permissões listadas neste artigo a uma definição de função personalizada. Você precisa usar o Microsoft Graph PowerShell para criar uma função personalizada com as permissões listadas neste artigo.
Concedendo permissões delegadas a aplicativos em nome de si mesmo (consentimento do usuário)
Para permitir que os usuários concedam consentimento aos aplicativos em nome de si mesmos (consentimento do usuário), sujeitos a uma política de consentimento do aplicativo.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}
Onde {id} é substituído pela ID de uma política de consentimento do aplicativo que definirá as condições que devem ser atendidas para que essa permissão esteja ativa.
Por exemplo, para permitir que os usuários concedam consentimento em seu próprio nome, sujeitos à política de consentimento integrada do aplicativo com ID microsoft-user-default-low, você usaria a permissão ...managePermissionGrantsForSelf.microsoft-user-default-low.
Concedendo permissões a aplicativos em nome de todos (consentimento do administrador)
Para delegar o consentimento do administrador em todo o locatário a aplicativos, para permissões delegadas e permissões de aplicativo (funções de aplicativo):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
Quando {id} é substituído pela ID de uma política de consentimento do aplicativo que definirá as condições que devem ser atendidas para que essa permissão seja utilizável.
Por exemplo, para permitir que as atribuições de função deem consentimento do administrador em todo o locatário a aplicativos sujeitos a uma política de consentimento do aplicativo personalizada com a ID low-risk-any-app, você usaria a permissão microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.
Gerenciando políticas de consentimento do aplicativo
Para delegar a criação, a atualização e a exclusão de políticas de consentimento do aplicativo.
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
Lista completa de permissões
| Permissão | Descrição |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} | Concede a permissão para dar consentimento para aplicativos em nome próprio (consentimento do usuário), sujeito à política de consentimento do aplicativo {id}. |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | Concede a permissão para dar consentimento a aplicativos em nome de todos (consentimento do administrador em todo o locatário), sujeito à política de consentimento do aplicativo {id}. |
| microsoft.directory/permissionGrantPolicies/standard/read | Ler as propriedades padrão das políticas de concessão de permissão |
| microsoft.directory/permissionGrantPolicies/basic/update | Atualizar as propriedades básicas das políticas de concessão de permissão |
| microsoft.directory/permissionGrantPolicies/create | Criar políticas de concessão de permissão |
| microsoft.directory/permissionGrantPolicies/delete | Excluir políticas de concessão de permissão |