Permissões de aplicativos empresariais para funções personalizadas no Microsoft Entra ID
Este artigo contém as permissões de aplicativo empresarial atualmente disponíveis para definições de função personalizadas na ID do Microsoft Entra. Neste artigo, você encontrará listas de permissões para alguns cenários comuns e a lista completa de permissões de aplicativo empresarial.
Requisitos de licença
Usar esse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para seus requisitos, consulte Comparar recursos do Microsoft Entra ID em disponibilidade geral.
Permissões de aplicativo empresarial
Para obter mais informações sobre como usar essas permissões, consulte Atribuir funções personalizadas para gerenciar aplicativos empresariais
Atribuindo usuários ou grupos a um aplicativo
Para delegar a atribuição de usuários e grupos que podem acessar aplicativos de logon único baseados em SAML. Permissões necessárias
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Criando aplicativos de galeria
Para delegar a criação de aplicativos da Galeria do Microsoft Entra, como ServiceNow, F5, Salesforce, entre outros. Permissões necessárias:
- microsoft.directory/applicationTemplates/instantiate
Configurando URLs básicas do SAML
Para delegar a atualização e a leitura de Configurações de SAML básicas para aplicativos de logon único baseado em SAML. Permissões necessárias:
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
Sobrepor ou criar certificados de autenticação
Para delegar o gerenciamento de certificados de assinatura para aplicativos de logon único baseados em SAML. Permissões necessárias.
microsoft.directory/servicePrincipals/credentials/update
Atualizar o endereço de email de notificação de certificado de entrada que está expirando
Para delegar a atualização dos endereços de email de notificação dos certificados de autenticação expirados para aplicativos de logon único baseados em SAML. Permissões necessárias:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
Gerenciar a assinatura do token SAML e o algoritmo de entrada
Para delegar a atualização da assinatura do token SAML e do algoritmo de entrada para aplicativos de logon único baseados em SAML. Permissões necessárias:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Gerenciar declarações e atributos de usuário
Para delegar a criação, exclusão e atualização de atributos de usuário e declarações para aplicativos de logon único baseados em SAML. Permissões necessárias:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Permissões de provisionamento de aplicativo
Executar qualquer operação de escrita, como gerenciar a tarefa, o esquema ou as credenciais por meio da interface do usuário, também exigirá as permissões de leitura para acessar a página de provisionamento.
Atualmente, definir o escopo para todos os usuários e grupos ou para usuários e grupos atribuídos requer as permissões synchronizationJob e synchronizationCredentials.
Ativar ou reiniciar trabalhos de provisionamento
Para delegar a capacidade de ativar, desativar e reiniciar trabalhos de provisionamento. Permissões necessárias:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
Configurar o esquema de provisionamento
Para delegar atualizações ao mapeamento de atributos. Permissões necessárias:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Ler as configurações de provisionamento associadas ao objeto de aplicativo
Para delegar a capacidade de ler as configurações de provisionamento associadas ao objeto. Permissões necessárias:
- microsoft.directory/applications/synchronization/standard/read
Ler as configurações de provisionamento associadas à entidade de serviço
Para delegar a capacidade de ler as configurações de provisionamento associadas à entidade de serviço. Permissões necessárias:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Autorizar o acesso do aplicativo para provisionamento
Para delegar a capacidade de autorizar o acesso ao aplicativo para provisionamento. Exemplo do token de portador OAuth de entrada. Permissões necessárias:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Permissões do Proxy de Aplicativo
A execução de qualquer operação de gravação nas propriedades do Proxy de Aplicativo do aplicativo também exige as permissões necessárias para atualizar as propriedades básicas e a autenticação do aplicativo.
Para ler e executar qualquer operação de gravação nas propriedades do Proxy de Aplicativo do aplicativo, também é necessário ter permissões de leitura para exibir grupos de conectores, pois isso faz parte da lista de propriedades mostradas na página.
Delegar o gerenciamento de conector do Proxy de Aplicativo
Para delegar ações de criação, leitura, atualização e exclusão para o gerenciamento de conector. Permissões necessárias:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
Delegar o gerenciamento de configurações do Proxy de Aplicativo
Para delegar ações de criação, leitura, atualização e exclusão para as propriedades do Proxy de Aplicativo em um aplicativo. Permissões necessárias:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applications/basic/update
- microsoft.directory/aplicativos/autenticacao/atualizar
- microsoft.directory/connectorGroups/allProperties/read
Ler as configurações do Proxy de Aplicativo de um aplicativo
Para delegar permissões de leitura para propriedades do Proxy de Aplicativo em um aplicativo. Permissões necessárias:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
Atualizar as configurações do Proxy de Aplicativo de configuração de URL em um aplicativo
Para delegar permissões CRUD (criar, ler, atualizar e excluir) para atualizar a URL externa do Proxy de Aplicativo, a URL interna e as propriedades do certificado SSL. Permissões necessárias:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/aplicativos/básico/atualizar
- microsoft.directory/applications/authentication/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
Lista completa de permissões
| Permissão | Descrição |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Ler todas as propriedades (incluindo propriedades privilegiadas) em políticas de aplicativos |
| microsoft.directory/políticasDeAplicação/todasAsPropriedades/atualizar | Atualizar todas as propriedades (incluindo propriedades privilegiadas) em políticas de aplicativo |
| microsoft.directory/applicationPolicies/basic/update | Atualizar as propriedades padrão das políticas de aplicativo |
| microsoft.directory/applicationPolicies/create | Criar políticas de aplicativo |
| microsoft.directory/applicationPolicies/createAsOwner | Criar políticas de aplicativo e o criador é adicionado como o primeiro proprietário |
| microsoft.directory/applicationPolicies/delete | Excluir políticas de aplicativo |
| microsoft.directory/applicationPolicies/owners/read | Ler os proprietários nas políticas de aplicativo |
| microsoft.directory/applicationPolicies/owners/update | Atualizar a propriedade de proprietário das políticas de aplicativo |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Ler políticas de aplicativo aplicadas à lista de objetos |
| microsoft.directory/applicationPolicies/standard/read | Ler as propriedades padrão das políticas de aplicativo |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Criar e excluir entidades de serviço, além de ler e atualizar todas as propriedades |
| microsoft.directory/servicePrincipals/allProperties/read | Ler todas as propriedades (inclusive propriedades privilegiadas) em servicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update | Atualizar todas as propriedades (incluindo propriedades privilegiadas) em servicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Ler as atribuições de função da entidade de serviço |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Atualizar as atribuições de função da entidade de serviço |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Ler as atribuições de função atribuídas a entidades de serviço |
| microsoft.directory/servicePrincipals/audience/update | Atualizar as propriedades de público-alvo nas entidades de serviço |
| microsoft.directory/servicePrincipals/authentication/update | Atualizar as propriedades de autenticação nas entidades de serviço |
| microsoft.directory/servicePrincipals/basic/update | Atualizar as propriedades básicas das entidades de serviço |
| microsoft.directory/servicePrincipals/create | Criar entidades de serviço |
| microsoft.directory/servicePrincipals/createAsOwner | Criar entidades de serviço, com o criador como o primeiro proprietário |
| microsoft.directory/servicePrincipals/credentials/update | Atualizar as credenciais das entidades de serviço |
| microsoft.directory/servicePrincipals/delete | Excluir as entidades de serviço |
| microsoft.directory/servicePrincipals/disable | Desabilitar as entidades de serviço |
| microsoft.directory/servicePrincipals/enable | Habilitar entidades de serviço |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Ler credenciais de logon único com senha nas entidades de serviço |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Gerenciar as credenciais de logon único com senha em entidades de serviço |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Ler as concessões de permissão delegada nas entidades de serviço |
| microsoft.directory/servicePrincipals/owners/read | Ler os proprietários das entidades de serviço |
| microsoft.directory/servicePrincipals/owners/update | Atualizar os proprietários das entidades de serviço |
| microsoft.directory/servicePrincipals/permissions/update | Atualizar as permissões das entidades de serviço |
| microsoft.directory/servicePrincipals/policies/read | Ler as políticas das entidades de serviço |
| microsoft.directory/servicePrincipals/policies/update | Atualizar as políticas das entidades de serviço |
| microsoft.directory/servicePrincipals/standard/read | Ler as propriedades básicas das entidades de serviço |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Ler as configurações de provisionamento associadas à entidade de serviço |
| microsoft.directory/servicePrincipals/tag/update | Atualizar a propriedade de tag para entidades de serviço |
| microsoft.directory/applicationTemplates/instantiate | Criar uma instância de aplicativos de galeria por meio de modelos de aplicativo |
| microsoft.directory/auditLogs/allProperties/read | Ler todas as propriedades em logs de auditoria, incluindo propriedades privilegiadas |
| microsoft.directory/signInReports/allProperties/read | Ler todas as propriedades nos relatórios de credenciais, incluindo as propriedades privilegiadas |
| microsoft.directory/applications/applicationProxy/read | Ler todas as propriedades do proxy de aplicativo |
| microsoft.directory/applications/applicationProxy/update | Atualizar todas as propriedades do proxy de aplicativo |
| microsoft.directory/applications/applicationProxyAuthentication/update | Atualizar a autenticação em todos os tipos de aplicativos |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Atualizar as configurações de URL para o proxy de aplicativo |
| microsoft.directory/applications/applicationProxySslCertificate/update | Atualizar as configurações de certificado SSL para o proxy de aplicativo |
| microsoft.directory/applications/synchronization/standard/read | Ler as configurações de provisionamento associadas ao objeto de aplicativo |
| microsoft.directory/connectorGroups/create | Criar grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/delete | Excluir grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/allProperties/read | Ler todas as propriedades de grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/allProperties/update | Atualizar todas as propriedades de grupos de conectores de rede privada |
| microsoft.directory/connectors/create | Criar conectores de rede privada |
| microsoft.directory/connectors/allProperties/read | Ler todas as propriedades de conectores de rede privada |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Iniciar, reiniciar e pausar trabalhos de sincronização de provisionamento de aplicativos |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Ler as configurações de provisionamento associadas à entidade de serviço |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Criar e gerenciar esquemas e trabalhos de sincronização do provisionamento de aplicativo |
| microsoft.directory/provisioningLogs/allProperties/read | Ler todas as propriedades de logs de provisionamento |