Разрешения на согласие приложения для пользовательских ролей в идентификаторе Microsoft Entra
В этой статье содержатся доступные в настоящее время разрешения на согласие приложения для определений пользовательских ролей в идентификаторе Microsoft Entra. В этой статье вы найдете разрешения, необходимые для некоторых распространенных сценариев, связанных с согласием и разрешениями приложения.
Требования к лицензии
Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы найти нужную лицензию для ваших требований, ознакомьтесь с сравнением общедоступных функций Microsoft Entra ID.
Разрешения на согласие приложения
Используйте разрешения, перечисленные в этой статье, для управления политиками согласия приложения, а также разрешением на предоставление согласия приложениям.
Заметка
Центр администрирования Microsoft Entra еще не поддерживает добавление разрешений, перечисленных в этой статье, в определение пользовательской роли. Необходимо использовать Microsoft Graph PowerShell для создания пользовательской роли с разрешениями, перечисленными в этой статье.
Предоставление делегированных разрешений приложениям от имени себя (согласие пользователя)
Чтобы разрешить пользователям предоставлять согласие приложениям от имени себя (согласие пользователя), при условии политики согласия приложения.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}
Где {id} заменяется идентификатором политики согласия приложения , которой будут заданы условия, которые должны быть выполнены для активного разрешения.
Например, чтобы разрешить пользователям предоставлять согласие от собственного имени, при условии встроенной политики согласия приложения с идентификатором microsoft-user-default-lowвы будете использовать разрешение ...managePermissionGrantsForSelf.microsoft-user-default-low.
Предоставление разрешений приложениям от имени всех (согласие администратора)
Чтобы делегировать согласие администратора на уровне арендатора для приложений с делегированными разрешениями и разрешениями приложений (роли приложений):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
Если {id} заменяется на идентификатор политики согласия для приложения , то будет определять условия, которые должны быть выполнены, чтобы это разрешение могло быть использовано.
Например, чтобы разрешить назначенным ролям предоставлять администраторское согласие, действующее на уровне арендатора, приложениям, к которым применяется настраиваемая политика согласия с идентификатором low-risk-any-app, вы используете разрешение microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.
Управление политиками согласия приложения
Чтобы делегировать создание, обновление и удаление политик согласия для приложений .
- microsoft.directory/permissionGrantPolicies/создать
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
Полный список разрешений
| Разрешение | Описание |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} | Предоставляет возможность предоставлять согласие приложениям от имени себя (согласие пользователя), при условии политики согласия приложения {id}. |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | Предоставляет разрешение давать согласие приложениям от имени всех пользователей (административное согласие на уровне арендатора), согласно политике согласия приложений {id}. |
| microsoft.directory/permissionGrantPolicies/standard/read | Чтение стандартных свойств политик выдачи разрешений |
| microsoft.directory/permissionGrantPolicies/basic/update | Обновление основных свойств политик предоставления разрешений |
| microsoft.directory/permissionGrantPolicies/создать | Создание политик предоставления разрешений |
| microsoft.directory/permissionGrantPolicies/delete | Удаление политик предоставления разрешений |
Дальнейшие действия
- Создание настраиваемой роли в Microsoft Entra ID
- Список назначений ролей Microsoft Entra