Behörigheter för appmedgivande för anpassade roller i Microsoft Entra ID
Den här artikeln innehåller de för närvarande tillgängliga behörigheterna för appmedgivande för anpassade rolldefinitioner i Microsoft Entra-ID. I den här artikeln hittar du de behörigheter som krävs för några vanliga scenarier som rör appmedgivande och behörigheter.
Licenskrav
För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.
Behörigheter för appmedgivande
Använd de behörigheter som anges i den här artikeln för att hantera principer för appmedgivande samt behörighet att bevilja medgivande till appar.
Kommentar
Administrationscentret för Microsoft Entra har ännu inte stöd för att lägga till de behörigheter som anges i den här artikeln i en anpassad katalogrolldefinition. Du måste använda Microsoft Graph PowerShell för att skapa en anpassad katalogroll med de behörigheter som anges i den här artikeln.
Bevilja delegerade behörigheter till appar för egen räkning (användarmedgivande)
För att tillåta användare att bevilja medgivande till program för sig själva (användarmedgivande), med förbehåll för en princip för appmedgivande.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf. {id}
Där {id} ersätts av ID:t för en appmedgivandeprincip som anger de villkor som måste uppfyllas för att den här behörigheten ska vara aktiv.
Om du till exempel vill tillåta användare att bevilja medgivande för egen räkning, med den inbyggda principen för appmedgivande med ID microsoft-user-default-low, använder du behörigheten ...managePermissionGrantsForSelf.microsoft-user-default-low.
Bevilja behörigheter till appar för allas räkning (administratörsmedgivande)
För att delegera administratörsmedgivande för hela klientorganisationen till appar för både delegerade behörigheter och programbehörigheter (approller):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll. {id}
Där {id} ersätts av ID:t för en appmedgivandeprincip som anger de villkor som måste uppfyllas för att den här behörigheten ska kunna användas.
Om du till exempel vill tillåta rolltilldelare att bevilja administratörsmedgivande för hela klientorganisationen till appar som omfattas av en anpassad appmedgivandeprincip med ID low-risk-any-appanvänder du behörigheten microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.
Hantera principer för appmedgivande
För att delegera skapande, uppdatering och borttagning av principer för appmedgivande.
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
Fullständig lista över behörigheter
| Behörighet | beskrivning |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf. {id} | Ger möjlighet att samtycka till appar för egen räkning (användarmedgivande), med förbehåll för principen {id}för appmedgivande . |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll. {id} | Ger behörighet att godkänna appar för alla (administratörsmedgivande för hela klientorganisationen), med förbehåll för principen {id}för appmedgivande . |
| microsoft.directory/permissionGrantPolicies/standard/read | Läsa standardegenskaper för behörighetsgivningsprinciper |
| microsoft.directory/permissionGrantPolicies/basic/update | Uppdatera grundläggande egenskaper för behörighetsgivningsprinciper |
| microsoft.directory/permissionGrantPolicies/create | Skapa principer för beviljande av behörigheter |
| microsoft.directory/permissionGrantPolicies/delete | Ta bort behörighetsgivningsprinciper |