Appmedgivanderättigheter för anpassade roller i Microsoft Entra ID
Den här artikeln innehåller de för närvarande tillgängliga behörigheterna för appmedgivande för anpassade rolldefinitioner i Microsoft Entra-ID. I den här artikeln hittar du de behörigheter som krävs för några vanliga scenarier som rör appmedgivande och behörigheter.
Licenskrav
För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Information om hur du hittar rätt licens för dina krav finns i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.
Appens medgivandebehörigheter
Använd de behörigheter som anges i den här artikeln för att hantera principer för appmedgivande samt behörighet att bevilja medgivande till appar.
Not
Administrationscentret för Microsoft Entra har ännu inte stöd för att lägga till de behörigheter som anges i den här artikeln i en anpassad rolldefinition. Du måste använda Microsoft Graph PowerShell för att skapa en anpassad roll med de behörigheter som anges i den här artikeln.
Bevilja delegerade behörigheter till appar för egen räkning (användarmedgivande)
För att tillåta användare att ge sitt medgivande till applikationer för sig själva (användarmedgivande), enligt en policy för appmedgivande.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}
Om {id} ersätts av ID:t för en appmedgivandeprincip som anger de villkor som måste uppfyllas för att den här behörigheten ska vara aktiv.
Om du till exempel vill tillåta användare att bevilja medgivande för egen räkning, med den inbyggda principen för appmedgivande med ID microsoft-user-default-low, använder du behörigheten ...managePermissionGrantsForSelf.microsoft-user-default-low.
Bevilja behörigheter till appar för allas räkning (administratörsmedgivande)
För att delegera administrativt medgivande över hela klientorganisationen till appar, för både delegerade behörigheter och programbehörigheter (approller):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
Om {id} ersätts av ID:t för en appmedgivandeprincip som anger de villkor som måste uppfyllas för att behörigheten ska kunna användas.
Om du till exempel vill tillåta rolltilldelade att bevilja klientomfattande administratörsmedgivande till appar som omfattas av en anpassad -princip för appmedgivande med ID low-risk-any-appanvänder du behörigheten microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.
Hantera principer för appmedgivande
Om du vill delegera skapande, uppdatering och borttagning av principer för appmedgivande.
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.catalog/behörighetsbeviljningspolicyer/radera
Fullständig lista över behörigheter
| Tillåtelse | Beskrivning |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} | Ger möjlighet att samtycka till appar för egen räkning (användarmedgivande), med förbehåll för principen för appmedgivande {id}. |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | Ger behörighet att godkänna appar för alla (hyresgästanpassat administratörsmedgivande), i enlighet med appmedgivandepolicyn {id}. |
| microsoft.directory/permissionGrantPolicies/standard/read | Läs standardegenskaper för behörighetspolicyer |
| microsoft.directory/permissionGrantPolicies/basic/update | Uppdatera grundläggande egenskaper för behörighetsgivningsprinciper |
| microsoft.directory/permissionGrantPolicies/create | Skapa principer för beviljande av behörigheter |
| microsoft.catalog/behörighetsbeviljningspolicyer/radera | Ta bort behörighetsgivningsprinciper |