Microsoft Entra ID 中自定义角色的应用同意权限

本文包含Microsoft Entra ID 中自定义角色定义的当前可用的应用许可权限。 在本文中,你将找到一些与应用许可和权限相关的常见方案所需的权限。

许可证要求

使用此功能需要Microsoft Entra ID P1 许可证。 若要查找适合你的要求的许可证,请参阅 比较 Microsoft Entra ID的一般可用功能。

使用本文中列出的权限来管理应用同意策略,以及授予应用许可的权限。

注意

Microsoft Entra 管理中心尚不支持将本文中列出的权限添加到自定义角色定义。 必须使用 Microsoft Graph PowerShell 创建具有本文中列出的权限的自定义角色

若要允许用户代表自己(用户同意)向应用程序授予许可,必须遵循应用同意策略。

  • microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}

其中,{id} 替换为应用同意策略的 ID,该策略将设置激活此权限所需满足的条件。

例如,若要允许用户代表自己授予同意,根据 ID 为 microsoft-user-default-low的内置应用同意策略,请使用权限 ...managePermissionGrantsForSelf.microsoft-user-default-low

将租户范围内的管理员同意委托给应用,以同时获得委托的权限和应用程序权限(应用角色):

  • microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}

其中,{id} 替换为用于设置必须满足条件以使此权限可用的 应用同意策略 的 ID。

例如,若要根据 ID 为 low-risk-any-app 的自定义应用同意策略,允许角色被分派人向应用授予租户范围内的管理员同意,应使用权限 microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app

委托应用同意策略的创建、更新和删除。

  • microsoft.directory/permissionGrantPolicies/create
  • microsoft.directory/permissionGrantPolicies/standard/read
  • microsoft.directory/permissionGrantPolicies/basic/update
  • microsoft.directory/permissionGrantPolicies/delete

权限的完整列表

许可 描述
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} 根据应用同意策略 {id},授予代表自己同意(用户同意)应用的能力。
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} 根据应用同意策略 {id},授予代表所有人同意(租户范围内的管理员同意)应用的权限。
microsoft.directory/permissionGrantPolicies/standard/read 读取权限授予策略的标准属性
microsoft.directory/permissionGrantPolicies/basic/update 更新权限授予策略的基本属性
microsoft.directory/permissionGrantPolicies/create 创建权限授予策略
microsoft.directory/permissionGrantPolicies/delete 删除权限授予策略

后续步骤