Microsoft Entra ID 中自訂角色的應用程式同意權限
本文包含 Microsoft Entra ID 中的自訂角色定義目前可用的應用程式同意權限。 在本文中,您會找到一些常見案例所需的許可權,這些案例與應用程式同意和許可權相關。
授權需求
使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
應用程式同意權限
請使用本文中所列的權限來管理應用程式同意原則,以及將同意授與應用程式的權限。
注意
Microsoft Entra 系統管理中心尚不支援將本文所列的權限新增至自訂目錄角色定義。 您必須使用 Microsoft Graph PowerShell 來建立自訂目錄角色 (部分機器翻譯),並具有本文所列的權限。
代表自身將委派的許可權授與應用程式 (使用者同意)
允許使用者代表自身將同意授與應用程式 (使用者同意),但受限於應用程式同意原則。
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}
其中 {id} 會被應用程式同意原則的識別碼取代,這會設定必須符合才能讓此權限成為作用中的條件。
例如,若要允許使用者代表自己授與同意,但受限於識別碼為 microsoft-user-default-low 的內建應用程式同意原則,您將會使用權限 ...managePermissionGrantsForSelf.microsoft-user-default-low。
代表全部將權限授與應用程式 (管理員同意)
若要同時針對委派的權限和應用程式權限,將全租用戶管理員同意委派給應用程式 (應用程式角色):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
其中 {id} 會被應用程式同意原則的識別碼取代,這會設定必須符合才能讓此權限成為可用的條件。
例如,若要允許角色受託人將全租用戶的管理員同意授與應用程式,但受限於識別碼為 low-risk-any-app 的自訂應用程式同意原則,您將會使用權限 microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app。
管理應用程式同意原則
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
權限的完整清單
| 權限 | 描述 |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} | 代表自身將同意能力授與應用程式 (使用者同意),但受限於應用程式同意原則 {id}。 |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | 代表自身將同意權限授與應用程式 (全租用戶管理員同意),但受限於應用程式同意原則 {id}。 |
| microsoft.directory/permissionGrantPolicies/standard/read | 讀取權限授與原則的標準屬性 |
| microsoft.directory/permissionGrantPolicies/basic/update | 更新權限授與原則的基本屬性 |
| microsoft.directory/permissionGrantPolicies/create | 建立權限授與原則 |
| microsoft.directory/permissionGrantPolicies/delete | 刪除權限授與原則 |
下一步
- 在 Microsoft Entra ID 中建立和指派自訂角色 (部分機器翻譯)
- 檢視自訂角色的指派