Microsoft Entra ID 中自定義角色的應用程式同意許可權
本文包含 Microsoft Entra ID 中自定義角色定義的當前可用的應用程式同意許可權。 在本文中,您將找到與應用程式同意和許可權相關的一些常見案例所需的許可權。
授權需求
使用此功能需要Microsoft Entra ID P1 授權。 若要尋找您需求的正確授權,請參閱 比較 Microsoft Entra ID的一般可用功能。
應用程式同意許可權
使用本文所列的許可權來管理應用程式同意原則,以及授與應用程式同意的許可權。
注意
Microsoft Entra 系統管理中心尚不支援將本文所列的許可權新增至自定義角色定義。 您必須 使用 Microsoft Graph PowerShell 來建立具有本文所列許可權的自定義角色。
代表使用者自己將委派的許可權授與應用程式(使用者同意)
若要允許使用者代表自己授與應用程式同意(使用者同意),受限於應用程式同意原則。
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf/{id}
其中,{id} 會由 應用程式同意原則的標識碼取代,這會設定必須符合此許可權才能作用中的條件。
例如,若要允許使用者代表自己授與同意,受限於標識符為 microsoft-user-default-low的內建應用程式同意原則,您可以使用許可權 ...managePermissionGrantsForSelf.microsoft-user-default-low。
代表所有應用程式授與許可權(系統管理員同意)
要將租用戶全域系統管理員同意授權給應用程式,請同時針對委派的許可權和應用程式許可權(應用程式角色)執行以下步驟:
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
其中 {id} 會被替換為 應用程式同意原則的識別碼,這將設定必須滿足條件才能使用此許可權。
例如,若要允許角色指派者將租戶範圍的系統管理員同意授予受自定義 應用程式同意原則 控制,且具有 ID low-risk-any-app的應用程式,您可以使用權限 microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app。
管理應用程式同意原則
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/刪除
許可權的完整清單
| 許可 | 描述 |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf/{id} | 授予自行(使用者)對應用程式給予同意的能力,但需遵循應用程式同意政策 {id}。 |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | 授與代表所有租用戶核准應用程式的權限(租用戶範圍的系統管理員同意),但需遵循應用程式同意政策 {id}。 |
| microsoft.directory/permissionGrantPolicies/standard/read | 讀取權限授予原則的標準屬性 |
| microsoft.directory/permissionGrantPolicies/basic/update | 更新許可權授與原則的基本屬性 |
| microsoft.directory/permissionGrantPolicies/create | 建立許可權授與原則 |
| microsoft.directory/permissionGrantPolicies/刪除 | 刪除許可權授與原則 |