Microsoft Entra ID 中自定义角色的企业应用程序权限
本文包含 Microsoft Entra ID 中自定义角色定义当前提供的企业应用程序权限。 在本文中,你将找到一些常见方案的权限列表以及企业应用程序权限的完整列表。
许可证要求
使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
企业应用程序权限
有关如何使用这些权限的详细信息,请参阅分配自定义角色来管理企业应用
将用户或组分配到应用程序
委托可以访问基于 SAML 的单一登录应用程序的用户和组的分配。 所需的权限
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
创建库应用程序
委托创建 Microsoft Entra 库应用程序,例如 ServiceNow、F5、Salesforce 等。 所需的权限:
- microsoft.directory/applicationTemplates/instantiate
配置基本 SAML URL
委托对基于 SAML 的单一登录应用程序的基本 SAML 配置的更新和读取。 所需的权限:
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
滚动或创建签名证书
委托对基于 SAML 的单一登录应用程序的签名证书管理。 所需的权限。
microsoft.directory/servicePrincipals/credentials/update
更新即将到期的登录证书通知电子邮件地址
委托更新基于 SAML 的单一登录应用程序即将到期的登录证书通知电子邮件地址。 所需的权限:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
管理 SAML 令牌签名和登录算法
委托更新基于 SAML 的单一登录应用程序的 SAML 令牌签名和登录算法。 所需的权限:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
管理用户特性和声明
委托对基于 SAML 的单一登录应用程序的用户特性和声明的创建、删除和更新。 所需的权限:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
应用预配权限
执行任何写入操作(例如通过 UI 管理作业、架构或凭据)也需要读取权限才能查看预配页。
若要将范围设置为所有用户和组或已分配的用户和组,目前需要 synchronizationJob 和 synchronizationCredentials 权限。
启用或重启预配作业
委派打开、关闭和重启资源预配作业的功能。 所需的权限:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
配置预配架构
委托对属性映射的更新。 所需的权限:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
读取与应用程序对象关联的预配设置
委托读取与对象关联的预配设置的能力。 所需的权限:
- microsoft.directory/applications/synchronization/standard/read
读取与服务主体关联的预配设置
委托读取与服务主体关联的预配设置的能力。 所需的权限:
- microsoft.directory/servicePrincipals/synchronization/standard/read
授权应用程序访问以进行预配
委派授权应用程序访问以进行预配的能力。 输入 Oauth 持有者令牌示例。 所需的权限:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
应用程序代理权限
对应用程序的应用程序代理属性执行任何写入操作还需要更新应用程序基本属性和身份验证的权限。
对应用程序的应用程序代理属性进行读取和执行任何写入操作还需要具有查看连接器组的读取权限,因为这是页面上显示的属性列表的一部分。
委托应用程序代理连接器管理
针对连接器管理委托创建、读取、更新和删除操作。 所需的权限:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
委托应用程序代理设置管理
针对应用中的应用程序代理属性委托创建、读取、更新和删除操作。 所需的权限:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/connectorGroups/allProperties/read
读取应用的应用程序代理设置
针对应用中的应用程序代理属性委托读取权限。 所需的权限:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
更新应用的 URL 应用程序代理设置
委托创建、读取、更新和删除 (CRUD) 权限,以便更新应用程序代理外部 URL、内部 URL 和 SSL 证书属性。 所需的权限:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
权限的完整列表
| 权限 | 说明 |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | 读取应用程序策略的所有属性(包括特权属性) |
| microsoft.directory/applicationPolicies/allProperties/update | 更新应用程序策略的所有属性(包括特权属性) |
| microsoft.directory/applicationPolicies/basic/update | 更新应用程序策略的标准属性 |
| microsoft.directory/applicationPolicies/create | 创建应用程序策略 |
| microsoft.directory/applicationPolicies/createAsOwner | 创建应用程序策略,创建者添加为第一所有者 |
| microsoft.directory/applicationPolicies/delete | 删除应用程序策略 |
| microsoft.directory/applicationPolicies/owners/read | 读取应用程序策略的所有者 |
| microsoft.directory/applicationPolicies/owners/update | 更新应用程序策略的所有者属性 |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | 读取应用于对象列表的应用程序策略 |
| microsoft.directory/applicationPolicies/standard/read | 读取应用程序策略的标准属性 |
| microsoft.directory/servicePrincipals/allProperties/allTasks | 创建和删除服务主体,读取和更新所有属性 |
| microsoft.directory/servicePrincipals/allProperties/read | 读取服务主体上的所有属性(包括特权属性) |
| microsoft.directory/servicePrincipals/allProperties/update | 更新 servicePrincipals 的所有属性(包括特权属性) |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | 读取服务主体角色分配 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 更新服务主体角色分配 |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | 读取分配给服务主体的角色分配 |
| microsoft.directory/servicePrincipals/audience/update | 更新服务主体的受众属性 |
| microsoft.directory/servicePrincipals/authentication/update | 更新服务主体的身份验证属性 |
| microsoft.directory/servicePrincipals/basic/update | 更新服务主体的基本属性 |
| microsoft.directory/servicePrincipals/create | 创建服务主体 |
| microsoft.directory/servicePrincipals/createAsOwner | 创建服务主体,并将创建者作为第一个所有者 |
| microsoft.directory/servicePrincipals/credentials/update | 更新服务主体的凭据 |
| microsoft.directory/servicePrincipals/delete | 删除服务主体 |
| microsoft.directory/servicePrincipals/disable | 禁用服务主体 |
| microsoft.directory/servicePrincipals/enable | 启用服务主体 |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | 读取服务主体的密码单一登录凭据 |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | 管理服务主体的密码单一登录凭据 |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | 读取服务主体的委托权限授予 |
| microsoft.directory/servicePrincipals/owners/read | 读取服务主体的所有者 |
| microsoft.directory/servicePrincipals/owners/update | 更新服务主体的所有者 |
| microsoft.directory/servicePrincipals/permissions/update | 更新服务主体的权限 |
| microsoft.directory/servicePrincipals/policies/read | 读取服务主体的策略 |
| microsoft.directory/servicePrincipals/policies/update | 更新服务主体的策略 |
| microsoft.directory/servicePrincipals/standard/read | 读取服务主体的基本属性 |
| microsoft.directory/servicePrincipals/synchronization/standard/read | 读取与服务主体关联的预配设置 |
| microsoft.directory/servicePrincipals/tag/update | 更新服务主体的标记属性 |
| microsoft.directory/applicationTemplates/instantiate | 从应用程序模板实例化库应用程序 |
| microsoft.directory/auditLogs/allProperties/read | 读取审核日志中的所有属性,包括特权属性 |
| microsoft.directory/signInReports/allProperties/read | 读取登录报告上的所有属性,包括特权属性 |
| microsoft.directory/applications/applicationProxy/read | 读取所有应用程序代理属性 |
| microsoft.directory/applications/applicationProxy/update | 更新所有应用程序代理属性 |
| microsoft.directory/applications/applicationProxyAuthentication/update | 更新所有类型的应用程序的身份验证 |
| microsoft.directory/applications/applicationProxyUrlSettings/update | 更新应用程序代理的 URL 设置 |
| microsoft.directory/applications/applicationProxySslCertificate/update | 更新应用程序代理的 SSL 证书设置 |
| microsoft.directory/applications/synchronization/standard/read | 读取与应用程序对象关联的预配设置 |
| microsoft.directory/connectorGroups/create | 创建应用程序代理连接器组 |
| microsoft.directory/connectorGroups/delete | 删除应用程序代理连接器组 |
| microsoft.directory/connectorGroups/allProperties/read | 读取应用程序代理连接器组的所有属性 |
| microsoft.directory/connectorGroups/allProperties/update | 更新应用程序代理连接器组的所有属性 |
| microsoft.directory/connectors/create | 创建应用程序代理连接器 |
| microsoft.directory/connectors/allProperties/read | 读取应用程序代理连接器的所有属性 |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | 启动、重启和暂停应用程序预配同步作业 |
| microsoft.directory/servicePrincipals/synchronization/standard/read | 读取与服务主体关联的预配设置 |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | 创建和管理应用程序预配同步作业和架构 |