Microsoft Entra ID 中自定义角色的应用同意权限
本文包含 Microsoft Entra ID 中自定义角色定义的当前可用应用同意权限。 本文介绍与应用同意和权限相关的一些常见方案所需的权限。
许可证要求
使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
应用同意权限
使用本文中列出的权限来管理应用同意策略,并使用向应用授予同意的权限。
注意
Microsoft Entra 管理中心尚不支持将本文中列出的权限添加到自定义目录角色定义中。 你必须使用 Microsoft Graph PowerShell 来创建具有本文所列权限的自定义目录角色。
代表自己(用户同意)向应用授予委托的权限
根据应用同意策略,允许用户代表自己(用户同意)向应用程序授予同意。
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}
其中,{id} 替换为应用同意策略的 ID,该策略将设置激活此权限所需满足的条件。
例如,若要根据 ID 为 microsoft-user-default-low 的内置应用同意策略,允许用户代表自己授予同意,应使用权限 ...managePermissionGrantsForSelf.microsoft-user-default-low。
代表所有人(管理员同意)向应用授予权限
将租户范围内的管理员同意委托给应用,以同时获得委托的权限和应用程序权限(应用角色):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
其中,{id} 替换为应用同意策略的 ID,该策略将设置激活此权限所需满足的条件。
例如,若要根据 ID 为 low-risk-any-app 的自定义应用同意策略,允许角色被分派人向应用授予租户范围内的管理员同意,应使用权限 microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app。
管理应用同意策略
委托应用同意策略的创建、更新和删除。
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
权限的完整列表
| 权限 | 说明 |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} | 根据应用同意策略 {id},授予代表自己同意(用户同意)应用的能力。 |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | 根据应用同意策略 {id},授予代表所有人同意(租户范围内的管理员同意)应用的权限。 |
| microsoft.directory/permissionGrantPolicies/standard/read | 读取权限授予策略的标准属性 |
| microsoft.directory/permissionGrantPolicies/basic/update | 更新权限授予策略的基本属性 |
| microsoft.directory/permissionGrantPolicies/create | 创建权限授予策略 |
| microsoft.directory/permissionGrantPolicies/delete | 删除权限授予策略 |