本文包含Microsoft Entra ID 中自定义角色定义的当前可用的应用许可权限。 在本文中,你将找到一些与应用许可和权限相关的常见方案所需的权限。
许可要求
使用此功能需要 Microsoft Entra ID P1 许可证。 要查找符合您需求的合适许可证,请参阅比较 Microsoft Entra ID 的普遍可用功能。
应用许可权限
使用本文中列出的权限来管理应用同意策略,以及授予应用许可的权限。
注释
Microsoft Entra 管理中心尚不支持将本文中列出的权限添加到自定义角色定义。 必须使用 Microsoft Graph PowerShell 创建具有本文中列出的权限的自定义角色。
代表自己(用户同意)向应用授予委派权限
若要允许用户代表自己(用户同意)向应用程序授予许可,必须遵循应用同意策略。
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}
其中,{id} 替换为应用同意策略的 ID,该策略将设置激活此权限所需满足的条件。
例如,若要允许用户代表自己授予同意,根据 ID 为 microsoft-user-default-low的内置应用同意策略,请使用权限 ...managePermissionGrantsForSelf.microsoft-user-default-low。
代表所有用户向应用授予权限(管理员同意)
将租户范围内的管理员同意委托给应用,以同时获得委托的权限和应用程序权限(应用角色):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
其中,{id} 替换为用于设置必须满足条件以使此权限可用的 应用同意策略 的 ID。
例如,若要根据 ID 为 的自定义low-risk-any-app,允许角色被分派人向应用授予租户范围内的管理员同意,应使用权限 microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app。
管理应用许可策略
委托应用同意策略的创建、更新和删除。
- microsoft.directory/permissionGrantPolicies/create
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/delete
权限的完整列表
| 许可 | DESCRIPTION |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} | 根据应用同意策略 {id},授予代表自己同意(用户同意)应用的能力。 |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | 根据应用同意策略 {id},授予代表所有人同意(租户范围内的管理员同意)应用的权限。 |
| microsoft.directory/permissionGrantPolicies/standard/read | 读取权限授予策略的标准属性 |
| microsoft.directory/permissionGrantPolicies/basic/update | 更新权限授予策略的基本属性 |
| microsoft.directory/permissionGrantPolicies/create | 创建权限授予策略 |
| microsoft.directory/permissionGrantPolicies/delete | 删除权限授予策略 |