Microsoft Entra ID 中自定义角色的应用同意权限

本文包含 Microsoft Entra ID 中自定义角色定义的当前可用应用同意权限。 本文介绍与应用同意和权限相关的一些常见方案所需的权限。

许可证要求

使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能

使用本文中列出的权限来管理应用同意策略,并使用向应用授予同意的权限。

注意

Microsoft Entra 管理中心尚不支持将本文中列出的权限添加到自定义目录角色定义中。 你必须使用 Microsoft Graph PowerShell 来创建具有本文所列权限的自定义目录角色

根据应用同意策略,允许用户代表自己(用户同意)向应用程序授予同意。

  • microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}

其中,{id} 替换为应用同意策略的 ID,该策略将设置激活此权限所需满足的条件。

例如,若要根据 ID 为 microsoft-user-default-low 的内置应用同意策略,允许用户代表自己授予同意,应使用权限 ...managePermissionGrantsForSelf.microsoft-user-default-low

将租户范围内的管理员同意委托给应用,以同时获得委托的权限和应用程序权限(应用角色):

  • microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}

其中,{id} 替换为应用同意策略的 ID,该策略将设置激活此权限所需满足的条件。

例如,若要根据 ID 为 low-risk-any-app 的自定义应用同意策略,允许角色被分派人向应用授予租户范围内的管理员同意,应使用权限 microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app

委托应用同意策略的创建、更新和删除。

  • microsoft.directory/permissionGrantPolicies/create
  • microsoft.directory/permissionGrantPolicies/standard/read
  • microsoft.directory/permissionGrantPolicies/basic/update
  • microsoft.directory/permissionGrantPolicies/delete

权限的完整列表

权限 说明
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} 根据应用同意策略 {id},授予代表自己同意(用户同意)应用的能力。
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} 根据应用同意策略 {id},授予代表所有人同意(租户范围内的管理员同意)应用的权限。
microsoft.directory/permissionGrantPolicies/standard/read 读取权限授予策略的标准属性
microsoft.directory/permissionGrantPolicies/basic/update 更新权限授予策略的基本属性
microsoft.directory/permissionGrantPolicies/create 创建权限授予策略
microsoft.directory/permissionGrantPolicies/delete 删除权限授予策略

后续步骤