Oprávnění podnikových aplikací pro vlastní role v Microsoft Entra ID
Tento článek obsahuje aktuálně dostupná oprávnění podnikové aplikace pro vlastní definice rolí v Microsoft Entra ID. V tomto článku najdete seznamy oprávnění pro některé běžné scénáře a úplný seznam oprávnění podnikových aplikací.
Požadavky na licenci
Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.
Oprávnění podnikových aplikací
Další informace o tom, jak tato oprávnění používat, najdete v tématu Přiřazení vlastních rolí pro správu podnikových aplikací.
Přiřazení uživatelů nebo skupin k aplikaci
Delegování přiřazení uživatelů a skupin, které mají přístup k aplikacím s jednotným přihlašováním založeným na SAML. Požadována oprávnění
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Vytváření aplikací galerie
Delegování vytváření aplikací Microsoft Entra Gallery, jako jsou ServiceNow, F5, Salesforce, mimo jiné. Požadovaná oprávnění:
- microsoft.directory/applicationTemplates/instantiate
Konfigurace základních adres URL SAML
Delegování aktualizace a čtení základních konfigurací SAML pro aplikace jednotného přihlašování založené na SAML Požadovaná oprávnění:
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
Vrácení nebo vytvoření podpisových certifikátů
Delegování správy podpisových certifikátů pro aplikace jednotného přihlašování založené na SAML Požadovaná oprávnění.
microsoft.directory/servicePrincipals/credentials/update
Aktualizace e-mailové adresy oznámení o přihlašovacím certifikátu s vypršenou platností
Delegování aktualizace e-mailových e-mailových adres pro oznámení certifikátů přihlašování založených na SAML Požadovaná oprávnění:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
Správa podpisu tokenu SAML a algoritmu přihlášení
Delegování aktualizace podpisu tokenu SAML a algoritmu přihlašování pro aplikace jednotného přihlašování založeného na SAML Požadovaná oprávnění:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Správa atributů a deklarací identity uživatelů
Delegování vytváření, odstraňování a aktualizace atributů a deklarací identity uživatelů pro aplikace jednotného přihlašování založené na SAML Požadovaná oprávnění:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Oprávnění zřizování aplikací
Provedení jakékoli operace zápisu, jako je správa úlohy, schématu nebo přihlašovacích údajů prostřednictvím uživatelského rozhraní, bude také vyžadovat oprávnění ke čtení k zobrazení stránky zřizování.
Nastavení oboru pro všechny uživatele a skupiny nebo přiřazené uživatele a skupiny v současné době vyžaduje oprávnění synchronizationJob i synchronizationCredentials.
Zapnutí nebo restartování úloh zřizování
Pokud chcete delegovat možnost zapnout, vypnout a restartovat úlohy zřizování. Požadovaná oprávnění:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
Konfigurace schématu zřizování
Delegování aktualizací na mapování atributů Požadovaná oprávnění:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Čtení nastavení zřizování přidruženého k objektu aplikace
Delegování možnosti čtení nastavení zřizování přidruženého k objektu Požadovaná oprávnění:
- microsoft.directory/applications/synchronization/standard/read
Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu
Delegování možnosti čtení nastavení zřizování přidruženého k vašemu instančnímu objektu Požadovaná oprávnění:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Autorizace přístupu k aplikacím pro zřizování
Delegování schopnosti autorizovat přístup k aplikacím pro zřizování Příklad vstupního nosný token Oauth Požadovaná oprávnění:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
oprávnění proxy aplikací
Provádění všech operací zápisu do vlastností proxy aplikací aplikace také vyžaduje oprávnění k aktualizaci základních vlastností a ověřování aplikace.
Ke čtení a provádění operací zápisu do vlastností proxy aplikací aplikace také vyžaduje oprávnění ke čtení pro zobrazení skupin konektorů, protože je to součástí seznamu vlastností zobrazených na stránce.
Delegování správy konektoru proxy aplikací
Delegování akcí vytváření, čtení, aktualizace a odstraňování pro správu konektorů Požadovaná oprávnění:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
Delegování správy nastavení proxy aplikací
Delegování akcí vytváření, čtení, aktualizace a odstraňování pro proxy aplikací vlastností v aplikaci Požadovaná oprávnění:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrl Nastavení/update
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/connectorGroups/allProperties/read
Čtení proxy aplikací Nastavení pro aplikaci
Delegování oprávnění ke čtení pro vlastnosti proxy aplikací v aplikaci Požadovaná oprávnění:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
Aktualizace nastavení konfigurace adresy URL proxy aplikací pro aplikaci
Delegování oprávnění k vytváření, čtení, aktualizaci a odstraňování (CRUD) pro aktualizaci proxy aplikací vlastností externí adresy URL, interní adresy URL a certifikátu SSL. Požadovaná oprávnění:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrl Nastavení/update
Úplný seznam oprávnění
| Oprávnění | Popis |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Čtení všech vlastností (včetně privilegovaných vlastností) v zásadách aplikace |
| microsoft.directory/applicationPolicies/allProperties/update | Aktualizace všech vlastností (včetně privilegovaných vlastností) v zásadách aplikace |
| microsoft.directory/applicationPolicies/basic/update | Aktualizace standardních vlastností zásad aplikace |
| microsoft.directory/applicationPolicies/create | Vytvoření zásad aplikace |
| microsoft.directory/applicationPolicies/createAsOwner | Vytvoření zásad aplikace a tvůrce se přidá jako první vlastník. |
| microsoft.directory/applicationPolicies/delete | Odstranění zásad aplikace |
| microsoft.directory/applicationPolicies/owners/read | Čtení vlastníků zásad aplikací |
| microsoft.directory/applicationPolicies/owners/update | Aktualizace vlastnosti vlastníka zásad aplikace |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Čtení zásad aplikací použitých u seznamu objektů |
| microsoft.directory/applicationPolicies/standard/read | Čtení standardních vlastností zásad aplikace |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Vytváření a odstraňování instančních objektů a čtení a aktualizace všech vlastností |
| microsoft.directory/servicePrincipals/allProperties/read | Čtení všech vlastností (včetně privilegovaných vlastností) v servicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update | Aktualizace všech vlastností (včetně privilegovaných vlastností) v servicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Čtení přiřazení rolí instančního objektu |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizace přiřazení rolí instančního objektu |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Čtení přiřazení rolí přiřazených instančním objektům |
| microsoft.directory/servicePrincipals/audience/update | Aktualizace vlastností cílové skupiny u instančních objektů |
| microsoft.directory/servicePrincipals/authentication/update | Aktualizace vlastností ověřování u instančních objektů |
| microsoft.directory/servicePrincipals/basic/update | Aktualizace základních vlastností instančních objektů |
| microsoft.directory/servicePrincipals/create | Vytvoření instančních objektů |
| microsoft.directory/servicePrincipals/createAsOwner | Vytvoření instančních objektů s tvůrcem jako prvním vlastníkem |
| microsoft.directory/servicePrincipals/credentials/update | Aktualizace přihlašovacích údajů instančních objektů |
| microsoft.directory/servicePrincipals/delete | Odstranění instančních objektů |
| microsoft.directory/servicePrincipals/disable | Zakázání instančních objektů |
| microsoft.directory/servicePrincipals/enable | Povolení instančních objektů |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Čtení přihlašovacích údajů jednotného přihlašování pomocí hesla pro instanční objekty |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Správa přihlašovacích údajů jednotného přihlašování pomocí hesla u instančních objektů |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Čtení delegovaných oprávnění u instančních objektů |
| microsoft.directory/servicePrincipals/owners/read | Čtení vlastníků instančních objektů |
| microsoft.directory/servicePrincipals/owners/update | Aktualizace vlastníků instančních objektů |
| microsoft.directory/servicePrincipals/permissions/update | Aktualizace oprávnění instančních objektů |
| microsoft.directory/servicePrincipals/policies/read | Čtení zásad instančních objektů |
| microsoft.directory/servicePrincipals/policies/update | Aktualizace zásad instančních objektů |
| microsoft.directory/servicePrincipals/standard/read | Čtení základních vlastností instančních objektů |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu |
| microsoft.directory/servicePrincipals/tag/update | Aktualizace vlastnosti značky pro instanční objekty |
| microsoft.directory/applicationTemplates/instantiate | Vytvoření instance aplikací galerie ze šablon aplikací |
| microsoft.directory/auditLogs/allProperties/read | Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností |
| microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností |
| microsoft.directory/applications/applicationProxy/read | Čtení všech vlastností proxy aplikací |
| microsoft.directory/applications/applicationProxy/update | Aktualizace všech vlastností proxy aplikace |
| microsoft.directory/applications/applicationProxyAuthentication/update | Aktualizace ověřování u všech typů aplikací |
| microsoft.directory/applications/applicationProxyUrl Nastavení/update | Aktualizace nastavení adresy URL pro proxy aplikace |
| microsoft.directory/applications/applicationProxySslCertificate/update | Aktualizace nastavení certifikátu SSL pro proxy aplikace |
| microsoft.directory/applications/synchronization/standard/read | Čtení nastavení zřizování přidruženého k objektu aplikace |
| microsoft.directory/connectorGroups/create | Vytvoření skupin privátních síťových konektorů |
| microsoft.directory/connectorGroups/delete | Odstranění skupin privátních síťových konektorů |
| microsoft.directory/connectorGroups/allProperties/read | Čtení všech vlastností skupin privátních síťových konektorů |
| microsoft.directory/connectorGroups/allProperties/update | Aktualizace všech vlastností skupin privátních síťových konektorů |
| microsoft.directory/connectors/create | Vytvoření privátních síťových konektorů |
| microsoft.directory/connectors/allProperties/read | Čtení všech vlastností privátních síťových konektorů |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Vytváření a správa synchronizačních úloh a schématu zřizování aplikací |
| microsoft.directory/provisioningLogs/allProperties/read | Čtení všech vlastností protokolů zřizování |