Разрешения для предоставления согласия для приложений для пользовательских ролей в Microsoft Entra ID

  • Статья

В этой статье содержатся доступные в настоящее время разрешения на согласие приложения для определений пользовательских ролей в идентификаторе Microsoft Entra. В этой статье вы найдете разрешения, необходимые для некоторых распространенных сценариев, связанных с предоставлением согласия и разрешениями для приложений.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

Используйте разрешения, перечисленные в этой статье, для управления политиками согласия приложений, а также разрешением на предоставление согласия для приложений.

Примечание.

Центр администрирования Microsoft Entra еще не поддерживает добавление разрешений, перечисленных в этой статье, в определение пользовательской роли каталога. Для создания пользовательской роли каталога с разрешениями, перечисленными в этой статье, необходимо использовать Microsoft Graph PowerShell.

Чтобы разрешить пользователям предоставлять согласие для приложений от собственного имени (согласие пользователя), необходимо следовать политике согласий для приложений.

  • microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}

Где {id} заменяется идентификатором политики согласия для приложений, задающей условия, которые должны быть выполнены, чтобы это разрешение было активным.

Например, чтобы разрешить пользователям предоставлять согласие от своего имени в соответствии со встроенной политикой согласия для приложения с идентификатором microsoft-user-default-low, следует использовать разрешение ...managePermissionGrantsForSelf.microsoft-user-default-low.

Чтобы делегировать приложениям согласие администратора на уровне клиента для делегированных разрешений и разрешений приложения (роли приложений):

  • microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}

Где {id} заменяется идентификатором политики согласия для приложений, задающей условия, которые должны быть выполнены, чтобы это разрешение действовало.

Например, чтобы разрешить исполнителям роли предоставлять приложениям согласие администратора на уровне клиента в соответствии с пользовательской политикой согласия для приложения с идентификатором low-risk-any-app, следует использовать разрешение microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.

Чтобы делегировать создание, обновление и удаление политик согласия для приложений.

  • microsoft.directory/permissionGrantPolicies/create
  • microsoft.directory/permissionGrantPolicies/standard/read
  • microsoft.directory/permissionGrantPolicies/basic/update
  • microsoft.directory/permissionGrantPolicies/delete

Полный список разрешений

Разрешение Description
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} Предоставляет возможность давать согласие для приложения от своего имени (согласия пользователя) в соответствии с политикой согласий для приложения {id}.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} Предоставляет разрешение на предоставление согласия для приложений от имени всех (согласия администратора на уровне клиента) в соответствии с политикой согласий для приложений {id}.
microsoft.directory/permissionGrantPolicies/standard/read Чтение стандартных свойств для политик предоставления разрешений
microsoft.directory/permissionGrantPolicies/basic/update Обновление базовых свойств для политик предоставления разрешений
microsoft.directory/permissionGrantPolicies/create Создание политик предоставления разрешений
microsoft.directory/permissionGrantPolicies/delete Удаление политик предоставления разрешений

Следующие шаги