Permissões de registro de aplicativo para funções personalizadas na ID do Microsoft Entra
Esse artigo contém as permissões de aplicativo empresarial disponíveis atualmente para definições de função personalizada na ID do Microsoft Entra. Neste artigo, você encontrará as listas de permissões para alguns cenários comuns e a lista completa de permissões de aplicativo empresarial.
Requisitos de licença
O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.
Permissões de aplicativo empresarial
Para obter mais informações sobre como usar essas permissões, confira Atribuir funções personalizadas para gerenciar aplicativos empresariais
Atribuir usuários ou grupos a um aplicativo
Para delegar a atribuição de usuário e grupos que podem acessar aplicativos de logon único baseados em SAML. Permissões necessárias
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Criar aplicativos da galeria
Para delegar a criação de aplicativos da Galeria do Microsoft Entra, como ServiceNow, F5, Salesforce, entre outros. Permissões necessárias:
- microsoft.directory/applicationTemplates/instantiate
Configurar URLs SAML básicas
Para delegar a atualização e a leitura de Configurações de SAML básicas para aplicativos de logon único baseados em SAML. Permissões necessárias:
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/applications.myOrganization/authentication/update
Implantar ou criar certificados de autenticação
Para delegar o gerenciamento dos certificados de autenticação para aplicativos de logon único baseados em SAML. Permissões necessárias.
microsoft.directory/servicePrincipals/credentials/update
Atualizar o endereço de email de notificação de certificado de entrada expirando
Para delegar a atualização de endereços de email de notificação de certificados de entrada expirados para aplicativos de logon único baseados em SAML. Permissões necessárias:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
Gerenciar assinatura de token SAML e o algoritmo de entrada
Para delegar a atualização da assinatura do token SAML e do algoritmo de entrada para aplicativos de logon único baseados em SAML. Permissões necessárias:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Gerenciar declarações e atributos de usuário
Para delegar a criação, a exclusão e a atualização de atributos e declarações de usuário para aplicativos de logon único baseados em SAML. Permissões necessárias:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
Permissões de provisionamento de aplicativo
A execução de qualquer operação de gravação, como gerenciar o trabalho, o esquema ou as credenciais por meio da interface do usuário, também exigirá as permissões de leitura para exibir a página de provisionamento.
Definir o escopo para todos os usuários e grupos ou para os usuários e grupos atribuídos atualmente requer as permissões synchronizationJob e synchronizationCredentials.
Ativar ou reiniciar trabalhos de provisionamento
Para delegar a capacidade de ativar, desativar e reiniciar trabalhos de provisionamento. Permissões necessárias:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
Configurar o esquema de provisionamento
Para delegar atualizações para o mapeamento de atributos. Permissões necessárias:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Ler as configurações de provisionamento associadas ao objeto de aplicativo
Para delegar a capacidade de ler as configurações de provisionamento associadas ao objeto. Permissões necessárias:
- microsoft.directory/applications/synchronization/standard/read
Ler as configurações de provisionamento associadas à entidade de serviço
Para delegar a capacidade de ler as configurações de provisionamento associadas à entidade de serviço. Permissões necessárias:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Autorizar o acesso ao aplicativo para provisionamento
Para delegar a capacidade de autorizar o acesso ao aplicativo para provisionamento. Exemplo do token de portador OAuth de entrada. Permissões necessárias:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Permissões do Proxy de Aplicativo
A execução de qualquer operação de gravação nas propriedades do Proxy de Aplicativo do aplicativo também exige as permissões necessárias para atualizar as propriedades básicas e a autenticação do aplicativo.
Para ler e executar qualquer operação de gravação nas propriedades do Proxy de Aplicativo do aplicativo, também é necessário ter permissões de leitura para exibir grupos de conectores, pois isso faz parte da lista de propriedades mostradas na página.
Delegar o gerenciamento de conector do Proxy de Aplicativo
Para delegar ações de criação, leitura, atualização e exclusão para o gerenciamento de conector. Permissões necessárias:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
Delegar o gerenciamento de configurações do Proxy de Aplicativo
Para delegar ações de criação, leitura, atualização e exclusão para as propriedades do Proxy de Aplicativo em um aplicativo. Permissões necessárias:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/connectorGroups/allProperties/read
Ler as configurações do Proxy de Aplicativo de um aplicativo
Para delegar permissões de leitura para as propriedades do Proxy de Aplicativo em um aplicativo. Permissões necessárias:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
Atualizar as configurações do Proxy de Aplicativo de configuração de URL em um aplicativo
Para delegar permissões CRUD (criar, ler, atualizar e excluir) para atualizar a URL externa do Proxy de Aplicativo, a URL interna e as propriedades do certificado SSL. Permissões necessárias:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
Lista completa de permissões
| Permissão | Descrição |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Ler todas as propriedades (incluindo as propriedades privilegiadas) sobre as políticas de aplicativos |
| microsoft.directory/applicationPolicies/allProperties/update | Atualizar todas as propriedades (incluindo as propriedades privilegiadas) sobre as políticas de aplicativos |
| microsoft.directory/applicationPolicies/basic/update | Atualizar as propriedades padrão das políticas do aplicativo |
| microsoft.directory/applicationPolicies/create | Criar políticas de aplicativo |
| microsoft.directory/applicationPolicies/createAsOwner | Criar políticas de aplicativos, e o criador é adicionado como o primeiro proprietário |
| microsoft.directory/applicationPolicies/delete | Excluir as políticas de aplicativo |
| microsoft.directory/applicationPolicies/owners/read | Ler os proprietários nas políticas de aplicativo |
| microsoft.directory/applicationPolicies/owners/update | Atualizar a propriedade de proprietário das políticas de aplicativo |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Ler as políticas de aplicativo aplicadas à lista de objetos |
| microsoft.directory/applicationPolicies/standard/read | Ler as propriedades padrão das políticas de aplicativo |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Criar e excluir as entidades de serviço, além de ler e atualizar todas as propriedades |
| microsoft.directory/servicePrincipals/allProperties/read | Ler todas as propriedades (inclusive as propriedades privilegiadas) em servicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update | Atualizar todas as propriedades (inclusive as propriedades privilegiadas) em servicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Ler as atribuições de função da entidade de serviço |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Atualizar as atribuições de função da entidade de serviço |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Ler as atribuições de função atribuídas a entidades de serviço |
| microsoft.directory/servicePrincipals/audience/update | Atualizar as propriedades de público-alvo nas entidades de serviço |
| microsoft.directory/servicePrincipals/authentication/update | Atualizar as propriedades de autenticação nas entidades de serviço |
| microsoft.directory/servicePrincipals/basic/update | Atualizar as propriedades básicas nas entidades de serviço |
| microsoft.directory/servicePrincipals/create | Criar entidades de serviço |
| microsoft.directory/servicePrincipals/createAsOwner | Criar as entidades de serviço, com o criador como o primeiro proprietário |
| microsoft.directory/servicePrincipals/credentials/update | Atualizar as credenciais das entidades de serviço |
| microsoft.directory/servicePrincipals/delete | Excluir as entidades de serviço |
| microsoft.directory/servicePrincipals/disable | Desabilitar as entidades de serviço |
| microsoft.directory/servicePrincipals/enable | Habilitar as entidades de serviço |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Ler as credenciais de logon único de senha nas entidades de serviço |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Gerenciar as credenciais de logon único de senha em entidades de serviço |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Ler as concessões de permissão delegada nas entidades de serviço |
| microsoft.directory/servicePrincipals/owners/read | Ler os proprietários das entidades de serviço |
| microsoft.directory/servicePrincipals/owners/update | Atualizar os proprietários das entidades de serviço |
| microsoft.directory/servicePrincipals/permissions/update | Atualizar as permissões das entidades de serviço |
| microsoft.directory/servicePrincipals/policies/read | Ler as políticas das entidades de serviço |
| microsoft.directory/servicePrincipals/policies/update | Atualizar as políticas das entidades de serviço |
| microsoft.directory/servicePrincipals/standard/read | Ler as propriedades das entidades de serviço |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Ler as configurações de provisionamento associadas à entidade de serviço |
| microsoft.directory/servicePrincipals/tag/update | Atualizar a propriedade de marca para entidades de serviço |
| microsoft.directory/applicationTemplates/instantiate | Criar uma instância de aplicativos de galeria por meio de modelos de aplicativo |
| microsoft.directory/auditLogs/allProperties/read | Ler todas as propriedades nos logs de auditoria, incluindo as propriedades privilegiadas |
| microsoft.directory/signInReports/allProperties/read | Ler todas as propriedades nos relatórios de entrada, incluindo as propriedades privilegiadas |
| microsoft.directory/applications/applicationProxy/read | Leia todas as propriedades do proxy de aplicativo |
| microsoft.directory/applications/applicationProxy/update | Atualize todas as propriedades do proxy de aplicativo |
| microsoft.directory/applications/applicationProxyAuthentication/update | Atualize a autenticação em todos os tipos de aplicativos |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Atualize configurações de URL para o proxy de aplicativo |
| microsoft.directory/applications/applicationProxySslCertificate/update | Atualize configurações de certificado SSL para o proxy de aplicativo |
| microsoft.directory/applications/synchronization/standard/read | Ler as configurações de provisionamento associadas ao objeto de aplicativo |
| microsoft.directory/connectorGroups/create | Criar grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/delete | Excluir grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/allProperties/read | Ler todas as propriedades de grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/allProperties/update | Atualizar todas as propriedades de grupos de conectores de rede privada |
| microsoft.directory/connectors/create | Criar conectores de rede privada |
| microsoft.directory/connectors/allProperties/read | Ler todas as propriedades de conectores de rede privada |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Iniciar, reiniciar e pausar os trabalhos de sincronização de provisionamento de aplicativo |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Ler as configurações de provisionamento associadas à entidade de serviço |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Criar e gerenciar os trabalhos de sincronização e esquema de provisionamento de aplicativo |
| microsoft.directory/provisioningLogs/allProperties/read | Ler todas as propriedades de logs de provisionamento |