共用方式為


Microsoft Entra ID 中自訂角色的應用程式同意權限

本文包含 Microsoft Entra ID 中的自訂角色定義目前可用的應用程式同意權限。 在本文中,您會找到一些常見案例所需的許可權,這些案例與應用程式同意和許可權相關。

授權需求

使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能

請使用本文中所列的權限來管理應用程式同意原則,以及將同意授與應用程式的權限。

注意

Microsoft Entra 系統管理中心尚不支援將本文所列的權限新增至自訂目錄角色定義。 您必須使用 Microsoft Graph PowerShell 來建立自訂目錄角色 (部分機器翻譯),並具有本文所列的權限。

允許使用者代表自身將同意授與應用程式 (使用者同意),但受限於應用程式同意原則。

  • microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}

其中 {id} 會被應用程式同意原則的識別碼取代,這會設定必須符合才能讓此權限成為作用中的條件。

例如,若要允許使用者代表自己授與同意,但受限於識別碼為 microsoft-user-default-low 的內建應用程式同意原則,您將會使用權限 ...managePermissionGrantsForSelf.microsoft-user-default-low

若要同時針對委派的權限和應用程式權限,將全租用戶管理員同意委派給應用程式 (應用程式角色):

  • microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}

其中 {id} 會被應用程式同意原則的識別碼取代,這會設定必須符合才能讓此權限成為可用的條件。

例如,若要允許角色受託人將全租用戶的管理員同意授與應用程式,但受限於識別碼為 low-risk-any-app 的自訂應用程式同意原則,您將會使用權限 microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app

委派應用程式同意原則的建立、更新和刪除

  • microsoft.directory/permissionGrantPolicies/create
  • microsoft.directory/permissionGrantPolicies/standard/read
  • microsoft.directory/permissionGrantPolicies/basic/update
  • microsoft.directory/permissionGrantPolicies/delete

權限的完整清單

權限 描述
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} 代表自身將同意能力授與應用程式 (使用者同意),但受限於應用程式同意原則 {id}
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} 代表自身將同意權限授與應用程式 (全租用戶管理員同意),但受限於應用程式同意原則 {id}
microsoft.directory/permissionGrantPolicies/standard/read 讀取權限授與原則的標準屬性
microsoft.directory/permissionGrantPolicies/basic/update 更新權限授與原則的基本屬性
microsoft.directory/permissionGrantPolicies/create 建立權限授與原則
microsoft.directory/permissionGrantPolicies/delete 刪除權限授與原則

下一步