Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья содержит доступные в настоящее время разрешения корпоративного приложения для определений пользовательских ролей в идентификаторе Microsoft Entra. В этой статье вы найдете списки разрешений для некоторых распространенных сценариев и полный список разрешений корпоративного приложения.
Требования к лицензии
Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы выбрать подходящую лицензию для ваших нужд, сравните общедоступные функции Microsoft Entra ID, ознакомившись с .
Разрешения корпоративного приложения
Дополнительные сведения об использовании этих разрешений см. в статье Назначение настраиваемых ролей для управления корпоративными приложениями
Назначение пользователей или групп приложению
Делегировать назначение пользователей и групп, которые могут получить доступ к приложениям единого входа на основе SAML. Необходимые разрешения
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Создание приложений галереи
Чтобы делегировать создание приложений коллекции Microsoft Entra, таких как ServiceNow, F5, Salesforce и других. Необходимые разрешения:
- microsoft.directory/applicationTemplates/instantiate
Настройка базовых URL-адресов SAML
Делегирование выполнения обновления и чтения базовых конфигураций SAML для приложений, использующих единый вход на основе SAML. Необходимые разрешения:
- microsoft.directory/служебныеПриципалы/аутентификация/обновление
- microsoft.directory/applications.myOrganization/authentication/update
Обновление или создание сертификатов для подписи
Делегирование управления сертификатами подписи для приложений единого входа на основе SAML. Необходимые разрешения.
microsoft.directory/служебныеПринципы/учетныеДанные/обновление
Обновление адреса электронной почты для уведомлений об истечении срока действия сертификата входа
Чтобы делегировать обновление адресов электронной почты для уведомлений о истечении срока действия сертификатов единого входа на основе SAML. Необходимые разрешения:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/служебныеПриципалы/аутентификация/обновление
- microsoft.directory/servicePrincipals/basic/update
Управление сигнатурой токена SAML и алгоритмом входа
Делегирование обновления подписи токена SAML и алгоритма входа для приложений единого входа на основе SAML. Необходимые разрешения:
- microsoft.directory/политикиПриложения/базовый/update
- microsoft.каталог/приложения/аутентификация/обновление
- microsoft.directory/servicePrincipals/policies/update
Управление атрибутами пользователей и утверждениями
Для делегирования создания, удаления и обновления атрибутов пользователей и утверждений в приложениях единого входа, основанных на SAML. Необходимые разрешения:
- microsoft.directory/политикиПриложения/базовый/update
- microsoft.каталог/приложения/аутентификация/обновление
- microsoft.directory/servicePrincipals/policies/update
Разрешения подготовки приложений
Для выполнения любой операции записи, такой как управление заданием, схемой или учетными данными с помощью пользовательского интерфейса, также потребуются разрешения на чтение для просмотра страницы подготовки.
Настройка области для всех пользователей и групп, а также назначенных пользователей и групп в настоящее время требует разрешений synchronizationJob и synchronizationCredentials.
Включите или перезапустите задания подготовки
Чтобы делегировать возможность включения, отключения и перезапуска заданий подготовки. Необходимые разрешения:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
Настройка схемы подготовки
Делегировать обновления для сопоставления атрибутов. Необходимые разрешения:
- microsoft.directory/servicePrincipals/synchronizationSchema/управление
Чтение настроек конфигурирования, связанных с объектом приложения
Делегирование права на чтение параметров настройки, связанных с объектом. Необходимые разрешения:
- microsoft.directory/applications/synchronization/standard/read
Прочитайте параметры предоставления, связанные с основным экземпляром службы.
Чтобы делегировать возможность чтения настроек конфигурирования, связанных с вашим основным объектом службы. Необходимые разрешения:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Предоставить доступ к приложению для настройки
Делегировать возможность авторизации доступа к приложению для развертывания. Пример токена доступа OAuth. Необходимые разрешения:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Разрешения прокси приложения
Для выполнения любых операций записи в свойства прокси приложения приложения также требуются разрешения на обновление основных свойств и проверки подлинности приложения.
Для чтения и выполнения операций записи в свойства прокси приложения приложения также требуются разрешения на чтение для просмотра групп соединителей, так как это часть списка свойств, отображаемых на странице.
Делегирование управления прокси-соединителем приложения
Делегировать действия по созданию, чтению, обновлению и удалению в контексте управления соединителями. Необходимые разрешения:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/соединители/создать
Делегирование управления параметрами прокси приложения
Для делегирования действий по созданию, чтению, обновлению и удалению свойств прокси приложения в приложении. Необходимые разрешения:
- microsoft.directory/приложения/проксиПриложения/чтение
- microsoft.directory/приложения/applicationProxy/обновление
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/обновление
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.директория/приложения/основное/обновить
- microsoft.каталог/приложения/аутентификация/обновление
- microsoft.directory/connectorGroups/allProperties/read
Чтение параметров прокси-сервера для приложения.
Делегирование разрешений на чтение свойств прокси приложения в приложении. Необходимые разрешения:
- microsoft.directory/приложения/проксиПриложения/чтение
- microsoft.directory/connectorGroups/allProperties/read
Обновление параметров конфигурации URL-адреса прокси приложения для приложения
Делегирование разрешений на создание, чтение, обновление и удаление (CRUD) для обновления внешнего URL-адреса прокси приложения, внутреннего URL-адреса и свойств SSL-сертификата. Необходимые разрешения:
- microsoft.directory/приложения/проксиПриложения/чтение
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.директория/приложения/основное/обновить
- microsoft.каталог/приложения/аутентификация/обновление
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
Полный список разрешений
| Разрешение | Описание |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Чтение всех свойств (включая привилегированные свойства) в политиках приложений |
| microsoft.директория/политикиПриложений/всеСвойства/обновить | Обновление всех свойств (включая привилегированные свойства) в политиках приложений |
| microsoft.directory/политикиПриложения/базовый/update | Обновление стандартных свойств политик приложений |
| microsoft.directory/applicationPolicies/создать | Создание политик приложений |
| microsoft.directory/applicationPolicies/createAsOwner (создать как владелец) | Создание политик приложений и добавление создателя в качестве первого владельца |
| microsoft.directory/applicationPolicies/удалить | Удаление политик приложений |
| microsoft.directory/applicationPolicies/owners/read | Прочитайте политики приложений для владельцев. |
| microsoft.directory/политикиПриложений/владельцы/обновить | Обновление свойства владельца политик приложений |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Чтение политик приложений, применённых к списку объектов |
| microsoft.directory/политикиПриложений/стандарт/чтение | Чтение стандартных свойств политик приложений |
| microsoft.directory/служебныеОбъекты/всеСвойства/всеЗадачи | Создание и удаление субъектов-служб, чтение и обновление всех свойств |
| microsoft.directory/servicePrincipals/allProperties/read | Чтение всех свойств (включая привилегированные свойства) объекта "servicePrincipals" |
| microsoft.directory/servicePrincipals/allProperties/update | Обновление всех свойств (включая привилегированные свойства) в servicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Чтение назначений ролей сервисного принципала |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Обновление назначений ролей принципала службы |
| microsoft.directory/servicePrincipals/appRoleAssignments/чтение | Чтение назначений ролей, присвоенных системным принципалам. |
| microsoft.directory/servicePrincipals/audience/update | Обновление свойств аудитории на основных службах |
| microsoft.directory/служебныеПриципалы/аутентификация/обновление | Обновление свойств аутентификации на представителях службы |
| microsoft.directory/servicePrincipals/basic/update | Обновление базовых свойств субъектов-служб |
| microsoft.directory/servicePrincipals/create | Создайте принципы обслуживания |
| microsoft.directory/servicePrincipals/createAsOwner | Создание субъектов-служб с создателем в качестве первого владельца |
| microsoft.directory/servicePrincipals/credentials/update | Обновление учетных данных служебных субъектов |
| microsoft.directory/сервисныеПринципы/удалить | Удаление представителей служб |
| microsoft.directory/servicePrincipals/disable | Отключение сервисных учетных записей |
| microsoft.directory/servicePrincipals/enable | Включение субъектов-служб |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Чтение учетных данных пароля единого входа на служебных принципалах |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Управление учетными данными единого входа паролей для принципалов-служб |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Чтение делегированных разрешений для представителей службы |
| microsoft.directory/servicePrincipals/owners/read | Просмотр владельцев учетных записей служб |
| microsoft.directory/servicePrincipals/owners/обновление | Обновление владельцев служебных учётных записей |
| microsoft.directory/servicePrincipals/permissions/update | Обновление разрешений субъектов-служб |
| microsoft.directory/servicePrincipals/policies/read | Чтение политик субъектов-служб |
| microsoft.directory/servicePrincipals/policies/update | Обновление политик сервисных принципалов |
| microsoft.directory/servicePrincipals/standard/read | Чтение основных свойств субъектов-служб |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Прочитайте параметры предоставления, связанные с основным экземпляром службы. |
| microsoft.directory/servicePrincipals/tag/update | Обновление свойства тега для субъектов-служб |
| microsoft.directory/applicationTemplates/instantiate | Инициализировать приложения галерей из шаблонов приложений |
| microsoft.directory/auditLogs/allProperties/read | Просмотрите все свойства в журналах аудита, включая привилегированные свойства. |
| microsoft.directory/signInReports/allProperties/read | Чтение всех свойств отчетов о входе, включая привилегированные свойства |
| microsoft.directory/приложения/проксиПриложения/чтение | Чтение всех свойств прокси приложения |
| microsoft.directory/приложения/applicationProxy/обновление | Обновление всех свойств прокси приложения |
| microsoft.directory/applications/applicationProxyAuthentication/update | Обновление проверки подлинности для всех типов приложений |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Обновление параметров URL-адреса для прокси приложения |
| microsoft.directory/applications/applicationProxySslCertificate/update | Обновление параметров SSL-сертификата для прокси приложения |
| microsoft.directory/applications/synchronization/standard/read | Чтение настроек конфигурирования, связанных с объектом приложения |
| microsoft.directory/connectorGroups/create | Создание групп соединителей частной сети |
| microsoft.directory/connectorGroups/delete | Удаление групп соединителей частной сети |
| microsoft.directory/connectorGroups/allProperties/read | Прочтите все свойства групп коннекторов частной сети |
| microsoft.directory/connectorGroups/allProperties/update | Обновление всех свойств групп соединителей частной сети |
| microsoft.directory/соединители/создать | Создание соединителей частной сети |
| microsoft.directory/connectors/allProperties/read | Прочитайте все свойства соединителей частной сети |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Прочитайте параметры предоставления, связанные с основным экземпляром службы. |
| microsoft.directory/servicePrincipals/synchronizationSchema/управление | Создание заданий и схем синхронизации подготовки приложений и управление ими |
| microsoft.directory/provisioningLogs/allProperties/read | Чтение всех свойств журналов обеспечения |