Autorisations de consentement d’application pour les rôles personnalisés dans Microsoft Entra ID

  • Article

Cet article détaille les autorisations de consentement d’application actuellement disponibles pour les définitions de rôles personnalisés dans Microsoft Entra ID. Dans cet article, vous trouverez les autorisations requises pour certains scénarios courants liés aux autorisations et au consentement d’application.

Conditions de licence :

L'utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.

Utilisez les autorisations listées dans cet article pour gérer les stratégies de consentement d’application ainsi que l’autorisation d’accorder un consentement aux applications.

Remarque

Le centre d'administration Microsoft Entra ne prend pas encore en charge l'ajout des autorisations répertoriées dans cet article à une définition de rôle d'annuaire personnalisé. Vous devez utiliser Microsoft Graph PowerShell pour créer un rôle d’annuaire personnalisé avec les autorisations listées dans cet article.

Pour permettre aux utilisateurs d’accorder leur consentement aux applications en leur propre nom (consentement de l’utilisateur), sous réserve d’une stratégie de consentement d’application :

  • microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}

{id} est remplacé par l’ID d’une stratégie de consentement d’application qui définit les conditions à remplir pour que cette autorisation soit active.

Par exemple, pour permettre aux utilisateurs d’accorder leur consentement pour leur propre compte, en fonction de la stratégie de consentement d’application intégrée ayant l’ID microsoft-user-default-low, vous utilisez l’autorisation ...managePermissionGrantsForSelf.microsoft-user-default-low.

Pour déléguer le consentement administrateur au niveau du locataire pour des applications, à la fois pour les autorisations déléguées et les autorisations d’application (rôles d’application) :

  • microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}

{id} est remplacé par l’ID d’une stratégie de consentement d’application qui définit les conditions à remplir pour que cette autorisation soit utilisable.

Par exemple, pour autoriser les destinataires de rôles à accorder un consentement administrateur au niveau du locataire aux applications soumises à une stratégie de consentement d’application personnalisée ayant l’ID low-risk-any-app, vous devez utiliser l’autorisation microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.

Pour déléguer la création, la mise à jour et la suppression de stratégies de consentement d’application :

  • microsoft.directory/permissionGrantPolicies/create
  • microsoft.directory/permissionGrantPolicies/standard/read
  • microsoft.directory/permissionGrantPolicies/basic/update
  • microsoft.directory/permissionGrantPolicies/delete

Liste complète des autorisations

Autorisation Description
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} Octroie la possibilité d’accorder son consentement aux applications en son propre nom (consentement de l’utilisateur), sous réserve de la stratégie de consentement d’application {id}.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} Octroie l’autorisation d’accorder son consentement aux applications pour le compte de tous (consentement administrateur au niveau du locataire), sous réserve de la stratégie de consentement d’application {id}.
microsoft.directory/permissionGrantPolicies/standard/read Lire les propriétés standard des stratégies d’octroi d’autorisation
microsoft.directory/permissionGrantPolicies/basic/update Mettre à jour les propriétés de base des stratégies d’octroi d’autorisation
microsoft.directory/permissionGrantPolicies/create Créer des stratégies d’octroi d’autorisation
microsoft.directory/permissionGrantPolicies/delete Supprimer les stratégies d’octroi d’autorisation

Étapes suivantes