unifiedRolePermission-Ressourcentyp
Namespace: microsoft.graph
Stellt eine Auflistung zulässiger Ressourcenaktionen und der Bedingungen dar, die erfüllt sein müssen, damit die Aktion zulässig ist. Ressourcenaktionen sind Aufgaben, die für eine Ressource ausgeführt werden können. Beispielsweise kann eine Anwendungsressource Aktionen zum Erstellen, Aktualisieren, Löschen und Zurücksetzen von Kennwörtern unterstützen.
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| allowedResourceActions | String collection | Eine Gruppe von Aufgaben, die für eine Ressource ausgeführt werden können. Erforderlich. |
| Zustand | Zeichenfolge | Optionale Einschränkungen, die erfüllt sein müssen, damit die Berechtigung wirksam ist. Wird für benutzerdefinierte Rollen nicht unterstützt. |
| excludedResourceActions | String collection | Eine Gruppe von Aufgaben, die möglicherweise nicht für eine Ressource ausgeführt werden. Noch nicht unterstützt. |
allowedResourceActions-Eigenschaft
Es folgt das Schema für Ressourcenaktionen:
{Namespace}/{Entity}/{PropertySet}/{Action}
Beispiel: microsoft.directory/applications/credentials/update.
-
{Namespace} : Die Dienste, die die Aufgabe verfügbar machen. Beispielsweise verwenden alle Aufgaben in Microsoft Entra ID den Namespace
microsoft.directory. -
{Entity} – Die logischen Features oder Komponenten, die vom Dienst in Microsoft Graph verfügbar gemacht werden. Beispiel:
applications,servicePrincipalsodergroups. -
{PropertySet} – Optional. Die spezifischen Eigenschaften oder Aspekte der Entität, für die Zugriff gewährt wird. Gewährt beispielsweise die Möglichkeit,
microsoft.directory/applications/authentication/readdie Antwort-URL, die Abmelde-URL und die implizite Floweigenschaft für das Anwendungsobjekt in Microsoft Entra ID zu lesen. Es folgen reservierte Namen für allgemeine Eigenschaftssätze:-
allProperties– Legt alle Eigenschaften der Entität fest, einschließlich der privilegierten Eigenschaften. Beispiele hierfür sindmicrosoft.directory/applications/allProperties/readundmicrosoft.directory/applications/allProperties/update. -
basic– Legt allgemeine Leseeigenschaften fest, schließt jedoch privilegierte Eigenschaften aus. Umfasst beispielsweise die Möglichkeit,microsoft.directory/applications/basic/updateStandardeigenschaften wie Anzeigename zu aktualisieren. -
standard– Legt allgemeine Updateeigenschaften fest, schließt jedoch privilegierte Eigenschaften aus. Beispiel:microsoft.directory/applications/standard/read.
-
-
{Actions} – Die vorgänge, die gewährt werden. In den meisten Fällen sollten Berechtigungen als CRUD-Vorgänge oder
allTasksausgedrückt werden. Zu den Aktionen zählen:-
create– Die Möglichkeit, eine neue Instanz der Entität zu erstellen. -
read– Die Möglichkeit, einen bestimmten Eigenschaftensatz (einschließlich allProperties) zu lesen. -
update– Die Möglichkeit, einen bestimmten Eigenschaftensatz (einschließlich allProperties) zu aktualisieren. -
delete: Die Möglichkeit, eine bestimmte Entität zu löschen. -
allTasks– Stellt alle CRUD-Vorgänge (Erstellen, Lesen, Aktualisieren und Löschen) dar.
-
Condition-Eigenschaft
Bedingungen definieren Einschränkungen, die erfüllt werden müssen. Beispielsweise eine Anforderung, dass der Prinzipal ein Besitzer der Zielressource ist. Die folgenden Bedingungen werden unterstützt:
-
Self: "@Subject.objectId == @Resource.objectId" -
Owner: "@Subject.objectId Any_of @Resource.owners"
Im Folgenden finden Sie ein Beispiel für eine Rollenberechtigung mit der Bedingung, dass der Prinzipal der Besitzer der Zielressource ist.
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
],
"condition": "@Subject.objectId Any_of @Resource.owners"
}
]
Bedingungen werden für benutzerdefinierte Rollen nicht unterstützt.
JSON-Darstellung
Die folgende JSON-Darstellung zeigt den Ressourcentyp.
{
"@odata.type": "#microsoft.graph.unifiedRolePermission",
"allowedResourceActions": ["String"],
"excludedResourceActions": ["String"],
"condition": "String"
}
Verwandte Inhalte
- Administratorrollenberechtigungen in Microsoft Entra : Informationen zu Berechtigungen für integrierte Verzeichnisrollen.
- Untertypen und Berechtigungen für die Anwendungsregistrierung in Microsoft Entra ID : Hier finden Sie Informationen zu Berechtigungen, die für benutzerdefinierte Verzeichnisrollen verfügbar sind.