Freigeben über

unifiedRolePermission-Ressourcentyp

  • Artikel

Namespace: microsoft.graph

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Stellt eine Auflistung zulässiger Ressourcenaktionen und der Bedingungen dar, die erfüllt sein müssen, damit die Aktion wirksam ist. Ressourcenaktionen sind Aufgaben, die für eine Ressource ausgeführt werden können. Die Anwendungsressource unterstützt beispielsweise Aktionen zum Erstellen, Aktualisieren, Löschen und Zurücksetzen von Kennwortressourcen.

Eigenschaften

Eigenschaft Typ Beschreibung
allowedResourceActions String collection Eine Gruppe von Aufgaben, die für eine Ressource ausgeführt werden können.
Zustand String Optionale Einschränkungen, die erfüllt sein müssen, damit die Berechtigung wirksam ist. Wird für benutzerdefinierte Rollen nicht unterstützt.

allowedResourceActions-Eigenschaft

Es folgt das Schema für Ressourcenaktionen:

{Namespace}/{Entity}/{PropertySet}/{Action}

Beispiel: microsoft.directory/applications/credentials/update.

  • {Namespace} – Die Dienste, die die Aufgabe verfügbar machen. Beispielsweise verwenden alle Tasks in Microsoft Entra ID den Namespace microsoft.directory.
  • {Entity} – Die logischen Features oder Komponenten, die vom Dienst in Microsoft Graph verfügbar gemacht werden. Beispiel: applications, servicePrincipals oder groups.
  • {PropertySet} – Optional. Die spezifischen Eigenschaften oder Aspekte der Entität, für die Zugriff gewährt wird. Gewährt beispielsweise die Möglichkeit, microsoft.directory/applications/authentication/read die Antwort-URL, die Abmelde-URL und die implizite Floweigenschaft für das Anwendungsobjekt in Microsoft Entra ID zu lesen. Es folgen reservierte Namen für allgemeine Eigenschaftssätze:
    • allProperties – Legt alle Eigenschaften der Entität fest, einschließlich der privilegierten Eigenschaften. Beispiele hierfür sind microsoft.directory/applications/allProperties/read und microsoft.directory/applications/allProperties/update.
    • basic – Legt allgemeine Leseeigenschaften fest, schließt jedoch privilegierte Eigenschaften aus. Umfasst beispielsweise die Möglichkeit, microsoft.directory/applications/basic/update Standardeigenschaften wie Anzeigename zu aktualisieren.
    • standard – Legt allgemeine Updateeigenschaften fest, schließt jedoch privilegierte Eigenschaften aus. Beispiel: microsoft.directory/applications/standard/read.
  • {Actions} – Die vorgänge, die gewährt werden. In den meisten Fällen sollten Berechtigungen als CRUD-Vorgänge oder allTasksausgedrückt werden. Zu den Aktionen zählen:
    • create– Die Möglichkeit, eine neue instance der Entität zu erstellen.
    • read – Die Möglichkeit, einen bestimmten Eigenschaftensatz (einschließlich allProperties) zu lesen.
    • update – Die Möglichkeit, einen bestimmten Eigenschaftensatz (einschließlich allProperties) zu aktualisieren.
    • delete : Die Möglichkeit, eine bestimmte Entität zu löschen.
    • allTasks – Stellt alle CRUD-Vorgänge (Erstellen, Lesen, Aktualisieren und Löschen) dar.

Condition-Eigenschaft

Bedingungen definieren Einschränkungen, die erfüllt werden müssen. Beispielsweise eine Anforderung, dass der Prinzipal ein "Besitzer" des Ziels ist. Die folgenden Bedingungen werden unterstützt:

  • Selbst: "$ResourceIsSelf"
  • Besitzer: "$SubjectIsOwner"

Es folgt ein Beispiel für eine Rollenberechtigung mit einer Bedingung.

"rolePermissions": [
        {
            "allowedResourceActions": [
                "microsoft.directory/applications/basic/update",
                "microsoft.directory/applications/credentials/update"
            ],
            "condition":  "$SubjectIsOwner"
        }
    ]

Bedingungen werden für benutzerdefinierte Rollen nicht unterstützt.

JSON-Darstellung

Es folgt eine JSON-Darstellung der Ressource.

{
  "allowedResourceActions": ["String"],
  "condition": "String"
}

Verwandte Inhalte