Freigeben über


Verwalten des Zugriffs auf Ressourcen mithilfe der Berechtigungsverwaltungs-APIs

Microsoft Entra Berechtigungsverwaltung können Sie den Zugriff auf Ressourcen verwalten, die Mitarbeiter benötigen, um produktiv zu sein. In diesem Tutorial verwenden Sie die Berechtigungsverwaltungs-APIs, um ein Ressourcenpaket zu erstellen, das interne Benutzer selbst anfordern. Die APIs sind die programmgesteuerte Alternative zum Erstellen benutzerdefinierter Apps anstelle der verwendung der Microsoft Entra Admin Center.

In diesem Tutorial wird Folgendes vermittelt:

  • Erstellen Sie ein Zugriffspaket, das Benutzer self-Service anfordern können.
  • Weisen Sie dem Zugriffspaket eine Gruppenressource zu.
  • Anfordern eines Zugriffspakets

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:

  • Ein Funktionierender Microsoft Entra Mandant mit aktivierter Microsoft Entra ID P2- oder Microsoft Entra ID Governance-Lizenz. Eine dieser Lizenzen ist für die Funktionen in diesem Tutorial ausreichend.
  • Ein Testgastkonto und eine Testsicherheitsgruppe in Ihrem Mandanten. Die Sicherheitsgruppe ist die Ressource in diesem Tutorial. Stellen Sie sicher, dass Sie entweder der Besitzer der Gruppe oder die Rolle Gruppenadministrator zugewiesen sind. In diesem Tutorial:
    • Der Benutzer verfügt über die ID 007d1c7e-7fa8-4e33-b678-5e437acdcddc und hat den Namen Requestor1.
      • [Optional] Öffnen Sie ein neues anonymes Browserfenster. Sie melden sich später in diesem Tutorial an.
    • Die Gruppe verfügt über die ID f4892fac-e81c-4712-bdf2-a4450008a4b0 mit der Beschreibung "Marketinggruppe" und dem Anzeigenamen "Marketingressourcen".
  • Melden Sie sich bei einem API-Client wie Graph Explorer mit einem Konto an, das mindestens über die Rolle Identity Governance-Administrator verfügt.
  • Gewähren Sie sich die folgenden delegierten Berechtigungen: User.ReadWrite.All, Group.ReadWrite.Allund EntitlementManagement.ReadWrite.All.

Hinweis

Einige Schritte in diesem Tutorial verwenden den beta Endpunkt.

Schritt 1: Hinzufügen von Ressourcen zu einem Katalog und Erstellen eines Zugriffspakets

Ein Zugriffspaket ist ein Bündel von Ressourcen, die ein Team oder Projekt benötigt und das mit Richtlinien gesteuert wird. Zugriffspakete werden in Containern definiert, die als Kataloge bezeichnet werden. Kataloge können auf Ressourcen wie Gruppen, Apps und Websites verweisen, die im Zugriffspaket verwendet werden. Die Berechtigungsverwaltung umfasst einen Standardkatalog General .

In diesem Schritt erstellen Sie ein Zugriffspaket für die Marketingkampagne im Katalog Allgemein.

Schritt 1.1: Abrufen des Bezeichners für den allgemeinen Katalog

Rufen Sie zunächst die ID des Katalogs ab, dem Sie Ressourcen hinzufügen möchten.

Anforderung

GET https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/catalogs?$filter=(displayName eq 'General')

Antwort

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/entitlementManagement/catalogs",
    "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET identityGovernance/entitlementManagement/catalogs?$select=catalogType,createdDateTime",
    "value": [
        {
            "id": "cec5d6ab-c75d-47c0-9c1c-92e89f66e384",
            "displayName": "General",
            "description": "Built-in catalog.",
            "catalogType": "serviceDefault",
            "state": "published",
            "isExternallyVisible": true,
            "createdDateTime": "2023-04-13T14:43:19.44Z",
            "modifiedDateTime": "2023-04-13T14:43:19.44Z"
        }
    ]
}

Schritt 1.2: Hinzufügen der Gruppe zum Katalog

In diesem Tutorial ist die Ressource eine Sicherheitsgruppe mit der ID e93e24d1-2b65-4a6c-a1dd-654a12225487.

Um die Gruppe, die Sie erstellt haben, dem Katalog hinzuzufügen, geben Sie die folgenden Eigenschaftswerte an:

  • catalogId : die ID des Katalogs, den Sie verwenden.
  • originId : die ID der Gruppe, die Sie erstellt haben.

Wenn Sie nicht der Besitzer der Gruppe sind, auf die Sie in originId verweisen, oder wenn Ihnen nicht die Rolle Gruppenadministrator zugewiesen ist, schlägt diese Anforderung mit einem 403 Forbidden Fehlercode fehl.

Anforderung

POST https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/resourceRequests
Content-type: application/json

{
  "catalogId":"cec5d6ab-c75d-47c0-9c1c-92e89f66e384",
  "requestType": "AdminAdd",
  "justification": "",
  "accessPackageResource": {
    "resourceType": "AadGroup",
    "originId": "e93e24d1-2b65-4a6c-a1dd-654a12225487",
    "originSystem": "AadGroup"
  }
}

Antwort

In dieser Antwort stellt die ID die ID für die Gruppe als Ressource im Katalog Allgemein dar. Diese ID ist nicht die Gruppen-ID. Notieren Sie sich diese ID.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/entitlementManagement/resourceRequests/$entity",
    "id": "44e521e0-fb6b-4d5e-a282-e7e68dc59493",
    "requestType": "AdminAdd",
    "requestState": "Delivered",
    "requestStatus": "Fulfilled",
    "catalogId": "cec5d6ab-c75d-47c0-9c1c-92e89f66e384",
    "executeImmediately": false,
    "justification": "",
    "expirationDateTime": null
}

Schritt 1.3: Abrufen von Katalogressourcen

In diesem Schritt rufen Sie die Details der Ressourcen ab, die der ID der Gruppenressource entsprechen, die Sie dem Katalog Allgemein hinzugefügt haben.

Anforderung

GET https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/catalogs/cec5d6ab-c75d-47c0-9c1c-92e89f66e384/resources?$filter=originId eq 'e93e24d1-2b65-4a6c-a1dd-654a12225487'

Antwort

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

{
  "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/entitlementManagement/catalogs('cec5d6ab-c75d-47c0-9c1c-92e89f66e384')/resources",
    "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET identityGovernance/entitlementManagement/catalogs('<guid>')/resources?$select=attributes,createdDateTime",
  "value": [
    {
      "id": "4a1e21c5-8a76-4578-acb1-641160e076e8",
      "displayName": "Marketing resources",
      "description": "Marketing group",
      "originId": "e93e24d1-2b65-4a6c-a1dd-654a12225487",
      "originSystem": "AadGroup",
      "createdDateTime": "2024-03-26T09:44:50.527Z",
      "attributes": []
    }
  ]
}

Schritt 1.4: Abrufen von Ressourcenrollen

Das Zugriffspaket weist Benutzer den Rollen einer Ressource zu. Die typische Rolle einer Gruppe ist die Member Rolle. Andere Ressourcen, z. B. SharePoint Online-Websites und -Anwendungen, haben möglicherweise viele Rollen. Die typische Rolle einer Gruppe, die in einem Zugriffspaket verwendet wird, ist die Member Rolle. Sie benötigen die Memberrolle, um dem Zugriffspaket später in diesem Tutorial eine Ressourcenrolle hinzuzufügen.

Verwenden Sie in der Anforderung die ID des Katalogs und die ID der Gruppenressource im Katalog, den Sie notiert haben, um die originId der Member-Ressourcenrolle abzurufen. Notieren Sie sich den Wert der originId-Eigenschaft , die später in diesem Tutorial verwendet werden soll.

Anforderung

GET https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/catalogs/ede67938-cda7-4127-a9ca-7c7bf86a19b7/resourceRoles?$filter=(originSystem eq 'AadGroup' and displayName eq 'Member' and resource/id eq '274a1e21c5-8a76-4578-acb1-641160e076e')&$expand=resource

Antwort

Da Sie nach originId, Anzeigename und Ressourcen-ID gefiltert haben, wird bei erfolgreicher Ausführung ein einzelner Wert zurückgegeben, der die Member-Rolle dieser Gruppe darstellt. Wenn keine Rollen zurückgegeben werden, überprüfen Sie die ID-Werte des Katalogs und der Zugriffspaketressource.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/entitlementManagement/catalogs('ede67938-cda7-4127-a9ca-7c7bf86a19b7')/resourceRoles(resource())",
    "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET identityGovernance/entitlementManagement/catalogs('<guid>')/resourceRoles?$select=description,displayName",
    "value": [
        {
            "id": "00000000-0000-0000-0000-000000000000",
            "displayName": "Member",
            "description": null,
            "originSystem": "AadGroup",
            "originId": "Member_e93e24d1-2b65-4a6c-a1dd-654a12225487",
            "resource@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/entitlementManagement/catalogs('ede67938-cda7-4127-a9ca-7c7bf86a19b7')/resourceRoles('00000000-0000-0000-0000-000000000000')/resource/$entity",
            "resource": {
                "id": "ec09e90e-e021-4599-a8c3-bce77c2b2000",
                "displayName": "Marketing resources",
                "description": "Marketing group",
                "originId": "e93e24d1-2b65-4a6c-a1dd-654a12225487",
                "originSystem": "AadGroup",
                "createdDateTime": "2023-04-13T14:43:21.43Z",
                "attributes": []
            }
        }
    ]
}

Schritt 1.5: Erstellen des Zugriffspakets

Sie verfügen nun über einen Katalog mit einer Gruppenressource, und Sie möchten die Ressourcenrolle des Gruppenmitglieds im Zugriffspaket verwenden. Der nächste Schritt besteht darin, das Zugriffspaket zu erstellen. Nachdem Sie über das Zugriffspaket verfügen, können Sie ihr die Ressourcenrolle hinzufügen und eine Richtlinie erstellen, die beschreibt, wie Benutzer Zugriff auf diese Ressourcenrolle anfordern können. Sie verwenden die ID des Katalogs, den Sie zuvor notiert haben, um das Zugriffspaket zu erstellen. Notieren Sie sich die ID des Zugriffspakets, das später in diesem Tutorial verwendet werden soll.

Anforderung

POST https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages
Content-type: application/json

{
  "catalogId": "cec5d6ab-c75d-47c0-9c1c-92e89f66e384",
  "displayName": "Marketing Campaign",
  "description": "Access to resources for the campaign"
}

Antwort

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/entitlementManagement/accessPackages/$entity",
    "id": "88203d16-0e31-41d4-87b2-dd402f1435e9",
    "catalogId": "cec5d6ab-c75d-47c0-9c1c-92e89f66e384",
    "displayName": "Marketing Campaign",
    "description": "Access to resources for the campaign",
    "isHidden": false,
    "isRoleScopesVisible": false,
    "createdBy": "admin@contoso.com",
    "createdDateTime": "2024-03-26T17:36:45.411033Z",
    "modifiedBy": "admin@contoso.com",
    "modifiedDateTime": "2024-03-26T17:36:45.411033Z"
}

Schritt 1.6: Hinzufügen einer Ressourcenrolle zum Zugriffspaket

Anforderung

POST https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/88203d16-0e31-41d4-87b2-dd402f1435e9/accessPackageResourceRoleScopes
Content-type: application/json

{
  "role": {
    "originId":"Member_f4892fac-e81c-4712-bdf2-a4450008a4b0",
    "displayName":"Member",
    "originSystem":"AadGroup",
    "resource": {
      "id":"4a1e21c5-8a76-4578-acb1-641160e076e8",
      "resourceType":"Security Group",
      "originId":"f4892fac-e81c-4712-bdf2-a4450008a4b0",
      "originSystem":"AadGroup"
    }
  },
  "scope": {
    "originId":"f4892fac-e81c-4712-bdf2-a4450008a4b0",
    "originSystem":"AadGroup"
  }
}

Antwort

{
  "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/entitlementManagement/accessPackages('88203d16-0e31-41d4-87b2-dd402f1435e9')/accessPackageResourceRoleScopes/$entity",
  "id": "e081321b-2802-4834-a6ca-6f598ce3cdf7_6dbd2209-9d14-4c76-b92b-fcb00e835fe1",
  "createdDateTime": "2024-03-26T19:56:00.6320729Z",
}

Das Zugriffspaket verfügt jetzt über eine Ressourcenrolle, die Gruppenmitgliedschaft. Die Rolle wird jedem Benutzer zugewiesen, der über das Zugriffspaket verfügt.

Schritt 1.7: Erstellen einer Zugriffspaketrichtlinie

Nachdem Sie das Zugriffspaket erstellt und Ressourcen und Rollen hinzugefügt haben, können Sie entscheiden, wer darauf zugreifen kann, indem Sie eine Zugriffspaketrichtlinie erstellen. In diesem Tutorial aktivieren Sie das von Ihnen erstellte Requestor1-Konto , um Zugriff auf die Ressourcen im Zugriffspaket anzufordern. Für diese Aufgabe benötigen Sie die folgenden Werte:

  • ID des Zugriffspakets für den Wert der accessPackageId-Eigenschaft
  • ID des Benutzerkontos Requestor1 für den Wert der Id-Eigenschaft in allowedRequestors

Der Wert der durationInDays-Eigenschaft ermöglicht es dem Requestor1-Konto , bis zu 30 Tage lang auf die Ressourcen im Zugriffspaket zuzugreifen. Notieren Sie sich den Wert der id-Eigenschaft , die später in diesem Tutorial zur Verwendung zurückgegeben wird.

Anforderung

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentPolicies
Content-type: application/json

{
  "accessPackageId": "88203d16-0e31-41d4-87b2-dd402f1435e9",
  "displayName": "Specific users",
  "description": "Specific users can request assignment",
  "accessReviewSettings": null,
  "durationInDays": 30,
  "requestorSettings": {
    "scopeType": "SpecificDirectorySubjects",
    "acceptRequests": true,
    "allowedRequestors": [
       {
         "@odata.type": "#microsoft.graph.singleUser",
         "isBackup": false,
         "id": "007d1c7e-7fa8-4e33-b678-5e437acdcddc",
         "description": "Requestor1"
       }
    ]
  },
  "requestApprovalSettings": {
    "isApprovalRequired": false,
    "isApprovalRequiredForExtension": false,
    "isRequestorJustificationRequired": false,
    "approvalMode": "NoApproval",
    "approvalStages": []
  }
}

Antwort

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#accessPackageAssignmentPolicies/$entity",
  "id": "db440482-1210-4a60-9b55-3ac7a72f63ba",
  "accessPackageId": "88203d16-0e31-41d4-87b2-dd402f1435e9",
  "displayName": "Specific users",
  "description": "Specific users can request assignment",
  "canExtend": false,
  "durationInDays": 30,
  "expirationDateTime": null,
  "createdBy": "admin@contoso.com",
  "createdDateTime": "2020-06-29T19:47:44.7399675Z",
  "modifiedBy": "admin@contoso.com",
  "modifiedDateTime": "2020-06-29T19:47:44.7555489Z",
  "accessReviewSettings": null,
  "requestorSettings": {
    "scopeType": "SpecificDirectorySubjects",
    "acceptRequests": true,
    "allowedRequestors": [
      {
        "@odata.type": "#microsoft.graph.singleUser",
        "isBackup": false,
        "id": "007d1c7e-7fa8-4e33-b678-5e437acdcddc",
        "description": "Requestor1"
      }
    ]
  },
  "requestApprovalSettings": {
    "isApprovalRequired": false,
    "isApprovalRequiredForExtension": false,
    "isRequestorJustificationRequired": false,
    "approvalMode": "NoApproval",
    "approvalStages": []
  }
}

Schritt 2: Anfordern des Zugriffs

In diesem Schritt fordert das Benutzerkonto Requestor1 Zugriff auf die Ressourcen im Zugriffspaket an.

Um zugriff auf Ressourcen im Zugriffspaket anzufordern, müssen Sie die folgenden Werte angeben:

  • ID des Requestor1-Benutzerkontos , das Sie für den Wert der targetId-Eigenschaft erstellt haben
  • ID der Zuweisungsrichtlinie für den Wert der assignmentPolicyId-Eigenschaft
  • ID des Zugriffspakets für den Wert der accessPackageId-Eigenschaft

In der Antwort ist Accepted der status und ein Zustand ist Submitted. Notieren Sie sich den Wert der id-Eigenschaft, der zurückgegeben wird, um später die status der Anforderung abzurufen.

Starten Sie eine neue anonyme Browsersitzung, und melden Sie sich bei Requestor1 an. Dadurch unterbrechen Sie ihre aktuelle Administratorsitzung nicht. Alternativ können Sie Ihre aktuelle Administratorsitzung unterbrechen, indem Sie sich bei Graph Explorer abmelden und sich als Anforderer1 wieder anmelden.

Anforderung

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests
Content-type: application/json

{
  "requestType": "UserAdd",
  "accessPackageAssignment":{
     "targetId":"007d1c7e-7fa8-4e33-b678-5e437acdcddc",
     "assignmentPolicyId":"db440482-1210-4a60-9b55-3ac7a72f63ba",
     "accessPackageId":"88203d16-0e31-41d4-87b2-dd402f1435e9"
  }
}

Antwort

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#accessPackageAssignmentRequests/$entity",
    "createdDateTime": null,
    "completedDate": null,
    "id": "a6bb6942-3ae1-4259-9908-0133aaee9377",
    "requestType": "UserAdd",
    "requestState": "Submitted",
    "requestStatus": "Accepted",
    "isValidationOnly": false,
    "expirationDateTime": null,
    "justification": null
}

Sie können sich jetzt abmelden und die anonyme Sitzung beenden.

Schritt 3: Überprüfen, ob der Zugriff zugewiesen wurde

In diesem Schritt bestätigen Sie, dass dem Benutzerkonto Requestor1 das Zugriffspaket zugewiesen wurde und dass sie jetzt Mitglied der Gruppe Marketingressourcen sind. Kehren Sie zur Administratorsitzung in Graph Explorer zurück.

Schritt 3.1: Abrufen der status der Anforderung

Verwenden Sie den Wert der id-Eigenschaft der Anforderung, um die aktuelle status abzurufen. In der Antwort sehen Sie, dass sich die status in Erfüllt und der Status in Übermittelt geändert hat.

Anforderung

GET https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/a6bb6942-3ae1-4259-9908-0133aaee9377

Antwort

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#accessPackageAssignmentRequests/$entity",
  "createdDateTime": "2020-06-29T20:24:24.683Z",
  "completedDate": "2020-06-29T20:24:47.937Z",
  "id": "a6bb6942-3ae1-4259-9908-0133aaee9377",
  "requestType": "UserAdd",
  "requestState": "Delivered",
  "requestStatus": "FulfilledNotificationTriggered",
  "isValidationOnly": false,
  "expirationDateTime": null,
  "justification": null
}

Schritt 3.2: Abrufen von Zugriffspaketzuweisungen

Sie können auch die ID der Zugriffspaketrichtlinie verwenden, die Sie erstellt haben, um festzustellen, dass Ressourcen dem Benutzerkonto Requestor1 zugewiesen wurden.

Anforderung

GET https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignments?$filter=accessPackageAssignmentPolicy/Id eq 'db440482-1210-4a60-9b55-3ac7a72f63ba'&$expand=target,accessPackageAssignmentResourceRoles

Antwort

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#accessPackageAssignments",
  "value": [
    {
      "id": "a6bb6942-3ae1-4259-9908-0133aaee9377",
      "catalogId": "cec5d6ab-c75d-47c0-9c1c-92e89f66e384",
      "accessPackageId": "88203d16-0e31-41d4-87b2-dd402f1435e9",
      "assignmentPolicyId": "db440482-1210-4a60-9b55-3ac7a72f63ba",
      "targetId": "2bc42425-6dc5-4f2a-9ebb-7a7464481eb0",
      "assignmentStatus": "Delivered",
      "assignmentState": "Delivered",
      "isExtended": false,
      "expiredDateTime": null,
      "target": {
         "id": "8586ddc8-0ff7-4c24-9c79-f192bc3566e3",
         "objectId": "2bc42425-6dc5-4f2a-9ebb-7a7464481eb0"
      },
      "accessPackageAssignmentResourceRoles": [
         {
            "id": "bdb7e0a0-a927-42ab-bf30-c5b5533dc54a",
            "originSystem": "AadGroup",
            "status": "Fulfilled"
         }
      ]
    }
  ]
}

Schritt 3.3: Abrufen der Mitglieder der Gruppe

Nachdem die Anforderung erteilt wurde, können Sie die ID verwenden, die Sie für die Gruppe Marketingressourcen notiert haben, um festzustellen, dass ihr das Benutzerkonto Requestor1 hinzugefügt wurde.

Anforderung

GET https://graph.microsoft.com/v1.0/groups/f4892fac-e81c-4712-bdf2-a4450008a4b0/members

Antwort:

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#directoryObjects",
  "value": [
    {
      "@odata.type": "#microsoft.graph.user",
      "id": "007d1c7e-7fa8-4e33-b678-5e437acdcddc",
      "deletedDateTime": null,
      "accountEnabled": true,
      "ageGroup": null,
      "businessPhones": [],
      "city": null,
      "createdDateTime": "2020-06-23T18:43:24Z",
      "creationType": null,
      "companyName": null,
      "consentProvidedForMinor": null,
      "country": null,
      "department": null,
      "displayName": "Requestor1",
      "employeeId": null,
      "faxNumber": null,
      "givenName": null,
      "imAddresses": [],
      "infoCatalogs": [],
      "isResourceAccount": null,
      "jobTitle": null,
      "legalAgeGroupClassification": null,
      "mail": null,
      "mailNickname": "Requestor1"
    }
  ]
}

Schritt 4: Bereinigen von Ressourcen

In diesem Schritt entfernen Sie die vorgenommenen Änderungen und löschen das Zugriffspaket für die Marketingkampagne .

Entfernen einer Zugriffspaketzuweisung

Sie müssen alle Zuweisungen zum Zugriffspaket entfernen, bevor Sie es löschen können. Verwenden Sie die ID der Zuweisungsanforderung, die Sie zuvor aufgezeichnet haben, um sie zu löschen.

Anforderung

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests
Content-type: application/json

{
  "requestType": "AdminRemove",
  "accessPackageAssignment":{
     "id": "a6bb6942-3ae1-4259-9908-0133aaee9377"
  }
}

Antwort

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#accessPackageAssignmentRequests/$entity",
    "createdDateTime": null,
    "completedDate": null,
    "id": "78eaee8c-e6cf-48c9-8f99-aae44c35e379",
    "requestType": "AdminRemove",
    "requestState": "Submitted",
    "requestStatus": "Accepted",
    "isValidationOnly": false,
    "expirationDateTime": null,
    "justification": null
}

Löschen der Zugriffspaketzuweisungsrichtlinie

Verwenden Sie die ID der Zuweisungsrichtlinie, die Sie zuvor notiert haben, um sie zu löschen. Stellen Sie sicher, dass zuerst alle Zuweisungen entfernt werden. Die Anforderung gibt einen 204 No Content Antwortcode zurück.

DELETE https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentPolicies/6c1f65ec-8c25-4a45-83c2-a1de2a6d0e9f

Löschen des Zugriffspakets

Verwenden Sie die ID des Zuvor aufgezeichneten Zugriffspakets, um es zu löschen. Die Anforderung gibt einen 204 No Content Antwortcode zurück.

Anforderung

DELETE https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackages/cf54c6ca-d717-49bc-babe-d140d035dfdd

Zusammenfassung

In diesem Tutorial waren die Marketingkampagnenressourcen Mitglied einer einzelnen Gruppe, die Zugriff auf andere Ressourcen haben könnte. Die Ressourcen können auch eine Sammlung von Gruppen, Anwendungen oder SharePoint Online-Websites sein.

Die Funktionen in diesem Tutorial werden in Microsoft Entra ID P2- oder Microsoft Entra ID Governance-Lizenzen unterstützt. Andere erweiterte Berechtigungsverwaltungsfunktionen erfordern jedoch eine zusätzliche Lizenzierung. Weitere Informationen finden Sie unter Microsoft Entra ID Governance Lizenzierungsgrundlagen.