Actualizar authorizationPolicy

  • Artículo

Espacio de nombres: microsoft.graph

Importante

Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.

Actualice las propiedades de un objeto authorizationPolicy .

Esta API está disponible en las siguientes implementaciones nacionales de nube.

Servicio global Gobierno de EE. UU. L4 Us Government L5 (DOD) China operada por 21Vianet

Permissions

Elija el permiso o los permisos marcados como con privilegios mínimos para esta API. Use un permiso o permisos con privilegios superiores solo si la aplicación lo requiere. Para obtener más información sobre los permisos delegados y de aplicación, consulte Tipos de permisos. Para obtener más información sobre estos permisos, consulte la referencia de permisos.

Tipo de permiso Permisos con privilegios mínimos Permisos con privilegios más altos
Delegado (cuenta profesional o educativa) Policy.ReadWrite.Authorization No disponible.
Delegado (cuenta personal de Microsoft) No admitida. No admitida.
Aplicación Policy.ReadWrite.Authorization No disponible.

Para escenarios delegados, el usuario debe tener el rol Privileged Role AdministratorMicrosoft Entra.

Solicitud HTTP

PATCH /policies/authorizationPolicy/authorizationPolicy

Encabezados de solicitud

Nombre Descripción
Authorization {token} de portador. Obligatorio. Obtenga más información sobre la autenticación y la autorización.
Tipo de contenido application/json

Cuerpo de la solicitud

En el cuerpo de la solicitud, únicamente proporcione los valores de las propiedades que deben actualizarse. Las propiedades existentes que no se incluyen en el cuerpo de la solicitud mantienen sus valores anteriores o se recalculan en función de los cambios realizados en otros valores de propiedad.

En la tabla siguiente se especifican las propiedades que se pueden actualizar.

Propiedad Tipo Descripción
allowEmailVerifiedUsersToJoinOrganization Booleano Indica si un usuario puede unirse al inquilino mediante la validación por correo electrónico.
allowUserConsentForRiskyApps Booleano Indica si se permite el consentimiento del usuario para aplicaciones de riesgo . El valor predeterminado es false. Se recomienda mantener el valor establecido en false.
allowedToSignUpEmailBasedSubscriptions Booleano Indica si los usuarios pueden registrarse para suscripciones basadas en correo electrónico.
allowedToUseSSPR Booleano Indica si los administradores del inquilino pueden usar el Self-Service Restablecimiento de contraseña (SSPR). Para obtener más información, consulte Autoservicio de restablecimiento de contraseña para administradores.
blockMsolPowerShell Booleano Para deshabilitar el uso de PowerShell de MSOL, establezca esta propiedad trueen . Esto también deshabilita el acceso basado en el usuario al punto de conexión de servicio heredado usado por PowerShell de MSOL. Esto no afecta a Microsoft Entra Connect o Microsoft Graph.
defaultUserRolePermissions defaultUserRolePermissions Especifica determinados permisos personalizables para el rol de usuario predeterminado.
description Cadena Descripción de esta directiva.
displayName Cadena Nombre para mostrar de esta directiva.
enabledPreviewFeatures Colección de cadenas Lista de características habilitadas para la versión preliminar privada en el inquilino.
guestUserRoleId Guid Representa el valor templateId del rol que se debe conceder al usuario invitado. Consulte Lista de unifiedRoleDefinitions para encontrar la lista de plantillas de rol disponibles. Actualmente, solo los roles admitidos son Usuario (a0b1b346-4d3e-4e8b-98f8-753987be4970), Usuario invitado (10dae51f-b6af-4016-8d66-8c2a99b929b3) y Usuario invitado restringido (2af84b1e-32c8-42b7-82bc-daa82404023b).
permissionGrantPolicyIdsAssignedToDefaultUserRole Colección string Indica si se permite el consentimiento del usuario a las aplicaciones y, si es así, qué directiva de consentimiento de aplicación rige el permiso para que los usuarios concedan el consentimiento. Los valores deben tener el formato managePermissionGrantsForSelf.{id}, donde {id} es el identificador de una directiva de consentimiento de aplicación integrada o personalizada. Una lista vacía indica que el consentimiento del usuario a las aplicaciones está deshabilitado.

Respuesta

Si se ejecuta correctamente, este método devuelve un código de respuesta 204 No Content. No devuelve nada en el cuerpo de la respuesta.

Ejemplos

Ejemplo 1: Actualización o establecimiento del nivel de acceso de usuario invitado para el inquilino

Solicitud

En el ejemplo siguiente se muestra la solicitud. En este ejemplo, el nivel de acceso de invitado se modifica a Usuario invitado restringido.

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "guestUserRole":"2af84b1e-32c8-42b7-82bc-daa82404023b"
}

Respuesta

En el ejemplo siguiente se muestra la respuesta.

HTTP/1.1 204 No Content

Ejemplo 2: Habilitación de una nueva característica para la versión preliminar en el inquilino

Solicitud

En el ejemplo siguiente se muestra la solicitud.

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "enabledPreviewFeatures":[
      "assignGroupsToRoles"
   ]
}

Respuesta

En el ejemplo siguiente se muestra la respuesta.

HTTP/1.1 204 No Content

Ejemplo 3: Bloquear PowerShell MSOL en el inquilino

Solicitud

En el ejemplo siguiente se muestra la solicitud.

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "blockMsolPowerShell":true
}

Respuesta

En el ejemplo siguiente se muestra la respuesta.

HTTP/1.1 204 No Content

Ejemplo 4: Deshabilitar el permiso del rol de usuario predeterminado para crear aplicaciones

Solicitud

En el ejemplo siguiente se muestra la solicitud.

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "defaultUserRolePermissions":{
      "allowedToCreateApps":false
   }
}

Respuesta

En el ejemplo siguiente se muestra la respuesta.

HTTP/1.1 204 No Content

Ejemplo 5: Habilitar el rol de usuario predeterminado para usar Self-Serve característica de restablecimiento de contraseña

Solicitud

En el ejemplo siguiente se muestra la solicitud.

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "allowedToUseSSPR":true
}

Respuesta

En el ejemplo siguiente se muestra la respuesta.

HTTP/1.1 204 No Content

Solicitud

En el ejemplo siguiente se muestra la solicitud.

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "permissionGrantPolicyIdsAssignedToDefaultUserRole":[
   
   ]
}

Respuesta

En el ejemplo siguiente se muestra la respuesta.

HTTP/1.1 204 No Content

Solicitud

En el ejemplo siguiente se muestra una solicitud que permite al usuario dar su consentimiento a las aplicaciones, sujeto a la directivamicrosoft-user-default-low de consentimiento de aplicaciones integrada, que permite permisos delegados clasificados como "bajo" para las aplicaciones cliente de publicadores comprobados o registrados en el mismo inquilino.

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "permissionGrantPolicyIdsAssignedToDefaultUserRole":[
      "managePermissionGrantsForSelf.microsoft-user-default-low"
   ]
}

Respuesta

En el ejemplo siguiente se muestra la respuesta.

HTTP/1.1 204 No Content