Compartir a través de

Crear roleEligibilityScheduleRequest

  • Artículo

Espacio de nombres: microsoft.graph

En PIM, solicite una elegibilidad de rol para una entidad de seguridad a través del objeto unifiedRoleEligibilityScheduleRequest . Esta operación permite que tanto los administradores como los usuarios aptos agreguen, revoquen o amplíen las asignaciones aptas.

Esta API está disponible en las siguientes implementaciones nacionales de nube.

Servicio global Gobierno de EE. UU. L4 Us Government L5 (DOD) China operada por 21Vianet

Permissions

Elija el permiso o los permisos marcados como con privilegios mínimos para esta API. Use un permiso o permisos con privilegios superiores solo si la aplicación lo requiere. Para obtener más información sobre los permisos delegados y de aplicación, consulte Tipos de permisos. Para obtener más información sobre estos permisos, consulte la referencia de permisos.

Tipo de permiso Permisos con privilegios mínimos Permisos con privilegios más altos
Delegado (cuenta profesional o educativa) RoleEligibilitySchedule.ReadWrite.Directory RoleManagement.ReadWrite.Directory
Delegado (cuenta personal de Microsoft) No admitida. No admitida.
Aplicación RoleEligibilitySchedule.ReadWrite.Directory RoleManagement.ReadWrite.Directory

En escenarios delegados con cuentas profesionales o educativas, al usuario que ha iniciado sesión se le debe asignar un rol de Microsoft Entra compatible o un rol personalizado con un permiso de rol admitido. Se admiten los siguientes roles con privilegios mínimos para esta operación.

  • Para operaciones de lectura: Lector global, Operador de seguridad, Lector de seguridad, Administrador de seguridad o Administrador de roles con privilegios
  • Para operaciones de escritura: Administrador de roles con privilegios

Solicitud HTTP

POST /roleManagement/directory/roleEligibilityScheduleRequests

Encabezados de solicitud

Nombre Descripción
Authorization {token} de portador. Obligatorio. Obtenga más información sobre la autenticación y la autorización.
Content-Type application/json. Obligatorio.

Cuerpo de la solicitud

En el cuerpo de la solicitud, proporcione una representación JSON del objeto unifiedRoleEligibilityScheduleRequest .

Puede especificar las siguientes propiedades al crear un unifiedRoleEligibilityScheduleRequest.

Propiedad Tipo Descripción
acción unifiedRoleScheduleRequestActions Representa el tipo de operación en la solicitud de elegibilidad de roles. Los valores posibles son: adminAssign, adminUpdate, , adminRemove, selfDeactivateselfActivate, , adminRenewadminExtend, , selfExtend, selfRenew, unknownFutureValue.
  • adminAssign: para que los administradores asignen roles aptos a entidades de seguridad.
  • adminRemove: para que los administradores quiten roles aptos de las entidades de seguridad.
  • adminUpdate: para que los administradores cambien las elegibilidades de roles existentes.
  • adminExtend: para que los administradores amplíen las elegibilidades de roles que expiran.
  • adminRenew: para que los administradores renueven los requisitos expirados.
  • selfActivate: para que los usuarios activen sus asignaciones.
  • selfDeactivate: para que los usuarios desactiven sus asignaciones activas.
  • selfExtend: para que los usuarios soliciten ampliar sus asignaciones que expiran.
  • SelfRenew: para que los usuarios soliciten renovar sus asignaciones expiradas.
appScopeId Cadena Identificador del ámbito específico de la aplicación cuando el ámbito de idoneidad del rol es una aplicación. El ámbito de la elegibilidad de un rol determina el conjunto de recursos a los que la entidad de seguridad es apta para acceder. Los ámbitos de aplicación son ámbitos definidos y entendidos solo por esta aplicación. Use / para ámbitos de aplicación de todo el inquilino. Use directoryScopeId para limitar el ámbito a determinados objetos de directorio, por ejemplo, unidades administrativas. Se requiere directoryScopeId o appScopeId .
directoryScopeId Cadena Identificador del objeto de directorio que representa el ámbito de la idoneidad del rol. El ámbito de la elegibilidad de un rol determina el conjunto de recursos a los que se ha concedido acceso a la entidad de seguridad. Los ámbitos de directorio son ámbitos compartidos almacenados en el directorio que entienden varias aplicaciones. Use / para el ámbito de todo el inquilino. Use appScopeId para limitar el ámbito solo a una aplicación. Se requiere directoryScopeId o appScopeId .
isValidationOnly Booleano Determina si la llamada es una validación o una llamada real. Establezca esta propiedad solo si desea comprobar si una activación está sujeta a reglas adicionales como MFA antes de enviar realmente la solicitud. Opcional.
justificación Cadena Mensaje proporcionado por los usuarios y administradores cuando crean el objeto unifiedRoleEligibilityScheduleRequest .

Opcional para selfDeactivate y adminRemove acciones; puede ser opcional o necesario para otros tipos de acción en función de las reglas de la directiva vinculada al rol Microsoft Entra. Para obtener más información, consulte Reglas en PIM.
principalId Cadena Identificador de la entidad de seguridad a la que se ha concedido la elegibilidad del rol. Obligatorio.
roleDefinitionId Cadena Identificador del objeto unifiedRoleDefinition que se está asignando a la entidad de seguridad. Obligatorio.
scheduleInfo requestSchedule Período de idoneidad del rol. Opcional cuando action es adminRemove. El período de idoneidad depende de la configuración del rol Microsoft Entra.
ticketInfo ticketInfo Detalles del vale vinculados a la solicitud de elegibilidad del rol, incluidos los detalles del número de vale y del sistema de vales.

Opcional para selfDeactivate y adminRemove acciones; puede ser opcional o necesario para otros tipos de acción en función de las reglas de la directiva vinculada al rol Microsoft Entra. Para obtener más información, consulte Reglas en PIM.

Respuesta

Si se ejecuta correctamente, este método devuelve un 201 Created código de respuesta y un objeto unifiedRoleEligibilityScheduleRequest en el cuerpo de la respuesta.

Ejemplos

Ejemplo 1: Administrador para asignar una solicitud de programación de elegibilidad de roles

Solicitud

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminAssign",
    "justification": "Assign Attribute Assignment Admin eligibility to restricted user",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDateTime",
            "endDateTime": "2024-04-10T00:00:00Z"
        }
    }
}

Respuesta

Nota: Se puede acortar el objeto de respuesta que se muestra aquí para mejorar la legibilidad.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "50877283-9d40-433c-bab8-7986dc10458a",
    "status": "Provisioned",
    "createdDateTime": "2022-04-12T09:05:39.7594064Z",
    "completedDateTime": "2022-04-12T09:05:41.8532931Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "50877283-9d40-433c-bab8-7986dc10458a",
    "justification": "Assign Attribute Assignment Admin eligibility to restricted user",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-12T09:05:41.8532931Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDateTime",
            "endDateTime": "2024-04-10T00:00:00Z",
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Ejemplo 2: Administrador para quitar una solicitud de programación de elegibilidad de roles existente

En la siguiente solicitud, el administrador crea una solicitud para revocar la idoneidad de una entidad de seguridad con identificador 071cc716-8147-4397-a5ba-b2105951cc0b a un rol con id 8424c6f0-a189-499e-bbd0-26c1753c96d4. .

Solicitud

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminRemove",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b"
}

Respuesta

En el ejemplo siguiente se muestra la respuesta. El objeto de respuesta muestra que una elegibilidad de roles anterior para una entidad de seguridad es Revoked. La entidad de seguridad ya no verá su rol apto anteriormente.

Nota: Se puede acortar el objeto de respuesta que se muestra aquí para mejorar la legibilidad.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "f341269e-c926-41fa-a905-cef3b01b2a67",
    "status": "Revoked",
    "createdDateTime": "2022-04-12T09:12:15.6859992Z",
    "completedDateTime": null,
    "approvalId": null,
    "customData": null,
    "action": "adminRemove",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": null,
    "justification": null,
    "scheduleInfo": null,
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}