Actualizar unifiedRoleManagementPolicyRule

Espacio de nombres: microsoft.graph

Actualice una regla definida para una directiva de administración de roles. La regla puede ser uno de los siguientes tipos que se derivan del objeto unifiedRoleManagementPolicyRule :

Para obtener más información sobre las reglas de Microsoft Entra roles y ejemplos de reglas de actualización, consulte los artículos siguientes:

Esta API está disponible en las siguientes implementaciones nacionales de nube.

Servicio global Gobierno de EE. UU. L4 Us Government L5 (DOD) China operada por 21Vianet

Permisos

Se requiere uno de los siguientes permisos para llamar a esta API. Para obtener más información, incluido cómo elegir permisos, vea Permisos.

Para PIM para roles de Microsoft Entra

Tipo de permiso Permisos (de menos a más privilegiados)
Delegado (cuenta profesional o educativa) RoleManagementPolicy.ReadWrite.Directory, RoleManagement.ReadWrite.Directory
Delegado (cuenta personal de Microsoft) No admitida.
Aplicación RoleManagementPolicy.ReadWrite.Directory, RoleManagement.ReadWrite.Directory

Para escenarios delegados, al usuario que ha iniciado sesión también se le debe asignar al menos uno de los siguientes roles de Microsoft Entra:

  • Para operaciones de lectura: Lector global, Operador de seguridad, Lector de seguridad, Administrador de seguridad o Administrador de roles con privilegios
  • Para operaciones de escritura: Administrador de roles con privilegios

Para PIM para grupos

Tipo de permiso Permisos (de menos a más privilegiados)
Delegado (cuenta profesional o educativa) RoleManagementPolicy.ReadWrite.AzureADGroup
Delegado (cuenta personal de Microsoft) No admitida.
Aplicación RoleManagementPolicy.ReadWrite.AzureADGroup

Solicitud HTTP

Para actualizar una regla definida para una directiva para Microsoft Entra roles o grupos en PIM:

PATCH /policies/roleManagementPolicies/{unifiedRoleManagementPolicyId}/rules/{unifiedRoleManagementPolicyRuleId}

Encabezados de solicitud

Nombre Descripción
Authorization {token} de portador. Obligatorio. Obtenga más información sobre la autenticación y la autorización.
Content-Type application/json. Obligatorio.

Cuerpo de la solicitud

En el cuerpo de la solicitud, únicamente proporcione los valores de las propiedades que deben actualizarse. Las propiedades existentes que no se incluyen en el cuerpo de la solicitud mantienen sus valores anteriores o se recalculan en función de los cambios realizados en otros valores de propiedad.

En la tabla siguiente se especifican las propiedades que se pueden actualizar.

Propiedad Tipo Description
claimValue Cadena Valor de la notificación de contexto de autenticación.

Se puede actualizar para el tipo de regla unifiedRoleManagementPolicyAuthenticationContextRule .
enabledRules Colección de cadenas Colección de reglas habilitadas para esta regla de directiva. Por ejemplo, MultiFactorAuthentication, Ticketingy Justification.

Se puede actualizar para el tipo de regla unifiedRoleManagementPolicyEnablementRule .
isDefaultRecipientsEnabled Booleano Indica si un destinatario predeterminado recibirá el correo electrónico de notificación.

Se puede actualizar para el tipo de regla unifiedRoleManagementPolicyNotificationRule .
isEnabled Boolean Si esta regla está habilitada.

Se puede actualizar para el tipo de regla unifiedRoleManagementPolicyAuthenticationContextRule .
isExpirationRequired Booleano Indica si se requiere la expiración o si es una asignación o elegibilidad activa de forma permanente.

Se puede actualizar para el tipo de regla unifiedRoleManagementPolicyExpirationRule .
maximumDuration Duración Duración máxima permitida para la idoneidad o asignación que no es permanente. Se requiere cuando isExpirationRequired es true.

Se puede actualizar para el tipo de regla unifiedRoleManagementPolicyExpirationRule .
notificationLevel Cadena Nivel de notificación. Los valores posibles son None, Critical, All.

Se puede actualizar para el tipo de regla unifiedRoleManagementPolicyNotificationRule .
notificationRecipients Colección de cadenas Lista de destinatarios de las notificaciones por correo electrónico.

Se puede actualizar para el tipo de regla unifiedRoleManagementPolicyNotificationRule .
notificationType Cadena Tipo de notificación. Solo Email se admite.

Se puede actualizar para el tipo de regla unifiedRoleManagementPolicyNotificationRule .
recipientType Cadena Tipo de destinatario de la notificación. Los valores posibles son Requestor, Approver, Admin.
Se puede actualizar para el tipo de regla unifiedRoleManagementPolicyNotificationRule .
ajustes approvalSettings Configuración para la aprobación de la asignación de roles.

Se puede actualizar para el tipo de regla unifiedRoleManagementPolicyApprovalRule .
target unifiedRoleManagementPolicyRuleTarget Define los detalles del ámbito que tiene como destino la regla de directiva de administración de roles. Los detalles pueden incluir el tipo de entidad de seguridad, el tipo de asignación de roles y las acciones que afectan a un rol.

Se puede actualizar para todos los tipos de regla.

Nota: La @odata.type propiedad con un valor del tipo de regla específico debe incluirse en el cuerpo. Por ejemplo, "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyApprovalRule".

Respuesta

Si se ejecuta correctamente, este método devuelve un 200 OK código de respuesta y un objeto unifiedRoleManagementPolicyRule en el cuerpo de la respuesta.

Ejemplos

Ejemplo 1: Actualización de una regla definida para una directiva en PIM para roles de Microsoft Entra

Solicitud

En el ejemplo siguiente se actualiza una regla de directiva de administración de roles de tipo unifiedRoleManagementPolicyExpirationRule y con el identificador es Expiration_EndUser_Assignment.

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/DirectoryRole_84841066-274d-4ec0-a5c1-276be684bdd3_200ec19a-09e7-4e7a-9515-cf1ee64b96f9/rules/Expiration_EndUser_Assignment
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "@odata.type": "microsoft.graph.unifiedRoleManagementPolicyRuleTarget",
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Respuesta

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/roleManagementPolicies('DirectoryRole_84841066-274d-4ec0-a5c1-276be684bdd3_200ec19a-09e7-4e7a-9515-cf1ee64b96f9')/rules/$entity",
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Ejemplo 2: Actualización de una regla definida para una directiva en PIM para grupos

Solicitud

En el ejemplo siguiente se actualiza una regla de directiva de administración de roles con el identificador Expiration_EndUser_Assignment.

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/Group_60bba733-f09d-49b7-8445-32369aa066b3_f21b26d9-9ff9-4af1-b1d4-bddf28591369/rules/Expiration_EndUser_Assignment
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Respuesta

En el ejemplo siguiente se muestra la respuesta.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/roleManagementPolicies('Group_60bba733-f09d-49b7-8445-32369aa066b3_f21b26d9-9ff9-4af1-b1d4-bddf28591369')/rules/$entity",
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}