Obtenir appRoleAssignment

Espace de noms: microsoft.graph

Lisez les propriétés et les relations d’un objet appRoleAssignment .

Cette API est disponible dans les déploiements de cloud national suivants.

Service global	Gouvernement des États-Unis L4	Us Government L5 (DOD)	Chine gérée par 21Vianet
✅	✅	✅	✅

Autorisations

Le tableau suivant indique l’autorisation ou les autorisations les moins privilégiées requises pour appeler cette API sur chaque type de ressource pris en charge. Suivez les bonnes pratiques pour demander des autorisations minimales. Pour plus d’informations sur les autorisations déléguées et d’application, consultez Types d’autorisations. Pour en savoir plus sur ces autorisations, consultez les informations de référence sur les autorisations.

Ressource prise en charge	Déléguée (compte professionnel ou scolaire)	Déléguée (compte Microsoft personnel)	Application
groupe	Group.Read.All	Non prise en charge.	Group.Read.All
servicePrincipal	Application.Read.All	Non prise en charge.	Application.Read.All
user	User.Read	Non prise en charge.	Directory.Read.All

Importante

Dans les scénarios délégués avec des comptes professionnels ou scolaires, l’utilisateur connecté doit se voir attribuer un rôle Microsoft Entra pris en charge ou un rôle personnalisé avec une autorisation de rôle prise en charge. Les rôles les moins privilégiés suivants sont pris en charge pour cette opération :

• Inviteur d’invités - Lire les attributions de rôles d’application pour les utilisateurs uniquement
• Lecteurs d’annuaire
• Comptes de synchronisation d’annuaires : pour Microsoft Entra Connect et Microsoft Entra services de synchronisation cloud
• Rédacteur d’annuaire
• Administrateur d’identité hybride
• Administrateur de gouvernance des identités
• Administrateur de rôle privilégié
• Administrateur d’utilisateurs
• Administrateur de l'application
• Administrateur de l'application cloud

Autres autorisations prises en charge

Les autorisations privilégiées supérieures suivantes sont prises en charge par chaque ressource :

• Groupes :
  • Autorisations déléguées et d’application : Directory.Read.All, AppRoleAssignment.ReadWrite.All, Directory.ReadWrite.All
• Utilisateurs :
  • Autorisations déléguées : User.ReadBasic.All, Directory.Read.All, AppRoleAssignment.ReadWrite.All
  • Autorisations d’application : Directory.Read.All, AppRoleAssignment.ReadWrite.All
• Principaux de service :
  • Autorisations déléguées : Directory.Read.All, Application.ReadWrite.All, Directory.ReadWrite.All
  • Autorisations d’application : Application.ReadWrite.OwnedBy, Application.ReadWrite.All, Directory.ReadWrite.All

Requête HTTP

Pour obtenir les détails d’un appRole accordé à un principal de service :

GET /servicePrincipals/{client-serviceprincipal-id}/appRoleAssignments/{appRoleAssignment-id}
GET /servicePrincipals(appId='{client-servicePrincipal-appId}')/appRoleAssignments/{appRoleAssignment-id}

Pour obtenir les détails d’un appRole accordé à un utilisateur, un groupe ou un principal de service client pour le principal de service de ressource donné :

GET /servicePrincipals(appId='{resource-servicePrincipal-appId}')/appRoleAssignedTo/{appRoleAssignment-id}
GET /servicePrincipals/{resource-serviceprincipal-id}/appRoleAssignedTo/{appRoleAssignment-id}

Pour obtenir les détails d’un appRole accordé à un groupe :

GET /groups/{group-id}/appRoleAssignments/{appRoleAssignment-id}

Pour obtenir les détails d’un appRole accordé à un utilisateur :

GET /users/{user-id}/appRoleAssignments/{appRoleAssignment-id}
GET /me/appRoleAssignments/{appRoleAssignment-id}

Paramètres facultatifs de la requête

Cette méthode prend en charge le $select paramètre de requête OData pour vous aider à personnaliser la réponse. Pour des informations générales, consultez paramètres de la requête OData.

En-têtes de demande

Nom	Description
Autorisation	Porteur {token}. Obligatoire. En savoir plus sur l’authentification et l’autorisation.

Corps de la demande

N’indiquez pas le corps de la demande pour cette méthode.

Réponse

Si elle réussit, cette méthode renvoie un code de réponse 200 OK et un objet appRoleAssignment dans le corps de la réponse.

Exemples

Exemple 1 : Obtenir les détails d’un rôle d’application accordé à un utilisateur, un groupe ou un principal de service client pour le principal de service de ressource donné

Demande

La requête suivante interroge le principal de service de ressources pour obtenir les détails d’un rôle d’application qu’il a accordé à un client qui peut être un utilisateur, un groupe ou un principal de service client dans le locataire.

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/appRoleAssignedTo/ep6PKgGvOkGVksMuwOXBpxV3dkHvwM1ElSjMUzZtaIA

Réponse

L’exemple suivant illustre la réponse. Il montre qu’un principal de service client nommé Postman a reçu un rôle d’application avec l’ID df021288-bdef-4463-88db-98f22de89214 , qui est l’autorisation d’application User.Read.All , pour le principal du service de ressources nommé Microsoft Graph.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('00000003-0000-0000-c000-000000000000')/appRoleAssignedTo/$entity",
    "id": "ep6PKgGvOkGVksMuwOXBpxV3dkHvwM1ElSjMUzZtaIA",
    "deletedDateTime": null,
    "appRoleId": "df021288-bdef-4463-88db-98f22de89214",
    "createdDateTime": "2023-02-24T17:01:47.0988029Z",
    "principalDisplayName": "Postman",
    "principalId": "2a8f9e7a-af01-413a-9592-c32ec0e5c1a7",
    "principalType": "ServicePrincipal",
    "resourceDisplayName": "Microsoft Graph",
    "resourceId": "7408235b-7540-4850-82fe-a5f15ed019e2"
}

Exemple 2 : Obtenir les détails d’un rôle d’application accordé à un principal de service

Demande

La requête suivante interroge le principal du service client pour obtenir les détails d’un rôle d’application qui lui est accordé. Dans cette instance, le rôle d’application représente l’autorisation de l’application.

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='ceb96a54-de95-49a0-b38c-c55263fcf421')/appRoleAssignments/ep6PKgGvOkGVksMuwOXBpxV3dkHvwM1ElSjMUzZtaIA

Réponse

L’exemple suivant illustre la réponse. Il montre qu’un principal de service client nommé Postman a reçu un rôle d’application avec l’ID df021288-bdef-4463-88db-98f22de89214 , qui est l’autorisation d’application User.Read.All , pour le principal du service de ressources nommé Microsoft Graph.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('ceb96a54-de95-49a0-b38c-c55263fcf421')/appRoleAssignments/$entity",
    "id": "ep6PKgGvOkGVksMuwOXBpxV3dkHvwM1ElSjMUzZtaIA",
    "deletedDateTime": null,
    "appRoleId": "df021288-bdef-4463-88db-98f22de89214",
    "createdDateTime": "2023-02-24T17:01:47.0988029Z",
    "principalDisplayName": "Postman",
    "principalId": "2a8f9e7a-af01-413a-9592-c32ec0e5c1a7",
    "principalType": "ServicePrincipal",
    "resourceDisplayName": "Microsoft Graph",
    "resourceId": "7408235b-7540-4850-82fe-a5f15ed019e2"
}

Exemple 3 : Obtenir les détails d’un rôle d’application accordé à l’utilisateur connecté

Demande

La requête suivante interroge l’appRoleAssignments de l’utilisateur connecté.

HTTP

GET https://graph.microsoft.com/v1.0/me/appRoleAssignments/Lo6gEKI-4EyAy9X91LBepo6Aq0Rt6QxBjWRl76txk8I

C#

// Code snippets are only available for the latest version. Current version is 5.x

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Me.AppRoleAssignments["{appRoleAssignment-id}"].GetAsync();

Pour plus d’informations sur la façon d'ajouter le Kit de développement logiciel (SDK) à votre projet et créer une instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

CLI

mgc users app-role-assignments get --user-id {user-id} --app-role-assignment-id {appRoleAssignment-id}

Pour plus d’informations sur la façon d'ajouter le Kit de développement logiciel (SDK) à votre projet et créer une instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

Go

// Code snippets are only available for the latest major version. Current major version is $v1.*

// Dependencies
import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-sdk-go"
	  //other-imports
)


// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=go
appRoleAssignments, err := graphClient.Me().AppRoleAssignments().ByAppRoleAssignmentId("appRoleAssignment-id").Get(context.Background(), nil)

Pour plus d’informations sur la façon d'ajouter le Kit de développement logiciel (SDK) à votre projet et créer une instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

Java

// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

AppRoleAssignment result = graphClient.me().appRoleAssignments().byAppRoleAssignmentId("{appRoleAssignment-id}").get();

Pour plus d’informations sur la façon d'ajouter le Kit de développement logiciel (SDK) à votre projet et créer une instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

JavaScript

const options = {
	authProvider,
};

const client = Client.init(options);

let appRoleAssignment = await client.api('/me/appRoleAssignments/Lo6gEKI-4EyAy9X91LBepo6Aq0Rt6QxBjWRl76txk8I')
	.get();

Pour plus d’informations sur la façon d'ajouter le Kit de développement logiciel (SDK) à votre projet et créer une instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

PHP

<?php
use Microsoft\Graph\GraphServiceClient;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);


$result = $graphServiceClient->me()->appRoleAssignments()->byAppRoleAssignmentId('appRoleAssignment-id')->get()->wait();

Pour plus d’informations sur la façon d'ajouter le Kit de développement logiciel (SDK) à votre projet et créer une instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

PowerShell

Import-Module Microsoft.Graph.Applications

# A UPN can also be used as -UserId.
Get-MgUserAppRoleAssignment -UserId $userId -AppRoleAssignmentId $appRoleAssignmentId

Pour plus d’informations sur la façon d'ajouter le Kit de développement logiciel (SDK) à votre projet et créer une instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

Python

# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
# To initialize your graph_client, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=python

result = await graph_client.me.app_role_assignments.by_app_role_assignment_id('appRoleAssignment-id').get()

Pour plus d’informations sur la façon d'ajouter le Kit de développement logiciel (SDK) à votre projet et créer une instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

Réponse

L’exemple suivant illustre la réponse. Il montre que l’utilisateur connecté a le rôle d’application par défaut pour un principal de service de ressources nommé Postman.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users('10a08e2e-3ea2-4ce0-80cb-d5fdd4b05ea6')/appRoleAssignments/$entity",
    "id": "Lo6gEKI-4EyAy9X91LBepo6Aq0Rt6QxBjWRl76txk8I",
    "deletedDateTime": null,
    "appRoleId": "00000000-0000-0000-0000-000000000000",
    "createdDateTime": "2022-09-08T17:43:57.8423817Z",
    "principalDisplayName": "MOD Administrator",
    "principalId": "10a08e2e-3ea2-4ce0-80cb-d5fdd4b05ea6",
    "principalType": "User",
    "resourceDisplayName": "Postman",
    "resourceId": "2a8f9e7a-af01-413a-9592-c32ec0e5c1a7"
}