Egyéni rendszergazdai szerepkörök hozzárendelése a Microsoft Graph API-val a Microsoft Entra-azonosítóban
A Microsoft Graph API-val automatizálhatja a szerepkörök felhasználói fiókokhoz való hozzárendelését. Ez a cikk a roleAssignments POST, GET és DELETE műveleteit ismerteti.
Előfeltételek
- Microsoft Entra ID P1 vagy P2 licenc
- Kiemelt szerepkörű rendszergazda
- Rendszergazda hozzájárulás a Graph Explorer microsoft graph API-hoz való használatakor
További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.
POST-műveletek a RoleAssignment szolgáltatásban
A szerepkör hozzárendeléséhez használja a Create unifiedRoleAssignment API-t.
1. példa: Szerepkör-hozzárendelés létrehozása egy felhasználó és egy szerepkördefiníció között
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json
Törzs
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
"roleDefinitionId": "194ae4cb-b126-40b2-bd5b-6091b380977d",
"directoryScopeId": "/" // Don't use "resourceScope" attribute in Azure AD role assignments. It will be deprecated soon.
}
Válasz
HTTP/1.1 201 Created
2. példa: Olyan szerepkör-hozzárendelés létrehozása, amelyben az egyszerű vagy a szerepkördefiníció nem létezik
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Törzs
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "2142743c-a5b3-4983-8486-4532ccba12869",
"roleDefinitionId": "194ae4cb-b126-40b2-bd5b-6091b380977d",
"directoryScopeId": "/" //Don't use "resourceScope" attribute in Azure AD role assignments. It will be deprecated soon.
}
Válasz
HTTP/1.1 404 Not Found
3. példa: Szerepkör-hozzárendelés létrehozása egyetlen erőforrás-hatókörben
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Törzs
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "2142743c-a5b3-4983-8486-4532ccba12869",
"roleDefinitionId": "e9b2b976-1dea-4229-a078-b08abd6c4f84", //role template ID of a custom role
"directoryScopeId": "/13ff0c50-18e7-4071-8b52-a6f08e17c8cc" //object ID of an application
}
Válasz
HTTP/1.1 201 Created
4. példa: Felügyeleti egység hatókörébe tartozó szerepkör-hozzárendelés létrehozása olyan beépített szerepkördefiníción, amely nem támogatott
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Törzs
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
"roleDefinitionId": "29232cdf-9323-42fd-ade2-1d097af3e4de", //role template ID of Exchange Administrator
"directoryScopeId": "/administrativeUnits/13ff0c50-18e7-4071-8b52-a6f08e17c8cc" //object ID of an administrative unit
}
Válasz
HTTP/1.1 400 Bad Request
{
"odata.error":
{
"code":"Request_BadRequest",
"message":
{
"message":"The given built-in role is not supported to be assigned to a single resource scope."
}
}
}
Az Rendszergazda istrative Unit hatókörkezeléséhez csak a beépített szerepkörök egy részhalmaza engedélyezett. Tekintse meg ezt a dokumentációt a felügyeleti egység által támogatott beépített szerepkörök listájához.
GET-műveletek a RoleAssignment szolgáltatásban
A szerepkör-hozzárendelés lekéréséhez használja a List unifiedRoleAssignments API-t.
5. példa: Szerepkör-hozzárendelések lekérése egy adott taghoz
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'
Válasz
HTTP/1.1 200 OK
{
"value":[
{
"id": "mhxJMipY4UanIzy2yE-r7JIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
"roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"directoryScopeId": "/"
} ,
{
"id": "CtRxNqwabEKgwaOCHr2CGJIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
"roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
"directoryScopeId": "/"
}
]
}
6. példa: Szerepkör-hozzárendelések lekérése egy adott szerepkör-definícióhoz.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId+eq+'<object-id-or-template-id-of-role-definition>'
Válasz
HTTP/1.1 200 OK
{
"value":[
{
"id": "CtRxNqwabEKgwaOCHr2CGJIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
"roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
"directoryScopeId": "/"
}
]
}
7. példa: Szerepkör-hozzárendelés lekérése azonosító alapján.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1
Válasz
HTTP/1.1 200 OK
{
"id": "mhxJMipY4UanIzy2yE-r7JIiSDKQoTVJrLE9etXyrY0-1",
"principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
"roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"directoryScopeId": "/"
}
8. példa: Szerepkör-hozzárendelések lekérése egy adott hatókörhöz
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'
Válasz
HTTP/1.1 200 OK
{
"value":[
{
"id": "mhxJMipY4UanIzy2yE-r7JIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
"roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
} ,
{
"id": "CtRxNqwabEKgwaOCHr2CGJIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
"roleDefinitionId": "3671d40a-1aac-426c-a0c1-a3821ebd8218",
"directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
}
]
}
DELETE-műveletek a RoleAssignment szolgáltatásban
A szerepkör-hozzárendelés törléséhez használja a Delete unifiedRoleAssignment API-t.
9. példa: Szerepkör-hozzárendelés törlése egy felhasználó és egy szerepkördefiníció között.
DELETE https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1
Válasz
HTTP/1.1 204 No Content
10. példa: Már nem létező szerepkör-hozzárendelés törlése
DELETE https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1
Válasz
HTTP/1.1 404 Not Found
11. példa: Szerepkör-hozzárendelés törlése saját és globális Rendszergazda istrator szerepkördefiníció között
DELETE https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1
Válasz
HTTP/1.1 400 Bad Request
{
"odata.error":
{
"code":"Request_BadRequest",
"message":
{
"lang":"en",
"value":"Removing self from Global Administrator built-in role is not allowed"},
"values":null
}
}
}
Megakadályozzuk, hogy a felhasználók töröljék a saját globális Rendszergazda istrator szerepkörüket, hogy elkerülhessék azokat a forgatókönyveket, amelyekben a bérlők nulla globális Rendszergazda istratort használnak. Az önkiszolgáló szerepkörök eltávolítása engedélyezett.
Következő lépések
- Nyugodtan ossza meg velünk a Microsoft Entra felügyeleti szerepkörök fórumán
- További információ a szerepkör-engedélyekről: Microsoft Entra beépített szerepkörök
- Az alapértelmezett felhasználói engedélyekért tekintse meg az alapértelmezett vendég- és tagfelhasználói engedélyek összehasonlítását