次の方法で共有


roleEligibilityScheduleRequest を作成する

名前空間: microsoft.graph

PIM で、 unifiedRoleEligibilityScheduleRequest オブジェクトを介してプリンシパルのロール適格性を要求します。 この操作により、管理者と対象ユーザーの両方が、適格な割り当てを追加、取り消し、または拡張できます。

この API は、次の国内クラウド展開で使用できます。

グローバル サービス 米国政府機関 L4 米国政府機関 L5 (DOD) 21Vianet が運営する中国

アクセス許可

この API の最小特権としてマークされているアクセス許可またはアクセス許可を選択します。 アプリで必要な場合にのみ、より高い特権のアクセス許可またはアクセス許可を使用します。 委任されたアクセス許可とアプリケーションのアクセス許可の詳細については、「アクセス許可の種類」を参照してください。 これらのアクセス許可の詳細については、「アクセス許可のリファレンス」を参照してください。

アクセス許可の種類 最小特権アクセス許可 より高い特権のアクセス許可
委任 (職場または学校のアカウント) RoleEligibilitySchedule.ReadWrite.Directory RoleManagement.ReadWrite.Directory
委任 (個人用 Microsoft アカウント) サポートされていません。 サポートされていません。
アプリケーション RoleEligibilitySchedule.ReadWrite.Directory RoleManagement.ReadWrite.Directory

重要

職場または学校アカウントを使用した委任されたシナリオでは、サインインしているユーザーに、サポートされているMicrosoft Entraロールまたはサポートされているロールのアクセス許可を持つカスタム ロールを割り当てる必要があります。 この操作では、次の最小特権ロールがサポートされています。

  • 読み取り操作の場合: グローバル 閲覧者、セキュリティ オペレーター、セキュリティ閲覧者、セキュリティ管理者、または特権ロール管理者
  • 書き込み操作の場合: 特権ロール管理者

HTTP 要求

POST /roleManagement/directory/roleEligibilityScheduleRequests

要求ヘッダー

名前 説明
Authorization ベアラー {token}。 必須です。 認証と認可についての詳細をご覧ください。
Content-Type application/json. 必須です。

要求本文

要求本文で、 unifiedRoleEligibilityScheduleRequest オブジェクトの JSON 表現を指定します。

unifiedRoleEligibilityScheduleRequest を作成するときに、次のプロパティを指定できます。

プロパティ 説明
action unifiedRoleScheduleRequestActions ロールの適格性要求に対する操作の種類を表します。使用可能な値は、 adminAssignadminUpdateadminRemoveselfActivateselfDeactivateadminExtendadminRenewselfExtendselfRenewunknownFutureValueです。
  • adminAssign: 管理者がプリンシパルに適格なロールを割り当てる場合。
  • adminRemove: 管理者がプリンシパルから適格なロールを削除する場合。
  • adminUpdate: 管理者が既存のロールの適格性を変更する場合。
  • adminExtend: 管理者が期限切れのロールの適格性を拡張する場合。
  • adminRenew: 管理者が期限切れの資格を更新する場合。
  • selfActivate: ユーザーが自分の割り当てをアクティブ化します。
  • selfDeactivate: ユーザーがアクティブな割り当てを非アクティブ化する。
  • selfExtend: ユーザーが期限切れの割り当ての延長を要求する。
  • SelfRenew: ユーザーが期限切れの割り当ての更新を要求する。
appScopeId String ロールの適格性がアプリにスコープ設定されている場合のアプリ固有のスコープの識別子。 ロールの適格性のスコープによって、プリンシパルがアクセスできるリソースのセットが決まります。 アプリ スコープは、このアプリケーションによってのみ定義および理解されるスコープです。 テナント全体のアプリ スコープに / を使用します。 directoryScopeId を使用して、スコープを特定のディレクトリ オブジェクト (管理単位など) に制限します。 directoryScopeId または appScopeId が必要です。
directoryScopeId String ロールの適格性のスコープを表すディレクトリ オブジェクトの識別子。 ロールの適格性のスコープによって、プリンシパルにアクセス権が付与されているリソースのセットが決まります。 ディレクトリ スコープは、複数のアプリケーションによって認識されるディレクトリに格納されている共有スコープです。 テナント全体のスコープには / を使用します。 appScopeId を使用して、スコープをアプリケーションのみに制限します。 directoryScopeId または appScopeId が必要です。
isValidationOnly ブール型 呼び出しが検証呼び出しか実際の呼び出しかを決定します。 アクティブ化が MFA などの追加ルールの対象であるかどうかを実際に要求を送信する前にチェックする場合にのみ、このプロパティを設定します。 省略可能。
ジャスティフィケーション String 作成時にユーザーと管理者が unifiedRoleEligibilityScheduleRequest オブジェクトを作成するときに提供されるメッセージ。

selfDeactivateアクションとadminRemoveアクションの場合は省略可能です。または、Microsoft Entra ロールにリンクされているポリシーのルールによっては、他のアクションの種類に必要な場合があります。 詳細については、「 PIM のルール」を参照してください。
principalId String ロールの適格性が付与されているプリンシパルの識別子。 必須です。
roleDefinitionId String プリンシパルに割り当てられている unifiedRoleDefinition オブジェクトの識別子。 必須です。
scheduleInfo requestSchedule ロールの適格性の期間。 アクションadminRemoveされている場合は省略可能です。 資格期間は、Microsoft Entra ロールの設定によって異なります。
ticketInfo ticketInfo チケット番号とチケット システムの詳細を含む、ロール適格性要求にリンクされたチケットの詳細。

selfDeactivateアクションとadminRemoveアクションの場合は省略可能です。または、Microsoft Entra ロールにリンクされているポリシーのルールによっては、他のアクションの種類に必要な場合があります。 詳細については、「 PIM のルール」を参照してください。

応答

成功した場合、このメソッドは 201 Created 応答コードと、応答本文の unifiedRoleEligibilityScheduleRequest オブジェクトを返します。

例 1: ロールの適格性スケジュール要求を割り当てる管理

要求

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminAssign",
    "justification": "Assign Attribute Assignment Admin eligibility to restricted user",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDateTime",
            "endDateTime": "2024-04-10T00:00:00Z"
        }
    }
}

応答

注: ここに示す応答オブジェクトは、読みやすさのために短縮されている場合があります。

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "50877283-9d40-433c-bab8-7986dc10458a",
    "status": "Provisioned",
    "createdDateTime": "2022-04-12T09:05:39.7594064Z",
    "completedDateTime": "2022-04-12T09:05:41.8532931Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "50877283-9d40-433c-bab8-7986dc10458a",
    "justification": "Assign Attribute Assignment Admin eligibility to restricted user",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-12T09:05:41.8532931Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDateTime",
            "endDateTime": "2024-04-10T00:00:00Z",
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

例 2: 既存のロール適格性スケジュール要求を削除する管理

次の要求では、管理者は ID 8424c6f0-a189-499e-bbd0-26c1753c96d4を持つロールに対して ID 071cc716-8147-4397-a5ba-b2105951cc0bを持つプリンシパルの資格を取り消す要求を作成します。

要求

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminRemove",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b"
}

応答

次の例は応答を示しています。 応答オブジェクトは、プリンシパルの以前のロールの適格性が Revokedされていることを示します。 プリンシパルには、以前に適格なロールが表示されなくなります。

注: ここに示す応答オブジェクトは、読みやすさのために短縮されている場合があります。

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "f341269e-c926-41fa-a905-cef3b01b2a67",
    "status": "Revoked",
    "createdDateTime": "2022-04-12T09:12:15.6859992Z",
    "completedDateTime": null,
    "approvalId": null,
    "customData": null,
    "action": "adminRemove",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": null,
    "justification": null,
    "scheduleInfo": null,
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}