unifiedRolePermission リソースの種類

名前空間: microsoft.graph

重要

Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。

許可されるリソース アクションのコレクションと、アクションを有効にするために満たす必要がある条件を表します。 リソース アクションは、リソースに対して実行できるタスクです。 たとえば、アプリケーション リソースでは、パスワード リソースアクションの作成、更新、削除、リセットがサポートされています。

プロパティ

プロパティ	型	説明
allowedResourceActions	String collection	リソースに対して実行できるタスクのセット。
条件	String	アクセス許可を有効にするために満たす必要があるオプションの制約。 カスタム ロールではサポートされていません。

allowedResourceActions プロパティ

リソース アクションのスキーマを次に示します。

{Namespace}/{Entity}/{PropertySet}/{Action}  

例: microsoft.directory/applications/credentials/update。

• {Namespace} - タスクを公開するサービス。 たとえば、Microsoft Entra ID 内のすべてのタスクでは、名前空間 microsoft.directoryが使用されます。
• {Entity} - Microsoft Graph でサービスによって公開される論理機能またはコンポーネント。 (applications、servicePrincipals、または groups など)。
• {PropertySet} - 省略可能。 アクセス権が付与されているエンティティの特定のプロパティまたは側面。 たとえば、 microsoft.directory/applications/authentication/read は、Microsoft Entra ID で アプリケーション オブジェクトの応答 URL、ログアウト URL、および暗黙的なフロー プロパティを読み取る機能を付与します。 共通プロパティ セットの予約名を次に示します。
  • allProperties - 特権プロパティを含む、エンティティのすべてのプロパティを指定します。 例としては、 microsoft.directory/applications/allProperties/read と microsoft.directory/applications/allProperties/updateなどがあります。
  • basic - 共通の読み取りプロパティを指定しますが、特権を持つプロパティは除外します。 たとえば、 microsoft.directory/applications/basic/update には、表示名などの標準プロパティを更新する機能が含まれています。
  • standard - 一般的な更新プロパティを指定しますが、特権を持つプロパティは除外します。 たとえば、「 microsoft.directory/applications/standard/read 」のように入力します。
• {Actions} - 付与される操作。 ほとんどの場合、アクセス許可は CRUD 操作または allTasksの観点から表す必要があります。 "アクション" に含まれている項目:
  • create - エンティティの新しいインスタンスを作成する機能。
  • read - 特定のプロパティ セット (allProperties を含む) を読み取る機能。
  • update - 特定のプロパティ セット (allProperties を含む) を更新する機能。
  • delete - 特定のエンティティを削除する機能。
  • allTasks - すべての CRUD 操作 (作成、読み取り、更新、削除) を表します。

condition プロパティ

条件は、満たす必要がある制約を定義します。 たとえば、プリンシパルがターゲットの "所有者" であるという要件です。 サポートされる条件を次に示します。

• Self: "$ResourceIsSelf"
• 所有者: "$SubjectIsOwner"

条件を持つロールのアクセス許可の例を次に示します。

"rolePermissions": [
        {
            "allowedResourceActions": [
                "microsoft.directory/applications/basic/update",
                "microsoft.directory/applications/credentials/update"
            ],
            "condition":  "$SubjectIsOwner"
        }
    ]

条件は、カスタム ロールではサポートされていません。

リレーションシップ

なし。

JSON 表記

次の JSON 表現は、リソースの種類を示しています。

{
  "allowedResourceActions": ["String"],
  "condition": "String"
}

関連コンテンツ

• Microsoft Entra の管理者ロールのアクセス許可 - 組み込みのディレクトリ ロールのアクセス許可について説明します。
• Microsoft Entra ID のアプリケーション登録サブタイプとアクセス許可 - カスタム ディレクトリ ロールで使用できるアクセス許可について説明します。