次の方法で共有


authorizationPolicy の更新

名前空間: microsoft.graph

重要

Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。

authorizationPolicy オブジェクトのプロパティを更新します。

この API は、次の国内クラウド展開で使用できます。

グローバル サービス 米国政府機関 L4 米国政府機関 L5 (DOD) 21Vianet が運営する中国

アクセス許可

この API の最小特権としてマークされているアクセス許可またはアクセス許可を選択します。 アプリで必要な場合にのみ、より高い特権のアクセス許可またはアクセス許可を使用します。 委任されたアクセス許可とアプリケーションのアクセス許可の詳細については、「アクセス許可の種類」を参照してください。 これらのアクセス許可の詳細については、「アクセス許可のリファレンス」を参照してください。

アクセス許可の種類 最小特権アクセス許可 より高い特権のアクセス許可
委任 (職場または学校のアカウント) Policy.ReadWrite.Authorization 注意事項なし。
委任 (個人用 Microsoft アカウント) サポートされていません。 サポートされていません。
アプリケーション Policy.ReadWrite.Authorization 注意事項なし。

委任されたシナリオの場合、ユーザーは特権ロール管理者Microsoft Entraロールを持っている必要があります。

HTTP 要求

PATCH /policies/authorizationPolicy/authorizationPolicy

要求ヘッダー

名前 説明
Authorization ベアラー {token}。 必須です。 認証と認可についての詳細をご覧ください。
Content-type application/json

要求本文

要求本文で、更新するプロパティの値 のみを 指定します。 要求本文に含まれていない既存のプロパティは、以前の値を維持するか、他のプロパティ値の変更に基づいて再計算されます。

次の表に、更新できるプロパティを示します。

プロパティ 説明
allowEmailVerifiedUsersToJoinOrganization ブール型 ユーザーが電子メールの検証によってテナントに参加できるかどうかを示します。
allowUserConsentForRiskyApps ブール型 危険なアプリに対するユーザーの同意を許可するかどうかを示します。 既定値は、false です。 値は false に設定しておくことをお勧めします。
allowedToSignUpEmailBasedSubscriptions ブール型 ユーザーがメール ベースのサブスクリプションにサインアップできるかどうかを示します。
allowedToUseSSPR ブール型 テナントの管理者が Self-Service パスワード リセット (SSPR) を使用できるかどうかを示します。 詳細については、「 管理者向けのセルフサービス パスワード リセット」を参照してください。
blockMsolPowerShell ブール型 MSOL PowerShell の使用を無効にするには、このプロパティを true に設定します。 これにより、MSOL PowerShell で使用されるレガシ サービス エンドポイントへのユーザー ベースのアクセスも無効になります。 これは、Microsoft Entra Connect または Microsoft Graph には影響しません。
defaultUserRolePermissions defaultUserRolePermissions 既定のユーザー ロールの特定のカスタマイズ可能なアクセス許可を指定します。
説明 String このポリシーの説明。
displayName String このポリシーの表示名。
enabledPreviewFeatures String collection テナントでプライベート プレビューが有効になっている機能の一覧。
guestUserRoleId Guid ゲスト ユーザーに付与する必要があるロールのロール templateId を表します。 使用可能なロール テンプレートの 一覧については、「list unifiedRoleDefinitions 」を参照してください。 現在サポートされているロールは、ユーザー (a0b1b346-4d3e-4e8b-98f8-753987be4970)、ゲスト ユーザー (10dae51f-b6af-4016-8d66-8c2a99b929b3)、制限付きゲスト ユーザー (2af84b1e-32c8-42b7-82bc-daa82404023b) のみです。
permissionGrantPolicyIdsAssignedToDefaultUserRole String collection アプリに対するユーザーの同意が許可されているかどうかを示し、許可されている場合は、どの アプリの同意ポリシー が、ユーザーが同意を付与するためのアクセス許可を管理するかを示します。 値はmanagePermissionGrantsForSelf.{id}形式である必要があります。ここで、{id}は組み込みまたはカスタム アプリの同意ポリシーID です。 空のリストは、アプリに対するユーザーの同意が無効になっていることを示します。

応答

成功した場合、このメソッドは 204 No Content 応答コードを返します。 応答本文では何も返されません。

例 1: テナントのゲスト ユーザー アクセス レベルを更新または設定する

要求

次の例は要求を示しています。 この例では、ゲスト アクセス レベルが制限付きゲスト ユーザーに変更されています。

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "guestUserRole":"2af84b1e-32c8-42b7-82bc-daa82404023b"
}

応答

次の例は応答を示しています。

HTTP/1.1 204 No Content

例 2: テナントでプレビューの新機能を有効にする

要求

次の例は要求を示しています。

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "enabledPreviewFeatures":[
      "assignGroupsToRoles"
   ]
}

応答

次の例は応答を示しています。

HTTP/1.1 204 No Content

例 3: テナントで MSOL PowerShell をブロックする

要求

次の例は要求を示しています。

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "blockMsolPowerShell":true
}

応答

次の例は応答を示しています。

HTTP/1.1 204 No Content

例 4: アプリケーションを作成するための既定のユーザー ロールのアクセス許可を無効にする

要求

次の例は要求を示しています。

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "defaultUserRolePermissions":{
      "allowedToCreateApps":false
   }
}

応答

次の例は応答を示しています。

HTTP/1.1 204 No Content

例 5: 既定のユーザー ロールを有効にして、パスワード リセット機能 Self-Serve 使用する

要求

次の例は要求を示しています。

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "allowedToUseSSPR":true
}

応答

次の例は応答を示しています。

HTTP/1.1 204 No Content

要求

次の例は要求を示しています。

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "permissionGrantPolicyIdsAssignedToDefaultUserRole":[
   
   ]
}

応答

次の例は応答を示しています。

HTTP/1.1 204 No Content

要求

次の例は、検証された発行元または同じテナントに登録されているクライアント アプリに対してmicrosoft-user-default-low、"low" に分類された委任されたアクセス許可を許可する、組み込みのアプリ同意ポリシーに従って、アプリへのユーザーの同意を許可する要求を示しています。

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "permissionGrantPolicyIdsAssignedToDefaultUserRole":[
      "managePermissionGrantsForSelf.microsoft-user-default-low"
   ]
}

応答

次の例は応答を示しています。

HTTP/1.1 204 No Content