次の方法で共有


unifiedRolePermission リソースの種類

名前空間: microsoft.graph

許可されるリソース アクションのコレクションと、アクションを許可するために満たす必要がある条件を表します。 リソース アクションは、リソースに対して実行できるタスクです。 たとえば、アプリケーション リソースは、パスワードアクションの作成、更新、削除、リセットをサポートする場合があります。

プロパティ

プロパティ 説明
allowedResourceActions String collection リソースに対して実行できるタスクのセット。 必須です。
条件 String アクセス許可を有効にするために満たす必要があるオプションの制約。 カスタム ロールではサポートされていません。
excludedResourceActions String collection リソースに対して実行できない可能性がある一連のタスク。 まだサポートされていません。

allowedResourceActions プロパティ

リソース アクションのスキーマを次に示します。

{Namespace}/{Entity}/{PropertySet}/{Action}  

例: microsoft.directory/applications/credentials/update

  • {Namespace} - タスクを公開するサービス。 たとえば、Microsoft Entra ID 内のすべてのタスクでは、名前空間 microsoft.directoryが使用されます。
  • {Entity} - Microsoft Graph でサービスによって公開される論理機能またはコンポーネント。 (applicationsservicePrincipals、または groups など)。
  • {PropertySet} - 省略可能。 アクセス権が付与されているエンティティの特定のプロパティまたは側面。 たとえば、 microsoft.directory/applications/authentication/read は、Microsoft Entra ID で アプリケーション オブジェクトの応答 URL、ログアウト URL、および暗黙的なフロー プロパティを読み取る機能を付与します。 共通プロパティ セットの予約名を次に示します。
    • allProperties - 特権プロパティを含む、エンティティのすべてのプロパティを指定します。 例としては、 microsoft.directory/applications/allProperties/readmicrosoft.directory/applications/allProperties/updateなどがあります。
    • basic - 共通の読み取りプロパティを指定しますが、特権を持つプロパティは除外します。 たとえば、 microsoft.directory/applications/basic/update には、表示名などの標準プロパティを更新する機能が含まれています。
    • standard - 一般的な更新プロパティを指定しますが、特権を持つプロパティは除外します。 たとえば、「 microsoft.directory/applications/standard/read 」のように入力します。
  • {Actions} - 付与される操作。 ほとんどの場合、アクセス許可は CRUD 操作または allTasksの観点から表す必要があります。 "アクション" に含まれている項目:
    • create - エンティティの新しいインスタンスを作成する機能。
    • read - 特定のプロパティ セット (allProperties を含む) を読み取る機能。
    • update - 特定のプロパティ セット (allProperties を含む) を更新する機能。
    • delete - 特定のエンティティを削除する機能。
    • allTasks - すべての CRUD 操作 (作成、読み取り、更新、削除) を表します。

condition プロパティ

条件は、満たす必要がある制約を定義します。 たとえば、プリンシパルがターゲット リソースの所有者であるという要件です。 サポートされる条件を次に示します。

  • Self: "@Subject.objectId == @Resource.objectId"
  • Owner: "@Subject.objectId Any_of @Resource.owners"

プリンシパルがターゲット リソースの所有者であるという条件を持つロールアクセス許可の例を次に示します。

"rolePermissions": [
        {
            "allowedResourceActions": [
                "microsoft.directory/applications/basic/update",
                "microsoft.directory/applications/credentials/update"
            ],
            "condition":  "@Subject.objectId Any_of @Resource.owners"
        }
    ]

条件は、カスタム ロールではサポートされていません。

JSON 表記

次の JSON 表現は、リソースの種類を示しています。

{
  "@odata.type": "#microsoft.graph.unifiedRolePermission",
  "allowedResourceActions": ["String"],
  "excludedResourceActions": ["String"],
  "condition": "String"
}