Criar roleEligibilityScheduleRequest

  • Artigo

Namespace: microsoft.graph

No PIM, solicite uma qualificação de função para uma entidade de segurança por meio do objeto unifiedRoleEligibilityScheduleRequest . Essa operação permite que administradores e usuários qualificados adicionem, revoguem ou estendam atribuições qualificadas.

Essa API está disponível nas seguintes implantações nacionais de nuvem.

Serviço global Governo dos EUA L4 GOVERNO DOS EUA L5 (DOD) China operada pela 21Vianet

Permissões

Escolha a permissão ou as permissões marcadas como menos privilegiadas para essa API. Use uma permissão ou permissões privilegiadas mais altas somente se o aplicativo exigir. Para obter detalhes sobre permissões delegadas e de aplicativo, consulte Tipos de permissão. Para saber mais sobre essas permissões, consulte a referência de permissões.

Tipo de permissão Permissões menos privilegiadas Permissões privilegiadas mais altas
Delegado (conta corporativa ou de estudante) RoleEligibilitySchedule.ReadWrite.Directory RoleManagement.ReadWrite.Directory
Delegado (conta pessoal da Microsoft) Sem suporte. Sem suporte.
Application RoleManagement.ReadWrite.Directory Indisponível.

Para cenários delegados, o usuário conectado também deve receber pelo menos uma das seguintes funções Microsoft Entra:

  • Para operações de leitura: Leitor Global, Operador de Segurança, Leitor de Segurança, Administrador de Segurança ou Administrador de Funções Privilegiadas
  • Para operações de gravação: Administrador de funções privilegiadas

Solicitação HTTP

POST /roleManagement/directory/roleEligibilityScheduleRequests

Cabeçalhos de solicitação

Nome Descrição
Autorização {token} de portador. Obrigatório. Saiba mais sobre autenticação e autorização.
Content-Type application/json. Obrigatório.

Corpo da solicitação

No corpo da solicitação, forneça uma representação JSON do objeto unifiedRoleEligibilityScheduleRequest .

Você pode especificar as propriedades a seguir ao criar um unifiedRoleEligibilityScheduleRequest.

Propriedade Tipo Descrição
ação unifiedRoleScheduleRequestActions Representa o tipo de operação na solicitação de elegibilidade de função. Os valores possíveis são: adminAssign, , adminUpdate, adminRemove, selfActivate, selfDeactivate, adminExtend, adminRenew, selfExtend, selfRenew, . unknownFutureValue
  • adminAssign: para que os administradores atribuam funções qualificadas a entidades de segurança.
  • adminRemove: para os administradores removerem funções qualificadas das entidades de segurança.
  • adminUpdate: para os administradores alterarem as elegibilidades de função existentes.
  • adminExtend: para os administradores estenderem as elegibilidades de função expirando.
  • adminRenew: para os administradores renovarem as elegibilidades expiradas.
  • selfActivate: para os usuários ativarem suas atribuições.
  • selfDeactivate: para os usuários desativarem suas atribuições ativas.
  • selfExtend: para os usuários solicitarem para estender suas atribuições expirando.
  • SelfRenew: para os usuários solicitarem a renovação de suas atribuições expiradas.
appScopeId Cadeia de caracteres Identificador do escopo específico do aplicativo quando a elegibilidade da função é escopo para um aplicativo. O escopo de uma elegibilidade de função determina o conjunto de recursos para o qual a entidade de segurança é qualificada para acessar. Escopos de aplicativo são escopos definidos e compreendidos apenas por este aplicativo. Use / para escopos de aplicativo em todo o locatário. Use directoryScopeId para limitar o escopo a objetos de diretório específicos, por exemplo, unidades administrativas. O directoryScopeId ou o appScopeId são necessários.
directoryScopeId Cadeia de caracteres Identificador do objeto de diretório que representa o escopo da elegibilidade da função. O escopo de uma elegibilidade de função determina o conjunto de recursos para o qual a entidade de segurança recebeu acesso. Escopos de diretório são escopos compartilhados armazenados no diretório que são compreendidos por vários aplicativos. Use / para escopo em todo o locatário. Use appScopeId para limitar o escopo apenas a um aplicativo. O directoryScopeId ou o appScopeId são necessários.
isValidationOnly Booliano Determina se a chamada é uma validação ou uma chamada real. Apenas defina essa propriedade se você quiser marcar se uma ativação está sujeita a regras adicionais como mfa antes de realmente enviar a solicitação. Opcional.
Justificação Cadeia de caracteres Uma mensagem fornecida por usuários e administradores ao criar o objeto unifiedRoleEligibilityScheduleRequest .

Opcional para selfDeactivate e adminRemove ações; pode ser opcional ou necessário para outros tipos de ação, dependendo das regras na política vinculada à função Microsoft Entra. Para obter mais informações, consulte Regras no PIM.
principalId Cadeia de caracteres Identificador da entidade de segurança que recebeu a elegibilidade da função. Obrigatório.
roleDefinitionId Cadeia de caracteres Identificador do objeto unifiedRoleDefinition que está sendo atribuído à entidade de segurança. Obrigatório.
scheduleInfo requestSchedule O período da elegibilidade da função. Opcional quando a ação é adminRemove. O período de elegibilidade depende das configurações da função Microsoft Entra.
ticketInfo ticketInfo Detalhes do tíquete vinculados à solicitação de elegibilidade da função, incluindo detalhes do número do tíquete e do sistema de tíquetes.

Opcional para selfDeactivate e adminRemove ações; pode ser opcional ou necessário para outros tipos de ação, dependendo das regras na política vinculada à função Microsoft Entra. Para obter mais informações, consulte Regras no PIM.

Resposta

Se for bem-sucedido, esse método retornará um 201 Created código de resposta e um objeto unifiedRoleEligibilityScheduleRequest no corpo da resposta.

Exemplos

Exemplo 1: Administração atribuir uma solicitação de agendamento de qualificação de função

Solicitação

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminAssign",
    "justification": "Assign Attribute Assignment Admin eligibility to restricted user",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDateTime",
            "endDateTime": "2024-04-10T00:00:00Z"
        }
    }
}

Resposta

Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "50877283-9d40-433c-bab8-7986dc10458a",
    "status": "Provisioned",
    "createdDateTime": "2022-04-12T09:05:39.7594064Z",
    "completedDateTime": "2022-04-12T09:05:41.8532931Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "50877283-9d40-433c-bab8-7986dc10458a",
    "justification": "Assign Attribute Assignment Admin eligibility to restricted user",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-12T09:05:41.8532931Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDateTime",
            "endDateTime": "2024-04-10T00:00:00Z",
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Exemplo 2: Administração remover uma solicitação de agendamento de elegibilidade de função existente

Na solicitação a seguir, o administrador cria uma solicitação para revogar a qualificação de uma entidade com ID 071cc716-8147-4397-a5ba-b2105951cc0b para uma função com ID 8424c6f0-a189-499e-bbd0-26c1753c96d4.

Solicitação

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminRemove",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b"
}

Resposta

O exemplo a seguir mostra a resposta. O objeto de resposta mostra que uma elegibilidade de função anterior para uma entidade de segurança é Revoked. A entidade de segurança não verá mais sua função qualificada anteriormente.

Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "f341269e-c926-41fa-a905-cef3b01b2a67",
    "status": "Revoked",
    "createdDateTime": "2022-04-12T09:12:15.6859992Z",
    "completedDateTime": null,
    "approvalId": null,
    "customData": null,
    "action": "adminRemove",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": null,
    "justification": null,
    "scheduleInfo": null,
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}