Compartilhar via

Criar roleEligibilityScheduleRequest

  • Artigo

Namespace: microsoft.graph

No PIM, peça uma elegibilidade de função para um principal através do objeto unifiedRoleEligibilityScheduleRequest . Esta operação permite que os administradores e os utilizadores elegíveis adicionem, revoguem ou expandam atribuições elegíveis.

Esta API está disponível nas seguintes implementações de cloud nacionais.

Serviço global US Government L4 US Government L5 (DOD) China operada pela 21Vianet

Permissões

Escolha a permissão ou permissões marcadas como menos privilegiadas para esta API. Utilize uma permissão ou permissões com privilégios mais elevados apenas se a sua aplicação o exigir. Para obter detalhes sobre as permissões delegadas e de aplicação, veja Tipos de permissão. Para saber mais sobre estas permissões, veja a referência de permissões.

Tipo de permissão Permissões com menos privilégios Permissões com privilégios superiores
Delegado (conta corporativa ou de estudante) RoleEligibilitySchedule.ReadWrite.Directory RoleManagement.ReadWrite.Directory
Delegado (conta pessoal da Microsoft) Sem suporte. Sem suporte.
Application RoleEligibilitySchedule.ReadWrite.Directory RoleManagement.ReadWrite.Directory

Importante

Em cenários delegados com contas escolares ou profissionais, o utilizador com sessão iniciada tem de ter uma função de Microsoft Entra suportada ou uma função personalizada com uma permissão de função suportada. As seguintes funções com menos privilégios são suportadas para esta operação.

  • Para operações de leitura: Leitor Global, Operador de Segurança, Leitor de Segurança, Administrador de Segurança ou Administrador de Função Privilegiada
  • Para operações de escrita: Administrador de Funções Com Privilégios

Solicitação HTTP

POST /roleManagement/directory/roleEligibilityScheduleRequests

Cabeçalhos de solicitação

Nome Descrição
Autorização {token} de portador. Obrigatório. Saiba mais sobre autenticação e autorização.
Content-Type application/json. Obrigatório.

Corpo da solicitação

No corpo do pedido, forneça uma representação JSON do objeto unifiedRoleEligibilityScheduleRequest .

Pode especificar as seguintes propriedades ao criar um unifiedRoleEligibilityScheduleRequest.

Propriedade Tipo Descrição
ação unifiedRoleScheduleRequestActions Representa o tipo de operação no pedido de elegibilidade de função. Os valores possíveis são: adminAssign, , adminUpdate, adminRemoveselfActivate, , adminExtendselfDeactivate, adminRenew, selfExtend, , , . unknownFutureValueselfRenew
  • adminAssign: para que os administradores atribuam funções elegíveis a principais.
  • adminRemove: para os administradores removerem funções elegíveis dos principais.
  • adminUpdate: para os administradores alterarem as elegibilidades de funções existentes.
  • adminExtend: Para que os administradores expandam as elegibilidades das funções prestes a expirar.
  • adminRenew: Para os administradores renovarem as elegibilidades expiradas.
  • selfActivate: para que os utilizadores ativem as respetivas atribuições.
  • selfDeactivate: para os utilizadores desativarem as respetivas atribuições ativas.
  • selfExtend: para que os utilizadores peçam para prolongar as atribuições prestes a expirar.
  • SelfRenew: para os utilizadores pedirem a renovação das respetivas atribuições expiradas.
appScopeId Cadeia de caracteres Identificador do âmbito específico da aplicação quando a elegibilidade da função está confinada a uma aplicação. O âmbito de uma elegibilidade de função determina o conjunto de recursos aos quais o principal é elegível para aceder. Os âmbitos da aplicação são âmbitos definidos e compreendidos apenas por esta aplicação. Utilize / para âmbitos de aplicações ao nível do inquilino. Utilize directoryScopeId para limitar o âmbito a determinados objetos de diretório, por exemplo, unidades administrativas. O directoryScopeId ou o appScopeId são necessários.
directoryScopeId Cadeia de caracteres Identificador do objeto de diretório que representa o âmbito da elegibilidade da função. O âmbito de uma elegibilidade de função determina o conjunto de recursos ao qual foi concedido acesso ao principal. Os âmbitos de diretório são âmbitos partilhados armazenados no diretório que são compreendidos por várias aplicações. Utilize / para o âmbito ao nível do inquilino. Utilize appScopeId para limitar o âmbito apenas a uma aplicação. O directoryScopeId ou o appScopeId são necessários.
isValidationOnly Booliano Determina se a chamada é uma validação ou uma chamada real. Defina esta propriedade apenas se quiser marcar se uma ativação está sujeita a regras adicionais, como a MFA, antes de submeter realmente o pedido. Opcional.
justificação Cadeia de caracteres Uma mensagem fornecida por utilizadores e administradores ao criar criam o objeto unifiedRoleEligibilityScheduleRequest .

Opcional para selfDeactivate e adminRemove ações; pode ser opcional ou necessário para outros tipos de ação consoante as regras na política que está ligada à função Microsoft Entra. Para obter mais informações, veja Regras no PIM.
principalId Cadeia de caracteres Identificador do principal ao qual foi concedida a elegibilidade da função. Obrigatório.
roleDefinitionId Cadeia de caracteres Identificador do objeto unifiedRoleDefinition que está a ser atribuído ao principal. Obrigatório.
scheduleInfo requestSchedule O período de elegibilidade da função. Opcional quando a ação é adminRemove. O período de elegibilidade depende das definições da função Microsoft Entra.
ticketInfo ticketInfo Detalhes do pedido de suporte associados ao pedido de elegibilidade da função, incluindo detalhes do número do pedido de suporte e do sistema de pedidos de suporte.

Opcional para selfDeactivate e adminRemove ações; pode ser opcional ou necessário para outros tipos de ação consoante as regras na política que está ligada à função Microsoft Entra. Para obter mais informações, veja Regras no PIM.

Resposta

Se for bem-sucedido, este método devolve um 201 Created código de resposta e um objeto unifiedRoleEligibilityScheduleRequest no corpo da resposta.

Exemplos

Exemplo 1: Administração para atribuir um pedido de agendamento de elegibilidade de função

Solicitação

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminAssign",
    "justification": "Assign Attribute Assignment Admin eligibility to restricted user",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDateTime",
            "endDateTime": "2024-04-10T00:00:00Z"
        }
    }
}

Resposta

Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "50877283-9d40-433c-bab8-7986dc10458a",
    "status": "Provisioned",
    "createdDateTime": "2022-04-12T09:05:39.7594064Z",
    "completedDateTime": "2022-04-12T09:05:41.8532931Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "50877283-9d40-433c-bab8-7986dc10458a",
    "justification": "Assign Attribute Assignment Admin eligibility to restricted user",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-12T09:05:41.8532931Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDateTime",
            "endDateTime": "2024-04-10T00:00:00Z",
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Exemplo 2: Administração para remover um pedido de agendamento de elegibilidade de função existente

No pedido seguinte, o administrador cria um pedido para revogar a elegibilidade de um principal com ID 071cc716-8147-4397-a5ba-b2105951cc0b para uma função com o ID 8424c6f0-a189-499e-bbd0-26c1753c96d4.

Solicitação

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminRemove",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b"
}

Resposta

O exemplo a seguir mostra a resposta. O objeto de resposta mostra que uma elegibilidade de função anterior para um principal é Revoked. O principal deixará de ver a função anteriormente elegível.

Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "f341269e-c926-41fa-a905-cef3b01b2a67",
    "status": "Revoked",
    "createdDateTime": "2022-04-12T09:12:15.6859992Z",
    "completedDateTime": null,
    "approvalId": null,
    "customData": null,
    "action": "adminRemove",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": null,
    "justification": null,
    "scheduleInfo": null,
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}