Atualizar unifiedRoleManagementPolicyRule

Namespace: microsoft.graph

Atualize uma regra definida para uma política de gerenciamento de função. A regra pode ser um dos seguintes tipos derivados do objeto unifiedRoleManagementPolicyRule :

Para obter mais informações sobre regras para Microsoft Entra funções e exemplos de regras de atualização, confira os seguintes artigos:

Essa API está disponível nas seguintes implantações nacionais de nuvem.

Serviço global Governo dos EUA L4 GOVERNO DOS EUA L5 (DOD) China operada pela 21Vianet

Permissões

Uma das seguintes permissões é necessária para chamar esta API. Para saber mais, incluindo como escolher permissões, confira Permissões.

Para funções de PIM para Microsoft Entra

Tipo de permissão Permissões (da com menos para a com mais privilégios)
Delegado (conta corporativa ou de estudante) RoleManagementPolicy.ReadWrite.Directory, RoleManagement.ReadWrite.Directory
Delegado (conta pessoal da Microsoft) Sem suporte.
Application RoleManagementPolicy.ReadWrite.Directory, RoleManagement.ReadWrite.Directory

Para cenários delegados, o usuário conectado também deve receber pelo menos uma das seguintes funções Microsoft Entra:

  • Para operações de leitura: Leitor Global, Operador de Segurança, Leitor de Segurança, Administrador de Segurança ou Administrador de Funções Privilegiadas
  • Para operações de gravação: Administrador de funções privilegiadas

Para PIM para grupos

Tipo de permissão Permissões (da com menos para a com mais privilégios)
Delegado (conta corporativa ou de estudante) RoleManagementPolicy.ReadWrite.AzureADGroup
Delegado (conta pessoal da Microsoft) Sem suporte.
Application RoleManagementPolicy.ReadWrite.AzureADGroup

Solicitação HTTP

Para atualizar uma regra definida para uma política para Microsoft Entra funções ou grupos no PIM:

PATCH /policies/roleManagementPolicies/{unifiedRoleManagementPolicyId}/rules/{unifiedRoleManagementPolicyRuleId}

Cabeçalhos de solicitação

Nome Descrição
Autorização {token} de portador. Obrigatório. Saiba mais sobre autenticação e autorização.
Content-Type application/json. Obrigatório.

Corpo da solicitação

No corpo da solicitação, forneça apenas os valores das propriedades que devem ser atualizadas. As propriedades existentes que não estão incluídas no corpo da solicitação mantêm seus valores anteriores ou são recalculadas com base em alterações em outros valores de propriedade.

A tabela a seguir especifica as propriedades que podem ser atualizadas.

Propriedade Tipo Descrição
claimValue Cadeia de caracteres O valor da declaração de contexto de autenticação.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyAuthenticationContextRule .
enableedRules String collection A coleção de regras habilitadas para essa regra de política. Por exemplo, MultiFactorAuthentication, Ticketinge Justification.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyEnablementRule .
isDefaultRecipientsEnabled Booliano Indica se um destinatário padrão receberá o email de notificação.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyNotificationRule .
isEnabled Booliano Se essa regra está habilitada.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyAuthenticationContextRule .
isExpirationRequired Booliano Indica se a expiração é necessária ou se é uma atribuição ou elegibilidade permanentemente ativa.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyExpirationRule .
maximumDuration Duração A duração máxima permitida para elegibilidade ou atribuição que não é permanente. Necessário quando isExpirationRequired é true.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyExpirationRule .
Notificationlevel Cadeia de caracteres O nível de notificação. Os valores possíveis são None, Critical, All.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyNotificationRule .
notificationRecipients Coleção String A lista de destinatários do notificações por email.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyNotificationRule .
Notificationtype Cadeia de caracteres O tipo de notificação. Só Email há suporte.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyNotificationRule .
recipientType Cadeia de caracteres O tipo de destinatário da notificação. Os valores possíveis são Requestor, Approver, Admin.
Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyNotificationRule .
configuração approvalSettings As configurações para aprovação da atribuição de função.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyApprovalRule .
destino unifiedRoleManagementPolicyRuleTarget Define detalhes do escopo que é direcionado pela regra de política de gerenciamento de função. Os detalhes podem incluir o tipo principal, o tipo de atribuição de função e as ações que afetam uma função.

Pode ser atualizado para todos os tipos de regra.

Nota: A @odata.type propriedade com um valor do tipo de regra específica deve ser incluída no corpo. Por exemplo, "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyApprovalRule".

Resposta

Se for bem-sucedido, esse método retornará um 200 OK código de resposta e um objeto unifiedRoleManagementPolicyRule no corpo da resposta.

Exemplos

Exemplo 1: atualizar uma regra definida para uma política no PIM para funções de Microsoft Entra

Solicitação

O exemplo a seguir atualiza uma regra de política de gerenciamento de função do tipo unifiedRoleManagementPolicyExpirationRule e com ID é Expiration_EndUser_Assignment.

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/DirectoryRole_84841066-274d-4ec0-a5c1-276be684bdd3_200ec19a-09e7-4e7a-9515-cf1ee64b96f9/rules/Expiration_EndUser_Assignment
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "@odata.type": "microsoft.graph.unifiedRoleManagementPolicyRuleTarget",
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Resposta

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/roleManagementPolicies('DirectoryRole_84841066-274d-4ec0-a5c1-276be684bdd3_200ec19a-09e7-4e7a-9515-cf1ee64b96f9')/rules/$entity",
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Exemplo 2: atualizar uma regra definida para uma política no PIM para grupos

Solicitação

O exemplo a seguir atualiza uma regra de política de gerenciamento de função com ID Expiration_EndUser_Assignment.

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/Group_60bba733-f09d-49b7-8445-32369aa066b3_f21b26d9-9ff9-4af1-b1d4-bddf28591369/rules/Expiration_EndUser_Assignment
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Resposta

O exemplo a seguir mostra a resposta.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/roleManagementPolicies('Group_60bba733-f09d-49b7-8445-32369aa066b3_f21b26d9-9ff9-4af1-b1d4-bddf28591369')/rules/$entity",
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}