unifiedRolePermission tipo de recurso
Namespace: microsoft.graph
Representa uma coleção de ações de recursos permitidas e as condições que têm de ser cumpridas para que a ação seja permitida. As ações de recursos são tarefas que podem ser executadas num recurso. Por exemplo, um recurso de aplicação pode suportar ações de criação, atualização, eliminação e reposição de palavra-passe.
Propriedades
Propriedade | Tipo | Descrição |
---|---|---|
allowedResourceActions | String collection | Conjunto de tarefas que podem ser executadas num recurso. Obrigatório. |
condição | Cadeia de caracteres | Restrições opcionais que têm de ser cumpridas para que a permissão seja eficaz. Não é suportado para funções personalizadas. |
excludedResourceActions | String collection | Conjunto de tarefas que podem não ser executadas num recurso. Ainda não é suportado. |
propriedade allowedResourceActions
Segue-se o esquema para ações de recursos:
{Namespace}/{Entity}/{PropertySet}/{Action}
Por exemplo: microsoft.directory/applications/credentials/update
.
-
{Namespace} - Os serviços que expõem a tarefa. Por exemplo, todas as tarefas no Microsoft Entra ID utilizam o espaço de nomes
microsoft.directory
. -
{Entity} - As funcionalidades lógicas ou componentes expostos pelo serviço no Microsoft Graph. Por exemplo,
applications
,servicePrincipals
ougroups
. -
{PropertySet} - Opcional. As propriedades ou aspetos específicos da entidade para a qual o acesso está a ser concedido. Por exemplo,
microsoft.directory/applications/authentication/read
concede a capacidade de ler o URL de resposta, o URL de fim de sessão e a propriedade de fluxo implícito no objeto da aplicação no Microsoft Entra ID. Seguem-se nomes reservados para conjuntos de propriedades comuns:-
allProperties
- Designa todas as propriedades da entidade, incluindo propriedades privilegiadas. Os exemplos incluemmicrosoft.directory/applications/allProperties/read
emicrosoft.directory/applications/allProperties/update
. -
basic
- Designa propriedades de leitura comuns, mas exclui as que têm privilégios. Por exemplo,microsoft.directory/applications/basic/update
inclui a capacidade de atualizar propriedades padrão, como o nome a apresentar. -
standard
- Designa propriedades de atualização comuns, mas exclui as que têm privilégios. Por exemplo,microsoft.directory/applications/standard/read
.
-
-
{Actions} - As operações que estão a ser concedidas. Na maioria das circunstâncias, as permissões devem ser expressas em termos de operações CRUD ou
allTasks
. Ações incluem:-
create
- A capacidade de criar uma nova instância da entidade. -
read
- A capacidade de ler um determinado conjunto de propriedades (incluindo allProperties). -
update
- A capacidade de atualizar um determinado conjunto de propriedades (incluindo allProperties). -
delete
- A capacidade de eliminar uma determinada entidade. -
allTasks
- Representa todas as operações CRUD (criar, ler, atualizar e eliminar).
-
propriedade condition
As condições definem restrições que têm de ser cumpridas. Por exemplo, um requisito de que o principal seja proprietário do recurso de destino. Seguem-se as condições suportadas:
-
Self
: "@Subject.objectId == @Resource.objectId" -
Owner
: "@Subject.objectId Any_of @Resource.owners"
Segue-se um exemplo de uma permissão de função com uma condição de que o principal seja o proprietário do recurso de destino.
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
],
"condition": "@Subject.objectId Any_of @Resource.owners"
}
]
As condições não são suportadas para funções personalizadas.
Representação JSON
A representação JSON seguinte mostra o tipo de recurso.
{
"@odata.type": "#microsoft.graph.unifiedRolePermission",
"allowedResourceActions": ["String"],
"excludedResourceActions": ["String"],
"condition": "String"
}
Conteúdo relacionado
- Permissões de função de administrador no Microsoft Entra – para obter informações sobre permissões para funções de diretório incorporadas.
- Subtipos e permissões de registo de aplicações no Microsoft Entra ID – para obter informações sobre as permissões que estão disponíveis para funções de diretório personalizadas.