Удаление элемента роли каталога
Пространство имен: microsoft.graph
Примечание.
Корпорация Майкрософт рекомендует использовать вместо этого API унифицированный API RBAC. Единый API RBAC обеспечивает большую функциональность и гибкость. Дополнительные сведения см. в статье Удаление unifiedRoleAssignment.
Удаление элемента из каталогаRole.
С этим API можно использовать идентификатор объекта и идентификатор шаблона каталогаRole . Идентификатор шаблона встроенной роли неизменяем и можно увидеть в описании роли на Центр администрирования Microsoft Entra. Дополнительные сведения см. в разделе Идентификаторы шаблонов ролей.
Этот API доступен в следующих национальных облачных развертываниях.
| Глобальная служба | Правительство США L4 | Правительство США L5 (DOD) | Китай управляется 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Разрешения
Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более привилегированное разрешение или разрешения только в том случае, если это требуется приложению. Дополнительные сведения о делегированных разрешениях и разрешениях приложений см. в разделе Типы разрешений. Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.
| Тип разрешения | Разрешения с наименьшими привилегиями | Более высокие привилегированные разрешения |
|---|---|---|
| Делегированные (рабочая или учебная учетная запись) | RoleManagement.ReadWrite.Directory | Недоступно. |
| Делегированные (личная учетная запись Майкрософт) | Не поддерживается. | Не поддерживается. |
| Приложение | RoleManagement.ReadWrite.Directory | Недоступно. |
Важно!
В делегированных сценариях с рабочими или учебными учетными записями вошедшему пользователю должна быть назначена поддерживаемая роль Microsoft Entra или настраиваемая роль с разрешением поддерживаемой роли. Администратор привилегированных ролей — это наименее привилегированная роль, поддерживаемая для этой операции.
HTTP-запрос
Вы можете обратиться к роли каталога, используя ее идентификатор или roleTemplateId.
DELETE /directoryRoles/{role-id}/members/{id}/$ref
DELETE /directoryRoles(roleTemplateId='{roleTemplateId}')/members/{id}/$ref
Предостережение
Если /$ref не добавляется к запросу и вызывающее приложение имеет разрешения на управление объектом-членом, объект также будет удален из Microsoft Entra ID; в противном случае 403 Forbidden возвращается ошибка. Определенные объекты можно восстановить с помощью API восстановления удаленных элементов.
Заголовки запросов
| Имя | Описание |
|---|---|
| Авторизация | Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации. |
Текст запроса
Не указывайте текст запроса для этого метода.
Отклик
В случае успешного выполнения этот метод возвращает код отклика 204 No Content. Он не возвращает ничего в теле ответа.
Примеры
Пример 1. Удаление члена роли каталога с помощью идентификатора роли
Запрос
В этом примере замените f8e85ed8-f66f-4058-b170-3efae8b9c6e5 значением id роли каталога и bb165b45-151c-4cf6-9911-cd7188912848значением идентификатора пользователя или объекта каталога, который требуется отменить из роли каталога.
DELETE https://graph.microsoft.com/v1.0/directoryRoles/f8e85ed8-f66f-4058-b170-3efae8b9c6e5/members/bb165b45-151c-4cf6-9911-cd7188912848/$ref
Отклик
HTTP/1.1 204 No Content
Пример 2. Удаление члена роли каталога с помощью roleTemplateId
Запрос
Ниже показан пример запроса. Замените 9f06204d-73c1-4d4c-880a-6edb90606fd8 значением roleTemplateId и bb165b45-151c-4cf6-9911-cd7188912848значением идентификатора пользователя объекта каталога.
DELETE https://graph.microsoft.com/v1.0/directoryRoles(roleTemplateId='9f06204d-73c1-4d4c-880a-6edb90606fd8')/members/bb165b45-151c-4cf6-9911-cd7188912848/$ref
Отклик
HTTP/1.1 204 No Content