Тип ресурса unifiedRolePermission
Пространство имен: microsoft.graph
Представляет коллекцию разрешенных действий ресурсов и условий, которые должны быть выполнены, чтобы действие было разрешено. Действия с ресурсами — это задачи, которые могут выполняться с ресурсом. Например, ресурс приложения может поддерживать действия по созданию, обновлению, удалению и сбросу пароля.
Свойства
Свойство | Тип | Описание |
---|---|---|
allowedResourceActions | Коллекция строк | Набор задач, которые можно выполнять с ресурсом. Обязательно. |
Состояние | String | Необязательные ограничения, которые должны быть выполнены для вступления разрешения в силу. Не поддерживается для пользовательских ролей. |
excludedResourceActions | Коллекция строк | Набор задач, которые могут не выполняться с ресурсом. Пока не поддерживается. |
свойство allowedResourceActions
Ниже приведена схема действий с ресурсами.
{Namespace}/{Entity}/{PropertySet}/{Action}
Пример: microsoft.directory/applications/credentials/update
.
- {Пространство имен} — службы, предоставляющие задачу. Например, все задачи в Microsoft Entra ID используют пространство
microsoft.directory
имен . - {Entity} — логические функции или компоненты, предоставляемые службой в Microsoft Graph. Например,
applications
,servicePrincipals
илиgroups
. - {PropertySet} — необязательно. Конкретные свойства или аспекты сущности, для которой предоставляется доступ. Например,
microsoft.directory/applications/authentication/read
предоставляет возможность чтения URL-адреса ответа, URL-адреса выхода и свойства неявного потока объекта приложения в Microsoft Entra ID. Ниже приведены зарезервированные имена для общих наборов свойств.allProperties
— Обозначает все свойства сущности, включая привилегированные свойства. Примеры:microsoft.directory/applications/allProperties/read
иmicrosoft.directory/applications/allProperties/update
.basic
— обозначает общие свойства чтения, но исключает привилегированные свойства. Например, включает возможность обновления стандартных свойств,microsoft.directory/applications/basic/update
таких как отображаемое имя.standard
— назначает общие свойства обновления, но исключает привилегированные свойства. Например,microsoft.directory/applications/standard/read
.
- {Actions} — предоставляемые операции. В большинстве случаев разрешения должны быть выражены в терминах операций CRUD или
allTasks
. Действия:create
— возможность создания нового экземпляра сущности.read
— возможность чтения заданного набора свойств (включая все свойства).update
— возможность обновления заданного набора свойств (включая allProperties).delete
— возможность удаления заданной сущности.allTasks
— представляет все операции CRUD (создание, чтение, обновление и удаление).
свойство condition
Условия определяют ограничения, которые должны быть выполнены. Например, требование о том, что субъект является владельцем целевого ресурса. Ниже приведены поддерживаемые условия.
Self
: "@Subject.objectId == @Resource.objectId"Owner
: "@Subject.objectId Any_of @Resource.owners"
Ниже приведен пример разрешения роли с условием, что субъект является владельцем целевого ресурса.
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
],
"condition": "@Subject.objectId Any_of @Resource.owners"
}
]
Условия для пользовательских ролей не поддерживаются.
Представление JSON
Ниже указано представление ресурса в формате JSON.
{
"@odata.type": "#microsoft.graph.unifiedRolePermission",
"allowedResourceActions": ["String"],
"excludedResourceActions": ["String"],
"condition": "String"
}
Связанные материалы
- Разрешения роли администратора в Microsoft Entra . Сведения о разрешениях для встроенных ролей каталога.
- Подтипы и разрешения регистрации приложений в Microsoft Entra ID. Сведения о разрешениях, доступных для пользовательских ролей каталога.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по