unifiedRolePermission 资源类型

命名空间:microsoft.graph

重要

Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。

表示允许的资源操作的集合,以及要使操作生效所必须满足的条件。 资源操作是可以对资源执行的任务。 例如,应用程序资源支持创建、更新、删除和重置密码资源操作。

属性

属性 类型 说明
allowedResourceActions 字符串集合 可以对资源执行的任务集。
条件 String 要使权限生效,必须满足的可选约束。 自定义角色不支持。

allowedResourceActions 属性

下面是资源操作的架构:

{Namespace}/{Entity}/{PropertySet}/{Action}  

例如:microsoft.directory/applications/credentials/update

  • {Namespace} - 公开任务的服务。 例如,Microsoft Entra ID 中的所有任务都使用命名空间 microsoft.directory
  • {Entity} - Microsoft Graph 中由服务公开的逻辑功能或组件。 例如,applicationsservicePrincipalsgroups
  • {PropertySet} - 可选。 要为其授予访问权限的实体的特定属性或方面。 例如, microsoft.directory/applications/authentication/read 授予读取 应用程序对象上的 回复 URL、注销 URL 和隐式流属性的能力,Microsoft Entra ID。 下面是通用属性集的保留名称:
    • allProperties - 指定实体的所有属性,包括特权属性。 示例包括 microsoft.directory/applications/allProperties/readmicrosoft.directory/applications/allProperties/update
    • basic - 指定通用读取属性,但排除特权属性。 例如, microsoft.directory/applications/basic/update 包括更新标准属性(如显示名称)的功能。
    • standard - 指定通用更新属性,但排除特权属性。 例如,microsoft.directory/applications/standard/read
  • {Actions} - 正在授予的操作。 在大多数情况下,权限应以 CRUD 操作或 allTasks表示。 操作 包括:
    • create - 能够创建实体的新实例。
    • read - 读取给定属性集的功能 (包括 allProperties) 。
    • update - 更新给定属性集的功能 (包括 allProperties) 。
    • delete - 删除给定实体的功能。
    • allTasks - 表示 (创建、读取、更新和删除) 的所有 CRUD 操作。

condition 属性

条件定义必须满足的约束。 例如,要求主体是目标的“所有者”。 以下是支持的条件:

  • 自我:“$ResourceIsSelf”
  • 所有者:“$SubjectIsOwner”

下面是具有 条件的角色权限的示例。

"rolePermissions": [
        {
            "allowedResourceActions": [
                "microsoft.directory/applications/basic/update",
                "microsoft.directory/applications/credentials/update"
            ],
            "condition":  "$SubjectIsOwner"
        }
    ]

自定义角色不支持条件。

关系

无。

JSON 表示形式

以下 JSON 表示形式显示了资源类型。

{
  "allowedResourceActions": ["String"],
  "condition": "String"
}