unifiedRolePermission 资源类型
命名空间:microsoft.graph
重要
Microsoft Graph /beta
版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
表示允许的资源操作的集合,以及要使操作生效所必须满足的条件。 资源操作是可以对资源执行的任务。 例如,应用程序资源支持创建、更新、删除和重置密码资源操作。
属性
属性 | 类型 | 说明 |
---|---|---|
allowedResourceActions | 字符串集合 | 可以对资源执行的任务集。 |
条件 | String | 要使权限生效,必须满足的可选约束。 自定义角色不支持。 |
allowedResourceActions 属性
下面是资源操作的架构:
{Namespace}/{Entity}/{PropertySet}/{Action}
例如:microsoft.directory/applications/credentials/update
。
-
{Namespace} - 公开任务的服务。 例如,Microsoft Entra ID 中的所有任务都使用命名空间
microsoft.directory
。 -
{Entity} - Microsoft Graph 中由服务公开的逻辑功能或组件。 例如,
applications
、servicePrincipals
或groups
。 -
{PropertySet} - 可选。 要为其授予访问权限的实体的特定属性或方面。 例如,
microsoft.directory/applications/authentication/read
授予读取 应用程序对象上的 回复 URL、注销 URL 和隐式流属性的能力,Microsoft Entra ID。 下面是通用属性集的保留名称:-
allProperties
- 指定实体的所有属性,包括特权属性。 示例包括microsoft.directory/applications/allProperties/read
和microsoft.directory/applications/allProperties/update
。 -
basic
- 指定通用读取属性,但排除特权属性。 例如,microsoft.directory/applications/basic/update
包括更新标准属性(如显示名称)的功能。 -
standard
- 指定通用更新属性,但排除特权属性。 例如,microsoft.directory/applications/standard/read
。
-
-
{Actions} - 正在授予的操作。 在大多数情况下,权限应以 CRUD 操作或
allTasks
表示。 操作 包括:-
create
- 能够创建实体的新实例。 -
read
- 读取给定属性集的功能 (包括 allProperties) 。 -
update
- 更新给定属性集的功能 (包括 allProperties) 。 -
delete
- 删除给定实体的功能。 -
allTasks
- 表示 (创建、读取、更新和删除) 的所有 CRUD 操作。
-
condition 属性
条件定义必须满足的约束。 例如,要求主体是目标的“所有者”。 以下是支持的条件:
- 自我:“$ResourceIsSelf”
- 所有者:“$SubjectIsOwner”
下面是具有 条件的角色权限的示例。
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
],
"condition": "$SubjectIsOwner"
}
]
自定义角色不支持条件。
关系
无。
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"allowedResourceActions": ["String"],
"condition": "String"
}
相关内容
- Microsoft Entra 中的管理员角色权限 - 有关内置目录角色权限的信息。
- Microsoft Entra ID 中的应用程序注册子类型和权限 - 有关可用于自定义目录角色的权限的信息。