Freigeben über


Aktualisieren von authorizationPolicy

Namespace: microsoft.graph

Aktualisieren sie die Eigenschaften eines authorizationPolicy-Objekts .

Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.

Weltweiter Service US Government L4 US Government L5 (DOD) China, betrieben von 21Vianet

Berechtigungen

Wählen Sie die Berechtigungen aus, die für diese API als am wenigsten privilegiert markiert sind. Verwenden Sie eine höhere Berechtigung oder Berechtigungen nur, wenn Ihre App dies erfordert. Ausführliche Informationen zu delegierten Berechtigungen und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.

Berechtigungstyp Berechtigungen mit den geringsten Berechtigungen Berechtigungen mit höheren Berechtigungen
Delegiert (Geschäfts-, Schul- oder Unikonto) Policy.ReadWrite.Authorization Nicht verfügbar.
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt Nicht unterstützt
Anwendung Policy.ReadWrite.Authorization Nicht verfügbar.

Wichtig

In delegierten Szenarien mit Geschäfts-, Schul- oder Unikonten muss dem angemeldeten Benutzer eine unterstützte Microsoft Entra Rolle oder eine benutzerdefinierte Rolle mit einer unterstützten Rollenberechtigung zugewiesen werden. Die folgende Rolle mit den geringsten Berechtigungen wird für diesen Vorgang unterstützt.

  • Administrator für privilegierte Rollen

HTTP-Anforderung

PATCH /policies/authorizationPolicy

Anforderungsheader

Name Beschreibung
Authorization Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung.
Content-type application/json. Erforderlich.

Anforderungstext

Geben Sie im Anforderungstext nur die Werte für zu aktualisierende Eigenschaften an. Vorhandene Eigenschaften, die nicht im Anforderungstext enthalten sind, behalten ihre vorherigen Werte bei oder werden basierend auf Änderungen an anderen Eigenschaftswerten neu berechnet.

In der folgenden Tabelle sind die Eigenschaften angegeben, die aktualisiert werden können.

Eigenschaft Typ Beschreibung
allowEmailVerifiedUsersToJoinOrganization Boolesch Gibt an, ob ein Benutzer per E-Mail-Überprüfung dem Mandanten beitreten kann.
allowInvitesFrom allowInvitesFrom Gibt an, wer externe Benutzer zum organization einladen kann. Mögliche Werte: none, adminsAndGuestInviters, adminsGuestInvitersAndAllMembers, everyone everyone ist die Standardeinstellung für alle Cloudumgebungen mit Ausnahme der US-Regierung. Weitere Informationen finden Sie unter allowInvitesFrom-Werte.
allowUserConsentForRiskyApps Boolesch Gibt an, ob die Zustimmung des Benutzers für riskante Apps zulässig ist. Der Standardwert ist false. Es wird empfohlen, den Wert auf falsefestzulegen.
allowedToSignUpEmailBasedSubscriptions Boolesch Gibt an, ob Sich Benutzer für E-Mail-basierte Abonnements registrieren können.
allowedToUseSSPR Boolesch Gibt an, ob Administratoren des Mandanten die Self-Service Kennwortzurücksetzung (SSPR) verwenden können. Weitere Informationen finden Sie unter Self-Service-Kennwortzurücksetzung für Administratoren.
blockMsolPowerShell Boolesch Um die Verwendung von MSOL PowerShell zu deaktivieren, legen Sie diese Eigenschaft auf fest true. Dadurch wird auch der benutzerbasierte Zugriff auf den älteren Dienstendpunkt deaktiviert, der von MSOL PowerShell verwendet wird. Dies wirkt sich nicht auf Microsoft Entra Connect oder Microsoft Graph aus.
defaultUserRolePermissions defaultUserRolePermissions Gibt bestimmte anpassbare Berechtigungen für die Standardbenutzerrolle an.
description String Beschreibung dieser Richtlinie.
displayName String Anzeigename für diese Richtlinie.
guestUserRoleId GUID Stellt role templateId für die Rolle dar, die gastbenutzern gewährt werden soll. Derzeit werden folgende Rollen unterstützt: Benutzer (a0b1b346-4d3e-4e8b-98f8-753987be4970), Gastbenutzer (10dae51f-b6af-4016-8d66-8c2a99b929b3) und Eingeschränkter Gastbenutzer (2af84b1e-32c8-42b7-82bc-daa82404023b).

Antwort

Wenn die Methode erfolgreich verläuft, wird der Antwortcode 204 No Content zurückgegeben. Es gibt nichts im Antworttext zurück.

Beispiele

Beispiel 1: Aktualisieren oder Festlegen der Gastbenutzerzugriffsebene für den Mandanten

Anforderung

Das folgende Beispiel zeigt eine Anfrage. In diesem Beispiel wird die Gastzugriffsebene in Eingeschränkter Gastbenutzer geändert.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
  "allowEmailVerifiedUsersToJoinOrganization":false
}

Antwort

Das folgende Beispiel zeigt die Antwort.

HTTP/1.1 204 No Content

Beispiel 2: Blockieren von MSOL PowerShell im Mandanten

Anforderung

Das folgende Beispiel zeigt eine Anfrage.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
   "blockMsolPowerShell":true
}

Antwort

Das folgende Beispiel zeigt die Antwort.

HTTP/1.1 204 No Content

Beispiel 3: Deaktivieren der Berechtigung der Standardbenutzerrolle zum Erstellen von Anwendungen

Anforderung

Das folgende Beispiel zeigt eine Anfrage.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
   "defaultUserRolePermissions":{
      "allowedToCreateApps":false
   }
}

Antwort

Das folgende Beispiel zeigt die Antwort.

HTTP/1.1 204 No Content

Beispiel 4: Aktivieren der Standardbenutzerrolle für die Verwendung Self-Serve Kennwortzurücksetzungsfeatures

Anforderung

Das folgende Beispiel zeigt eine Anfrage.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
   "allowedToUseSSPR":true
}

Antwort

Das folgende Beispiel zeigt die Antwort.

HTTP/1.1 204 No Content

Anforderung

Das folgende Beispiel zeigt eine Anfrage.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
   "defaultUserRolePermissions": {
      "permissionGrantPoliciesAssigned": []
   }
}

Antwort

Das folgende Beispiel zeigt die Antwort.

HTTP/1.1 204 No Content

Anforderung

Hier sehen Sie ein Beispiel für die Anforderung, die die Benutzerzustimmung für Apps gemäß der integrierten App-Einwilligungsrichtliniemicrosoft-user-default-low zulässt, die delegierte Berechtigungen zulässt, die als "niedrig" klassifiziert sind, für Client-Apps von verifizierten Herausgebern oder bei demselben Mandanten registriert sind.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
   "defaultUserRolePermissions": {
      "permissionGrantPoliciesAssigned": [
         "managePermissionGrantsForSelf.microsoft-user-default-low"
      ]
   }
}

Antwort

Das folgende Beispiel zeigt die Antwort.

HTTP/1.1 204 No Content