Freigeben über


Erstellen von accessPackageAssignmentRequest

Namespace: microsoft.graph

Erstellen Sie in Microsoft Entra Entitlement Management ein neues accessPackageAssignmentRequest-Objekt. Dieser Vorgang wird verwendet, um einem Zugriffspaket einen Benutzer zuzuweisen, die Zuweisung zu aktualisieren oder eine Zugriffspaketzuweisung zu entfernen.

Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.

Weltweiter Service US Government L4 US Government L5 (DOD) China, betrieben von 21Vianet

Berechtigungen

Wählen Sie die Berechtigungen aus, die für diese API als am wenigsten privilegiert markiert sind. Verwenden Sie eine höhere Berechtigung oder Berechtigungen nur, wenn Ihre App dies erfordert. Ausführliche Informationen zu delegierten Berechtigungen und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.

Berechtigungstyp Berechtigungen mit den geringsten Berechtigungen Berechtigungen mit höheren Berechtigungen
Delegiert (Geschäfts-, Schul- oder Unikonto) EntitlementManagement.ReadWrite.All Nicht verfügbar.
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt Nicht unterstützt
Anwendung EntitlementManagement.ReadWrite.All Nicht verfügbar.

Tipp

In delegierten Szenarien mit Geschäfts-, Schul- oder Unikonten muss dem angemeldeten Benutzer über eine der folgenden Optionen auch eine Administratorrolle mit unterstützten Rollenberechtigungen zugewiesen werden:

  • Ein Benutzer, der in der specificAllowedTargets -Eigenschaft der Richtlinien des Zugriffspakets angegeben ist. Dies ist die Option mit den geringsten Rechten.
  • Mehr privilegierte Rollen im Berechtigungsverwaltungssystem , bei denen die Am wenigsten privilegierten Rollen für diesen Vorgang unterstützt werden:
    • Zugriffspaketzuweisungs-Manager
    • Zugriffspaket-Manager
    • Katalogbesitzer
  • Privilegiertere Microsoft Entra Rollen, bei denen die folgenden Rollen mit den geringsten Berechtigungen für diesen Vorgang unterstützt werden:
    • Identity Governance-Administrator

In reinen App-Szenarien kann der aufrufenden App anstelle EntitlementManagement.ReadWrite.All der Anwendungsberechtigung eine der oben genannten unterstützten Rollen zugewiesen werden. Ein Benutzer, der in der specificAllowedTargets -Eigenschaft der Richtlinien des Zugriffspakets angegeben ist, hat weniger Berechtigungen als die EntitlementManagement.ReadWrite.All Anwendungsberechtigung.

Weitere Informationen finden Sie unter Delegierung und Rollen in der Berechtigungsverwaltung und Delegieren der Zugriffsgovernance an Zugriffspaket-Manager in der Berechtigungsverwaltung.

HTTP-Anforderung

POST /identityGovernance/entitlementManagement/assignmentRequests

Anforderungsheader

Name Beschreibung
Authorization Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung.
Content-Type application/json. Erforderlich.

Anforderungstext

Geben Sie im Anforderungstext eine JSON-Darstellung des accessPackageAssignmentRequest-Objekts an.

Damit ein Administrator die Erstellung einer Zuweisung für einen Benutzer anfordern kann, ist adminAddder Wert der requestType-Eigenschaft , und die Zuweisungseigenschaft enthält den targetId des zugewiesenen Benutzers, die assignmentPolicyId-Eigenschaft, die die accessPackageAssignmentPolicy identifiziert, und die accessPackageId-Eigenschaft, die das accessPackage identifiziert.

Damit ein Administrator die Aktualisierung einer Zuweisung anfordern kann (z. B. um die Zuweisung zu erweitern oder Antworten auf Fragen zu aktualisieren), ist adminUpdateder Wert der requestType-Eigenschaft , und die Assignment-Eigenschaft enthält die id-Eigenschaft, die das zu aktualisierende accessPackageAssignment identifiziert.

Damit ein Administrator das Entfernen einer Zuweisung anfordern kann, ist adminRemoveder Wert der requestType-Eigenschaft , und die assignment-Eigenschaft enthält die id-Eigenschaft, die das zu entfernende accessPackageAssignment angibt.

Damit ein Benutzer ohne Administratorrechte die Erstellung einer eigenen Zuweisung für eine erste Zuweisung oder die Verlängerung einer Zuweisung anfordern kann, ist userAddder Wert der requestType-Eigenschaft . Die Zuweisungseigenschaft enthält ein -Objekt mit dem targetId des id Benutzers. Die assignmentPolicyId-Eigenschaft identifiziert die accessPackageAssignmentPolicy. Die accessPackageId-Eigenschaft identifiziert das accessPackage. Der Benutzer, der die Anforderung stellt, muss bereits im Verzeichnis vorhanden sein.

Damit ein Benutzer ohne Administratorrechte die Aktualisierung seiner eigenen Zuweisung anfordern kann, ist userUpdateder Wert der requestType-Eigenschaft . Die Zuweisungseigenschaft enthält die ID-Eigenschaft , die das zu aktualisierende accessPackageAssignment identifiziert. Die Schedule-Eigenschaft enthält den aktualisierten Zeitplan.

Antwort

Bei erfolgreicher Ausführung gibt die Methode einen Antwortcode der 200er-Serie und ein neues accessPackageAssignmentRequest-Objekt im Antworttext zurück.

Wenn es sich um eine adminAdd - oder userAdd -Anforderung handelt, werden nach jeder Genehmigungsüberprüfung auch ein accessPackageAssignment und bei Bedarf ein accessPackageSubject erstellt. Sie können diese suchen, die die Abfrageparameter beim Auflisten von accessPackageAssignments verwenden.

Beispiele

Beispiel 1: Admin fordert eine direkte Zuweisung für einen Benutzer an, der sich bereits im Verzeichnis befindet.

Anforderung

Das folgende Beispiel zeigt eine Anforderung für eine direkte Zuweisung, in der der Administrator die Erstellung einer Zuweisung für einen Benutzer anfordert. Da accessPackageSubject möglicherweise noch nicht vorhanden ist, ist der Wert der targetID die Objekt-ID des zugewiesenen Benutzers, der Wert der accessPackageId ist das gewünschte Zugriffspaket für diesen Benutzer, und der Wert von assignmentPolicyId ist eine direkte Zuweisungsrichtlinie in diesem Zugriffspaket.

POST https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests
Content-type: application/json

{
  "requestType": "adminAdd",
  "assignment":{
     "targetId":"46184453-e63b-4f20-86c2-c557ed5d5df9",
     "assignmentPolicyId":"2264bf65-76ba-417b-a27d-54d291f0cbc8",
     "accessPackageId":"a914b616-e04e-476b-aa37-91038f0b165b"
  }
}

Antwort

Das folgende Beispiel zeigt die Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 201 Created
Content-type: application/json

{
  "id": "46184453-e63b-4f20-86c2-c557ed5d5df9",
  "requestType": "adminAdd",
  "requestState": "Submitted",
  "requestStatus": "Accepted"
}

Beispiel 2: Entfernen einer Zuweisung

Um Zuweisungen zu entfernen, erstellen Sie ein neues accessPackageAssignmentRequest-Objekt mit den folgenden Einstellungen:

  • Der Wert der requestType-Eigenschaft , die auf adminRemovefestgelegt ist.
  • Fügen Sie in die Zuweisungseigenschaft ein -Objekt mit dem Bezeichner des zu löschenden accessPackageAssignment-Objekts ein.

Anforderung

Das folgende Beispiel zeigt, wie eine Zuweisung entfernt wird.

POST https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests
Content-type: application/json

{
    "requestType": "adminRemove",
    "assignment":{
     "id": "a6bb6942-3ae1-4259-9908-0133aaee9377"
    }
}

Antwort

Das folgende Beispiel zeigt die Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden. Alle Eigenschaften werden von einem tatsächlichen Aufruf zurückgegeben.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#accessPackageAssignmentRequests/$entity",
    "id": "78eaee8c-e6cf-48c9-8f99-aae44c35e379",
    "requestType": "adminRemove",
    "requestState": "Submitted",
    "requestStatus": "Accepted"
}

Beispiel 3: Anfordern einer Zuweisung durch Bereitstellen von Antworten auf Fragen

Das folgende Beispiel zeigt, wie ein Benutzer eine Zugriffspaketzuweisung für sich selbst anfordern kann, indem er während des Anforderungsprozesses die für die Richtlinie erforderlichen Fragen beantwortet.

Anforderung

Das folgende Beispiel zeigt eine Anfrage.

POST https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.accessPackageAssignmentRequest",
    "requestType": "userAdd",
    "answers": [
        {
            "@odata.type": "#microsoft.graph.accessPackageAnswerString",
            "displayValue": "This is the answer to a multiple choice question",
            "value": "MultipleChoiceAnswerValue",
            "answeredQuestion": {
                "@odata.type": "#microsoft.graph.accessPackageMultipleChoiceQuestion",
                "id": "8fe745e7-80b2-490d-bd22-4e708c77288c"
            }
        },
        {
            "@odata.type": "#microsoft.graph.accessPackageAnswerString",
            "value": "This is my answer to a text input question.",
            "displayValue": "This is my answer.",
            "answeredQuestion": {
                "@odata.type": "#microsoft.graph.accessPackageTextInputQuestion",
                "id": "7aaa18c9-8e4f-440f-bd5a-3a7ce312cbe6"
            }
        }
    ],
    "assignment": {
        "accessPackageId": "977c7ff4-ef8f-4910-9d31-49048ddf3120"
    }
}

Antwort

Das folgende Beispiel zeigt die Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden. Alle Eigenschaften werden von einem tatsächlichen Aufruf zurückgegeben.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#accessPackageAssignmentRequests/$entity",
    "id": "7a6ab703-0780-4b37-8445-81f679b2d75c",
    "requestType": "userAdd",
    "state": "submitted",
    "status": "Accepted",
    "createdDateTime": null,
    "completedDateTime": null,
    "schedule": {
        "startDateTime": null,
        "recurrence": null,
        "expiration": {
            "endDateTime": null,
            "duration": null,
            "type": "notSpecified"
        }
    },
    "answers": [
        {
            "@odata.type": "#microsoft.graph.accessPackageAnswerString",
            "value": "MultipleChoiceAnswerValue",
            "answeredQuestion": {
                "@odata.type": "#microsoft.graph.accessPackageMultipleChoiceQuestion",
                "id": "8fe745e7-80b2-490d-bd22-4e708c77288c"   
            },
            "displayValue": "This is the answer to a multiple choice question"
        },
        {
            "@odata.type": "#microsoft.graph.accessPackageAnswerString",
            "value": "This is my answer to a text input question.",
            "answeredQuestion": {
                "@odata.type": "#microsoft.graph.accessPackageTextInputQuestion",
                "id": "7aaa18c9-8e4f-440f-bd5a-3a7ce312cbe6"
            },
            "displayValue": "This is my answer."
        }
    ]
}

Beispiel 4: Anfordern eines Pakets und Angeben einer Begründung

Das folgende Beispiel zeigt, wie Sie ein Zugriffspaket anfordern und der genehmigenden Person eine Begründung bereitstellen.

Anforderung

Das folgende Beispiel zeigt eine Anfrage.

POST https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests
Content-type: application/json

{
    "requestType": "UserAdd",
    "accessPackageAssignment": {
        "accessPackageId": "a914b616-e04e-476b-aa37-91038f0b165b"
    },
    "justification":"Need access to New Hire access package"
}

Antwort

Das folgende Beispiel zeigt die Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden. Alle Eigenschaften werden von einem tatsächlichen Aufruf zurückgegeben.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/entitlementManagement/assignmentRequests/$entity",
    "id": "9c1e258d-7723-43b1-ae21-e6eeeb324fe5",
    "requestType": "UserAdd",
    "requestState": "Submitted",
    "requestStatus": "Accepted",
    "createdDateTime": null,
    "completedDate": null,
    "justification": "Need access to New Hire access package",
    "isValidationOnly": false,
    "schedule": {
        "startDateTime": null,
        "recurrence": null,
        "expiration": {
            "endDateTime": null,
            "duration": null,
            "type": "notSpecified"
        }
    },
    "answers": [],
    "verifiedCredentialsData": []
}

Beispiel 5: Admin fordert eine direkte Zuweisung für einen Benutzer an, der sich noch nicht im Verzeichnis befindet.

Anforderung

Das folgende Beispiel zeigt eine Anforderung für eine direkte Zuweisung, in der der Administrator die Erstellung einer Zuweisung für einen Benutzer anfordert, der nicht im Verzeichnis vorhanden ist. Der Wert von accessPackageId ist das gewünschte Zugriffspaket für diesen Benutzer, und der Wert von assignmentPolicyId ist eine direkte Zuweisungsrichtlinie in diesem Zugriffspaket.

POST https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests
Content-type: application/json

{
  "requestType": "AdminAdd",
  "accessPackageAssignment":{
     "target": {
        "email": "user@contoso.com"
     },
     "assignmentPolicyId":"2264bf65-76ba-417b-a27d-54d291f0cbc8",
     "accessPackageId":"a914b616-e04e-476b-aa37-91038f0b165b"
  }
}

Antwort

Das folgende Beispiel zeigt die Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/entitlementManagement/assignmentRequests/$entity",
    "id": "cb32aef9-2976-496d-9804-eb432fd894a7",
    "requestType": "AdminAdd",
    "requestState": "Submitted",
    "requestStatus": "Accepted",
    "createdDateTime": null,
    "completedDate": null,
    "justification": null,
    "isValidationOnly": false,
    "schedule": {
        "startDateTime": null,
        "recurrence": null,
        "expiration": {
            "endDateTime": null,
            "duration": null,
            "type": "notSpecified"
        }
    },
    "answers": [],
    "verifiedCredentialsData": [],
    "customExtensionHandlerInstances": [],
    "customExtensionCalloutInstances": []
}

Beispiel 6: Anfordern einer Aktualisierung der Antworten für eine Aufgabe

Das folgende Beispiel zeigt, wie ein Administrator Aktualisierungen für eine Zuweisung anfordern kann, um seine Antworten auf Fragen zu bearbeiten, die während der Anforderung für die Zuweisung beantwortet wurden.

Anforderung

Das folgende Beispiel zeigt eine Anfrage.

POST https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.accessPackageAssignmentRequest",
    "requestType": "adminUpdate",
    "answers": [
        {
            "@odata.type": "#microsoft.graph.accessPackageAnswerString",
            "value": "UpdatedAnswerValue",
            "answeredQuestion": {
                "@odata.type": "#microsoft.graph.accessPackageMultipleChoiceQuestion",
                "id": "8fe745e7-80b2-490d-bd22-4e708c77288c"
            }
        },
        {
            "@odata.type": "#microsoft.graph.accessPackageAnswerString",
            "value": "My updated answer.",
            "displayValue": "This is my updated answer to the question.",
            "answeredQuestion": {
                "@odata.type": "#microsoft.graph.accessPackageTextInputQuestion",
                "id": "7aaa18c9-8e4f-440f-bd5a-3a7ce312cbe6"
            }
        }
    ],
    "assignment": {
        "id": "44c741c1-2cf4-40db-83b6-e0112f8e5a83"
    }
}

Antwort

Das folgende Beispiel zeigt die Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden. Alle Eigenschaften werden von einem tatsächlichen Aufruf zurückgegeben.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#accessPackageAssignmentRequests/$entity",
    "id": "0c471116-e439-40a6-8441-fe739dd48dab",
    "requestType": "adminUpdate",
    "state": "submitted",
    "status": "Accepted",
    "createdDateTime": null,
    "completedDateTime": null,
    "schedule": {
        "startDateTime": null,
        "recurrence": null,
        "expiration": {
            "endDateTime": null,
            "duration": null,
            "type": "notSpecified"
        }
    },
    "answers": [
        {
            "@odata.type": "#microsoft.graph.accessPackageAnswerString",
            "value": "UpdatedAnswerValue",
            "displayValue": "This is the answer to a multiple choice question",
            "answeredQuestion": {
                "@odata.type": "#microsoft.graph.accessPackageMultipleChoiceQuestion",
                "id": "8fe745e7-80b2-490d-bd22-4e708c77288c"   
            }         
        },
        {
            "@odata.type": "#microsoft.graph.accessPackageAnswerString",
            "value": "My updated answer.",
            "displayValue": "This is my updated answer to the question.",
            "answeredQuestion": {
                "@odata.type": "#microsoft.graph.accessPackageTextInputQuestion",
                "id": "7aaa18c9-8e4f-440f-bd5a-3a7ce312cbe6"
            }
        }
    ]
}

Beispiel 7: Aktualisieren des Ablaufdatums für eine Zugriffspaketzuweisung

Das folgende Beispiel zeigt, wie das Ablaufdatum für eine Zugriffspaketzuweisung aktualisiert wird.

Anforderung

Das folgende Beispiel zeigt eine Anfrage.

POST https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.accessPackageAssignmentRequest",
    "requestType": "adminUpdate",
    "schedule": {
        "startDateTime": "2023-05-23T20:04:02.39Z",
        "recurrence": null,
        "expiration": {
            "endDateTime": "2024-07-01T00:00:00.00Z",
            "duration": null,
            "type": "afterDateTime"
        }
    },
    "assignment": {
        "id": "329f8dac-8062-4c1b-a9b8-39b7132f9bff"
    }
}

Antwort

Das folgende Beispiel zeigt die Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden. Alle Eigenschaften werden von einem tatsächlichen Aufruf zurückgegeben.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/entitlementManagement/assignmentRequests/$entity",
    "id": "5b682fbb-d6e5-4118-a471-46dfc553e9cc",
    "requestType": "adminUpdate",
    "state": "submitted",
    "status": "Accepted",
    "createdDateTime": null,
    "completedDateTime": null,
    "schedule": {
        "startDateTime": "2024-06-07T15:53:35.333Z",
        "recurrence": null,
        "expiration": {
            "endDateTime": "2024-07-01T00:00:00Z",
            "duration": null,
            "type": "afterDateTime"
        }
    },
    "answers": [],
    "customExtensionCalloutInstances": []
}

Beispiel 8: Aktualisieren der Antworten und des Ablaufdatums für eine Zugriffspaketzuweisung

Das folgende Beispiel zeigt, wie ein Benutzer seine Antworten und das Ablaufdatum für seine Zugriffspaketzuweisung aktualisieren kann.

Anforderung

Das folgende Beispiel zeigt eine Anfrage.

POST https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests
Content-type: application/json

{
    "requestType": "userUpdate",
    "answers": [
        {
            "@odata.type": "#microsoft.graph.accessPackageAnswerString",
            "value": "My updated answer.",
            "answeredQuestion": {
                "@odata.type": "#microsoft.graph.accessPackageTextInputQuestion",
                "id": "0d31cc60-968e-4f92-955b-443fed03d6f6"
            }
        }

    ],
    "schedule": {
        "startDateTime": "2024-09-18T20:49:16.17Z",
        "recurrence": null,
        "expiration": {
            "endDateTime": "2024-10-18T20:49:15.17Z",
            "duration": null,
            "type": "afterDateTime"
        }
    },
    "assignment": {
        "id": "329f8dac-8062-4c1b-a9b8-39b7132f9bff"
    }
}

Antwort

Das folgende Beispiel zeigt die Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden. Alle Eigenschaften werden von einem tatsächlichen Aufruf zurückgegeben.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/entitlementManagement/assignmentRequests/$entity",
    "id": "e0f8458c-7681-42ad-a0b5-0c9587c4dad8",
    "requestType": "userUpdate",
    "state": "submitted",
    "status": "Accepted"
}