Freigeben über

Create permissionGrantConditionSet in includes collection of permissionGrantPolicy

  • Artikel

Namespace: microsoft.graph

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Fügen Sie Bedingungen hinzu, unter denen ein Berechtigungserteilungsereignis in einer Berechtigungserteilungsrichtlinie enthalten ist. Dazu fügen Sie der includes-Auflistung einer permissionGrantConditionSet-Instanz eine permissionGrantPolicy hinzu.

Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.

Weltweiter Service US Government L4 US Government L5 (DOD) China, betrieben von 21Vianet

Berechtigungen

Wählen Sie die Berechtigungen aus, die für diese API als am wenigsten privilegiert markiert sind. Verwenden Sie eine höhere Berechtigung oder Berechtigungen nur, wenn Ihre App dies erfordert. Ausführliche Informationen zu delegierten Berechtigungen und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.

Berechtigungstyp Berechtigungen mit den geringsten Berechtigungen Berechtigungen mit höheren Berechtigungen
Delegiert (Geschäfts-, Schul- oder Unikonto) Policy.ReadWrite.PermissionGrant Nicht verfügbar.
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt Nicht unterstützt
Anwendung Policy.ReadWrite.PermissionGrant Nicht verfügbar.

Wichtig

In delegierten Szenarien mit Geschäfts-, Schul- oder Unikonten muss dem angemeldeten Benutzer eine unterstützte Microsoft Entra Rolle oder eine benutzerdefinierte Rolle mit einer unterstützten Rollenberechtigung zugewiesen werden. Die folgenden Rollen mit den geringsten Berechtigungen werden für diesen Vorgang unterstützt.

  • Anwendungsadministrator
  • Cloudanwendungsadministrator

HTTP-Anforderung

POST /policies/permissionGrantPolicies/{id}/includes

Anforderungsheader

Name Beschreibung
Authorization Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung.
Content-type application/json. Erforderlich.

Anforderungstext

Geben Sie im Anforderungstext eine JSON-Darstellung eines permissionGrantConditionSet-Objekts an.

Antwort

Bei erfolgreicher Ausführung gibt die Methode den 201 Created Antwortcode und ein permissionGrantConditionSet-Objekt im Antworttext zurück.

Beispiele

Beispiel 1: Erstellen einer Berechtigungserteilungsrichtlinie für Client-Apps, die von verifizierten Herausgebern stammen

Anforderung

In diesem Beispiel sind alle delegierten Berechtigungen für Client-Apps, die von verifizierten Herausgebern stammen, in der Berechtigungsgewährungsrichtlinie enthalten. Da alle anderen Bedingungen aus dem permissionGrantConditionSet weggelassen wurden, übernehmen sie ihre Standardwerte, was in jedem Fall die umfassendste ist.

POST https://graph.microsoft.com/beta/policies/permissionGrantPolicies/{id}/includes
Content-Type: application/json

{
  "permissionType": "delegated",
  "clientApplicationsFromVerifiedPublisherOnly": true
}

Antwort

Das folgende Beispiel zeigt die Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 200 OK
Content-type: application/json

{
  "id": "75ffda85-9314-43bc-bf19-554a7d079e96",
  "permissionClassification": "all",
  "permissionType": "delegated",
  "resourceApplication": "any",
  "permissions": ["all"],
  "clientApplicationIds": ["all"],
  "clientApplicationTenantIds": ["all"],
  "clientApplicationPublisherIds": ["all"],
  "clientApplicationsFromVerifiedPublisherOnly": true,
  "certifiedClientApplicationsOnly": false,
  "scopeSensitivityLabels": {
      "@odata.type": "#microsoft.graph.allScopeSensitivityLabels",
      "labelKind": "all"
  }
}

Beispiel 2: Erstellen einer Berechtigungserteilungsrichtlinie für Client-Apps, die Microsoft 365-zertifiziert sind

Anforderung

In diesem Beispiel sind alle delegierten Berechtigungen für alle Client-Apps, die microsoft 365 zertifiziert sind, in der Berechtigungserteilungsrichtlinie enthalten. Da ein verifizierter Herausgeber eine Voraussetzung dafür ist, dass eine App als Microsoft 365-zertifiziert gilt, ist es nicht erforderlich, explizit einen verifizierten Herausgeber zu verlangen. Da alle anderen Bedingungen aus dem permissionGrantConditionSet weggelassen wurden, übernehmen sie ihre Standardwerte, was in jedem Fall die umfassendste ist.

POST https://graph.microsoft.com/beta/policies/permissionGrantPolicies/{id}/includes
Content-Type: application/json

{
  "permissionType": "delegated",
  "certifiedClientApplicationsOnly": true
}

Antwort

Das folgende Beispiel zeigt die Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 200 OK
Content-type: application/json

{
  "id": "75ffda85-9314-43bc-bf19-554a7d079e96",
  "permissionClassification": "all",
  "permissionType": "delegated",
  "resourceApplication": "any",
  "permissions": ["all"],
  "clientApplicationIds": ["all"],
  "clientApplicationTenantIds": ["all"],
  "clientApplicationPublisherIds": ["all"],
  "clientApplicationsFromVerifiedPublisherOnly": true,
  "certifiedClientApplicationsOnly": true,
  "scopeSensitivityLabels": {
      "@odata.type": "#microsoft.graph.allScopeSensitivityLabels",
      "labelKind": "all"
  }
}