Freigeben über


Erstellen von unifiedRoleAssignment

Namespace: microsoft.graph

Erstellen Sie ein neues unifiedRoleAssignment-Objekt .

Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.

Weltweiter Service US Government L4 US Government L5 (DOD) China, betrieben von 21Vianet

Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, unter anderem zur Auswahl von Berechtigungen, finden Sie unter Berechtigungen.

Für den Verzeichnisanbieter (Microsoft Entra ID)

Berechtigungstyp Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten)
Delegiert (Geschäfts-, Schul- oder Unikonto) RoleManagement.ReadWrite.Directory
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt
Anwendung RoleManagement.ReadWrite.Directory

Wichtig

In delegierten Szenarien mit Geschäfts-, Schul- oder Unikonten muss dem angemeldeten Benutzer eine unterstützte Microsoft Entra Rolle oder eine benutzerdefinierte Rolle mit einer unterstützten Rollenberechtigung zugewiesen werden. Administrator für privilegierte Rollen ist die Rolle mit den geringsten Berechtigungen, die für diesen Vorgang unterstützt wird.

Für den Berechtigungsverwaltungsanbieter

Berechtigungstyp Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten)
Delegiert (Geschäfts-, Schul- oder Unikonto) EntitlementManagement.ReadWrite.All
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt
Anwendung EntitlementManagement.ReadWrite.All

HTTP-Anforderung

Erstellen Sie eine Rollenzuweisung für den Verzeichnisanbieter:

POST /roleManagement/directory/roleAssignments

Erstellen Sie eine Rollenzuweisung für den Berechtigungsverwaltungsanbieter:

POST /roleManagement/entitlementManagement/roleAssignments

Anforderungsheader

Name Beschreibung
Authorization Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung.

Anforderungstext

Geben Sie im Anforderungstext eine JSON-Darstellung eines unifiedRoleAssignment-Objekts an .

Sie können die folgenden Eigenschaften angeben, wenn Sie eine unifiedRoleAssignment erstellen.

Eigenschaft Typ Beschreibung
appScopeId String Erforderlich. Bezeichner des App-spezifischen Bereichs, wenn der Zuweisungsbereich app-spezifisch ist. Der Bereich einer Zuweisung bestimmt die Gruppe von Ressourcen, für die dem Prinzipal Zugriff gewährt wurde. App-Bereiche sind Bereiche, die nur von einer Ressourcenanwendung definiert und verstanden werden.

Verwenden Sie für den Berechtigungsverwaltungsanbieter diese Eigenschaft, um einen Katalog anzugeben, z. B /AccessPackageCatalog/beedadfe-01d5-4025-910b-84abb9369997. .

Es muss entweder appScopeId oder directoryScopeId angegeben werden.
directoryScopeId String Erforderlich. Bezeichner des Verzeichnisobjekts , das den Bereich der Zuweisung darstellt. Der Bereich einer Zuweisung bestimmt die Gruppe von Ressourcen, für die dem Prinzipal Zugriff gewährt wurde. Verzeichnisbereiche sind freigegebene Bereiche, die im Verzeichnis gespeichert sind und von mehreren Anwendungen verstanden werden, im Gegensatz zu App-Bereichen, die nur von einer Ressourcenanwendung definiert und verstanden werden.

Für den Verzeichnisanbieter (Microsoft Entra ID) unterstützt diese Eigenschaft die folgenden Formate:
  • / für mandantenweiten Bereich
  • /administrativeUnits/{administrativeunit-ID} zum Festlegen des Bereichs auf eine Verwaltungseinheit
  • /{application-objectID} zum Festlegen des Bereichs auf eine Ressourcenanwendung

    Für berechtigungsverwaltungsanbieter, / für mandantenweiten Bereich. Verwenden Sie die appScopeId-Eigenschaft , um den Bereich auf einen Zugriffspaketkatalog zu definieren.

    Es muss entweder appScopeId oder directoryScopeId angegeben werden.
  • principalId String Erforderlich. Bezeichner des Prinzipals, dem die Zuweisung gewährt wird.
    roleDefinitionId String Bezeichner der unifiedRoleDefinition, für die die Zuweisung gilt. Schreibgeschützt. Unterstützt $filter (eq, in).

    Antwort

    Bei erfolgreicher Ausführung gibt die Methode einen 201 Created Antwortcode und ein neues unifiedRoleAssignment-Objekt im Antworttext zurück.

    Beispiele

    Beispiel 1: Erstellen einer Rollenzuweisung mit Mandantenbereich

    Anforderung

    Das folgende Beispiel zeigt eine Anfrage. Beachten Sie die Verwendung von roleTemplateId für roleDefinitionId. roleDefinitionId kann entweder die dienstweite Vorlagen-ID oder die verzeichnisspezifische roleDefinitionId sein.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    Content-type: application/json
    
    { 
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "roleDefinitionId": "c2cf284d-6c41-4e6b-afac-4b80928c9034",
        "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
        "directoryScopeId": "/"
    }
    

    Antwort

    Das folgende Beispiel zeigt die Antwort.

    Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

    HTTP/1.1 201 Created
    Content-type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
        "id": "YUb1sHQtUEyvox7IA_Eu_mm3jqnUe4lEhvatluHVi2I-1",
        "roleDefinitionId": "c2cf284d-6c41-4e6b-afac-4b80928c9034",
        "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
        "directoryScopeId": "/"
    }
    

    Beispiel 2: Erstellen einer Rollenzuweisung mit Verwaltungseinheitsbereich

    Anforderung

    Im folgenden Beispiel wird die Rolle "Benutzeradministrator" einem Prinzipal mit Verwaltungseinheitsbereich zugewiesen.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    Content-type: application/json
    
    {
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
        "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
        "directoryScopeId": "/administrativeUnits/5d107bba-d8e2-4e13-b6ae-884be90e5d1a"
    }
    

    Antwort

    Das folgende Beispiel zeigt die Antwort.

    Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

    HTTP/1.1 201 Created
    Content-type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
        "id": "BH21sHQtUEyvox7IA_Eu_mm3jqnUe4lEhvatluHIWb7-1",
        "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
        "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
        "directoryScopeId": "/administrativeUnits/5d107bba-d8e2-4e13-b6ae-884be90e5d1a"
    }
    

    Beispiel 3: Erstellen einer Rollenzuweisung mit Anwendungsbereich

    Anforderung

    Im folgenden Beispiel wird einem Prinzipal die Rolle Anwendungsadministrator im Anwendungsbereich zugewiesen. Die Objekt-ID der Anwendungsregistrierung lautet 661e1310-bd76-4795-89a7-8f3c8f855bfc.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    Content-type: application/json
    
    {
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "principalId": "6b937a9d-c731-465b-a844-2d5b5368c161",
        "roleDefinitionId": "9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3",
        "directoryScopeId": "/661e1310-bd76-4795-89a7-8f3c8f855bfc"
    }
    

    Antwort

    Das folgende Beispiel zeigt die Antwort.

    Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

    HTTP/1.1 201 Created
    Content-type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
        "id": "kl2Jm9Msx0SdAqasLV6lw516k2sxx1tGqEQtW1NowWEQEx5mdr2VR4mnjzyPhVv8-1",
        "principalId": "6b937a9d-c731-465b-a844-2d5b5368c161",
        "directoryScopeId": "/661e1310-bd76-4795-89a7-8f3c8f855bfc",
        "roleDefinitionId": "9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3"
    }
    

    Beispiel 4: Erstellen einer Rollenzuweisung mit Zugriffspaketkatalogbereich

    Anforderung

    Das folgende Beispiel zeigt eine Anfrage.

    POST https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments
    Content-type: application/json
    
    {
        "principalId": "679a9213-c497-48a4-830a-8d3d25d94ddc",
        "roleDefinitionId": "ae79f266-94d4-4dab-b730-feca7e132178",
        "appScopeId": "/AccessPackageCatalog/beedadfe-01d5-4025-910b-84abb9369997"
    }
    

    Antwort

    Das folgende Beispiel zeigt die Antwort.

    Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

    HTTP/1.1 201 Created
    Content-type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/entitlementManagement/roleAssignments/$entity",
        "id": "f3092518-7874-462e-93e9-0cd6c11ffc52",
        "principalId": "679a9213-c497-48a4-830a-8d3d25d94ddc",
        "roleDefinitionId": "ae79f266-94d4-4dab-b730-feca7e132178",
        "appScopeId": "/AccessPackageCatalog/beedadfe-01d5-4025-910b-84abb9369997"
    }