Freigeben über

Erstellen von unifiedRoleAssignment

  • Artikel

Namespace: microsoft.graph

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Erstellen Sie ein neues unifiedRoleAssignment-Objekt .

Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.

Weltweiter Service US Government L4 US Government L5 (DOD) China, betrieben von 21Vianet

Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, unter anderem zur Auswahl von Berechtigungen, finden Sie unter Berechtigungen.

Für den Verzeichnisanbieter (Microsoft Entra ID)

Berechtigungstyp Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten)
Delegiert (Geschäfts-, Schul- oder Unikonto) RoleManagement.ReadWrite.Directory
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt
Anwendung RoleManagement.ReadWrite.Directory

Wichtig

In delegierten Szenarien mit Geschäfts-, Schul- oder Unikonten muss dem angemeldeten Benutzer eine unterstützte Microsoft Entra Rolle oder eine benutzerdefinierte Rolle mit einer unterstützten Rollenberechtigung zugewiesen werden. Administrator für privilegierte Rollen ist die Rolle mit den geringsten Berechtigungen, die für diesen Vorgang unterstützt wird.

Für den Berechtigungsverwaltungsanbieter

Berechtigungstyp Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten)
Delegiert (Geschäfts-, Schul- oder Unikonto) EntitlementManagement.ReadWrite.All
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt
Anwendung Nicht unterstützt

Für einen Exchange Online anbieter

Berechtigungstyp Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten)
Delegiert (Geschäfts-, Schul- oder Unikonto) RoleManagement.ReadWrite.Exchange
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt
Anwendung RoleManagement.ReadWrite.Exchange

HTTP-Anforderung

Erstellen Sie eine Rollenzuweisung für den Verzeichnisanbieter:

POST /roleManagement/directory/roleAssignments

Erstellen Sie eine Rollenzuweisung für den Berechtigungsverwaltungsanbieter:

POST /roleManagement/entitlementManagement/roleAssignments

Erstellen Sie eine Rollenzuweisung für den Exchange Online anbieter:

POST /roleManagement/exchange/roleAssignments

Anforderungsheader

Name Beschreibung
Authorization Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung.

Anforderungstext

Geben Sie im Anforderungstext eine JSON-Darstellung eines unifiedRoleAssignment-Objekts an .

Sie können die folgenden Eigenschaften angeben, wenn Sie eine unifiedRoleAssignment erstellen.

Eigenschaft Typ Beschreibung
appScopeId String Erforderlich. Bezeichner des App-spezifischen Bereichs, wenn der Zuweisungsbereich app-spezifisch ist. Der Bereich einer Zuweisung bestimmt die Gruppe von Ressourcen, für die dem Prinzipal Zugriff gewährt wurde. App-Bereiche sind Bereiche, die nur von einer Ressourcenanwendung definiert und verstanden werden.

Verwenden Sie für den Berechtigungsverwaltungsanbieter diese Eigenschaft, um einen Katalog anzugeben, z. B /AccessPackageCatalog/beedadfe-01d5-4025-910b-84abb9369997. .

Es muss entweder appScopeId oder directoryScopeId angegeben werden.
directoryScopeId String Erforderlich. Bezeichner des Verzeichnisobjekts , das den Bereich der Zuweisung darstellt. Der Bereich einer Zuweisung bestimmt die Gruppe von Ressourcen, für die dem Prinzipal Zugriff gewährt wurde. Verzeichnisbereiche sind freigegebene Bereiche, die im Verzeichnis gespeichert sind und von mehreren Anwendungen verstanden werden, im Gegensatz zu App-Bereichen, die nur von einer Ressourcenanwendung definiert und verstanden werden.

Für den Verzeichnisanbieter (Microsoft Entra ID) unterstützt diese Eigenschaft die folgenden Formate:
  • / für mandantenweiten Bereich
  • /administrativeUnits/{administrativeunit-ID} zum Festlegen des Bereichs auf eine Verwaltungseinheit
  • /{application-objectID} zum Festlegen des Bereichs auf eine Ressourcenanwendung
  • /attributeSets/{attributeSet-ID} zum Festlegen des Bereichs auf einen Attributsatz

    Für berechtigungsverwaltungsanbieter, / für mandantenweiten Bereich. Verwenden Sie die appScopeId-Eigenschaft , um den Bereich auf einen Zugriffspaketkatalog zu definieren.

    Für Exchange Online-Anbieter unterstützt diese Eigenschaft die folgenden Formate:
  • / für mandantenweiten Bereich
  • /Users/{ObjectId of user} So können Sie die Rollenzuweisung auf einen bestimmten Benutzer festlegen
  • /AdministrativeUnits/{ObjectId of AU} So können Sie die Rollenzuweisung auf eine Verwaltungseinheit festlegen
  • /Groups/{ObjectId of group} , um die Rollenzuweisung auf direkte Mitglieder einer bestimmten Gruppe zu festlegen

    Es muss entweder appScopeId oder directoryScopeId angegeben werden.
    		•
    principalId String Erforderlich. Bezeichner des Prinzipals, dem die Zuweisung gewährt wird.
    roleDefinitionId String Bezeichner der unifiedRoleDefinition, für die die Zuweisung gilt. Schreibgeschützt. Unterstützt $filter (eq, in).

    Antwort

    Bei erfolgreicher Ausführung gibt die Methode einen 201 Created Antwortcode und ein neues unifiedRoleAssignment-Objekt im Antworttext zurück.

    Beispiele

    Beispiel 1: Erstellen einer Rollenzuweisung mit Mandantenbereich

    Anforderung

    Das folgende Beispiel zeigt eine Anfrage. Beachten Sie die Verwendung von roleTemplateId für roleDefinitionId. roleDefinitionId kann entweder die dienstweite Vorlagen-ID oder die verzeichnisspezifische roleDefinitionId sein.

    POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments
Content-type: application/json

{ 
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "c2cf284d-6c41-4e6b-afac-4b80928c9034",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

    Antwort

    Das folgende Beispiel zeigt die Antwort.

    Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

    HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "YUb1sHQtUEyvox7IA_Eu_mm3jqnUe4lEhvatluHVi2I-1",
    "roleDefinitionId": "c2cf284d-6c41-4e6b-afac-4b80928c9034",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

    Beispiel 2: Erstellen einer Rollenzuweisung mit Verwaltungseinheitsbereich

    Anforderung

    Im folgenden Beispiel wird die Rolle "Benutzeradministrator" einem Prinzipal mit Verwaltungseinheitsbereich zugewiesen.

    POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/administrativeUnits/5d107bba-d8e2-4e13-b6ae-884be90e5d1a"
}

    Antwort

    Das folgende Beispiel zeigt die Antwort.

    Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

    HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "BH21sHQtUEyvox7IA_Eu_mm3jqnUe4lEhvatluHIWb7-1",
    "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/administrativeUnits/5d107bba-d8e2-4e13-b6ae-884be90e5d1a"
}

    Beispiel 3: Erstellen einer Rollenzuweisung mit Attributsatzbereich

    Anforderung

    Im folgenden Beispiel wird die Rolle Attributzuweisungsadministrator einem Prinzipal mit einem Attributsatzbereich namens Engineering zugewiesen. Weitere Informationen zu Microsoft Entra benutzerdefinierten Sicherheitsattributen und zum Attributsatzbereich finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.

    POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/attributeSets/Engineering"
}

    Antwort

    Das folgende Beispiel zeigt die Antwort.

    Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

    HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "oz6hWDLGrkae4JwNQ81_PU-mYqx8m71OpqEQPdN1u",
    "roleDefinitionId": "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/attributeSets/Engineering"
}

    Beispiel 4: Erstellen einer Rollenzuweisung mit Zugriffspaketkatalogbereich

    Anforderung

    Das folgende Beispiel zeigt eine Anfrage.

    POST https://graph.microsoft.com/beta/roleManagement/entitlementManagement/roleAssignments
Content-type: application/json

{
    "principalId": "679a9213-c497-48a4-830a-8d3d25d94ddc",
    "roleDefinitionId": "ae79f266-94d4-4dab-b730-feca7e132178",
    "appScopeId": "/AccessPackageCatalog/beedadfe-01d5-4025-910b-84abb9369997"
}

    Antwort

    Das folgende Beispiel zeigt die Antwort.

    Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

    HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/entitlementManagement/roleAssignments/$entity",
    "id": "f3092518-7874-462e-93e9-0cd6c11ffc52",
    "principalId": "679a9213-c497-48a4-830a-8d3d25d94ddc",
    "roleDefinitionId": "ae79f266-94d4-4dab-b730-feca7e132178",
    "appScopeId": "/AccessPackageCatalog/beedadfe-01d5-4025-910b-84abb9369997"
}

    Beispiel 5: Erstellen einer Rollenzuweisung für Exchange Online Anbieter mit Verwaltungseinheitsbereich

    Anforderung

    Das folgende Beispiel zeigt eine Anfrage.

    POST https://graph.microsoft.com/beta/roleManagement/exchange/roleAssignments
Content-type: application/json

{
    "principalId": "/ServicePrincipals/0451dbb9-6336-42ea-b58f-5953dc053ece",
    "roleDefinitionId": "f66ab1ee-3cac-4d03-8a64-dadc56e563f8",
    "directoryScopeId": "/AdministrativeUnits/8b532c7a-4d3e-4e99-8ffa-2dfec92c62eb",
    "appScopeId": null
}

    Antwort

    Das folgende Beispiel zeigt die Antwort.

    HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/exchange/roleAssignments/$entity",
    "id": "c5dd3ab8-374f-42e9-b163-eb7c54b53755",
    "principalId": "/ServicePrincipals/0451dbb9-6336-42ea-b58f-5953dc053ece",
    "roleDefinitionId": "f66ab1ee-3cac-4d03-8a64-dadc56e563f8",
    "directoryScopeId": "/AdministrativeUnits/8b532c7a-4d3e-4e99-8ffa-2dfec92c62eb",
    "appScopeId": null
}