Trabajar con la API de administración de derechos de Microsoft Entra
Espacio de nombres: microsoft.graph
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
La administración de derechos de Microsoft Entra puede ayudarle a administrar el acceso a grupos, aplicaciones y sitios de SharePoint Online para usuarios internos y usuarios externos a su organización.
Al crear paquetes de acceso con los roles que los usuarios necesitan tener en esos recursos y definir directivas para quién puede solicitar un paquete de acceso y cuánto tiempo pueden tener una asignación a un paquete de acceso, puede controlar el ciclo de vida del acceso para los usuarios internos y externos.
Los tipos de recursos de administración de derechos incluyen:
- accessPackage: define las colecciones de roles de recursos y las directivas de cómo uno o más usuarios pueden obtener acceso a esos recursos.
- accessPackageAssignmentPolicy: especifica la directiva por la que los sujetos pueden solicitar o asignar un paquete de acceso a través de una asignación de paquete de acceso.
- accessPackageAssignmentRequest: creado por un usuario que desea obtener una asignación de paquete de acceso.
- accessPackageAssignment: asignación de un paquete de acceso a un sujeto determinado durante un período de tiempo.
- accessPackageAssignmentResourceRole: indica el rol específico del recurso al que se ha asignado un asunto a través de una asignación de paquete de acceso.
- accessPackageCatalog: un contenedor para paquetes de acceso.
- accessPackageResource: referencia a un recurso asociado a un catálogo de paquetes de acceso.
- accessPackageResourceRequest: una solicitud para agregar un recurso a un catálogo de paquetes de acceso.
- accessPackageResourceEnvironment: referencia a la geolocalización del recurso. Aplicable a sitios de SharePoint Online multigeográfica.
- connectedOrganization: una organización conectada para usuarios externos que pueden solicitar acceso.
- entitlementManagementSettings: configuración de todo el inquilino para la administración de derechos de Microsoft Entra.
- aprobación: representa las decisiones asociadas a una solicitud de paquete de acceso.
Además, puede administrar asignaciones de roles para usuarios, grupos de usuarios y entidades de servicio a roles específicos de administración de derechos a través de definiciones de roles de administración de derechos.
Para ver un tutorial que muestra cómo usar la administración de derechos para crear un paquete de recursos que los usuarios internos pueden solicitar de autoservicio, consulte Creación de un paquete de acceso mediante las API de Microsoft Graph.
El inquilino donde se usa la administración de derechos debe tener suficientes licencias compradas o de prueba. Para obtener más información sobre los requisitos de licencia para la característica de administración de derechos, consulte Requisitos de licencia de administración de derechos.
Métodos
En la tabla siguiente se enumeran los métodos que puede usar para interactuar con recursos relacionados con la administración de derechos.
| Método | Tipo devuelto | Descripción |
|---|---|---|
| Get | entitlementManagementSettings | Lea las propiedades de un objeto entitlementManagementSettings . |
| Actualizar | entitlementManagementSettings | Actualice las propiedades de un objeto entitlementManagementSettings . |
| Acceso de listaPaquetes | colección accessPackage | Recupere una lista de objetos accessPackage . |
| Creación de accessPackage | accessPackage | Cree un nuevo objeto accessPackage . |
| Obtener accessPackage | accessPackage | Lee las propiedades y las relaciones de un objeto accessPackage . |
| Actualizar accessPackage | Ninguno | Actualice las propiedades de un objeto accesspackage . |
| Eliminar accessPackage | Eliminar accessPackage. | |
| FilterByCurrentUser | colección accessPackage | Recupere una lista de objetos accessPackage filtrados en el usuario que inició sesión. |
| Acceso de listaPackageResourceRoleScopes | colección accessPackageResourceRoleScope | Recupere una lista de objetos accessPackageResourceRoleScope para un paquete de acceso. |
| Creación de accessPackageResourceRoleScope | Cree un nuevo objeto accessPackageResourceRoleScope para un paquete de acceso. | |
| Enumerar incompatibleAccessPackages | colección accessPackage | Recupere una lista de los objetos accesspackage incompatibles para este paquete de acceso. |
| Adición de accessPackage a incompatibleAccessPackages | Ninguno | Agregue un vínculo para indicar que otro paquete de acceso no es compatible con un paquete de acceso especificado. |
| Quitar accessPackage de incompatibleAccessPackages | Ninguno | Quite un vínculo que indicaba que un paquete de acceso no era compatible. |
| Enumerar grupos incompatibles | Colección group | Recupere una lista de los objetos de grupo incompatibles para este paquete de acceso. |
| Agregar grupo a incompatibleGroups | Ninguno | Agregue un vínculo para indicar que la pertenencia a un grupo no es compatible con un paquete de acceso especificado. |
| Quitar grupo de incompatibleGroups | Ninguno | Quite un vínculo que indicaba que la pertenencia a un grupo no era compatible. |
| Enumerar accessPackagesIncompatibleWith | colección accessPackage | Recupere una lista de los objetos accesspackage que enumeran este paquete de acceso como incompatible. |
| moveToCatalog | Ninguno | Mueva un paquete de acceso a otro catálogo. |
| Acceso de listaPackageAssignmentPolicies | colección accessPackageAssignmentPolicy | Recupere una lista de objetos accessPackageAssignmentPolicy . |
| Creación de accessPackageAssignmentPolicy | accessPackageAssignmentPolicy | Cree un nuevo objeto accessPackageAssignmentPolicy . |
| Obtener accessPackageAssignmentPolicy | accessPackageAssignmentPolicy | Lee las propiedades y las relaciones de un objeto accessPackageAssignmentPolicy . |
| Actualizar accessPackageAssignmentPolicy | accessPackageAssignmentPolicy | Actualice las propiedades de un objeto accessPackageAssignmentPolicy . |
| Eliminar accessPackageAssignmentPolicy | Elimine un accessPackageAssignmentPolicy. | |
| Enumeración de accessPackageAssignmentRequests | colección accessPackageAssignmentRequest | Recupere una lista de objetos accessPackageAssignmentRequest . |
| Creación de accessPackageAssignmentRequest | accessPackageAssignmentRequest | Cree un nuevo accessPackageAssignmentRequest. |
| Obtener accessPackageAssignmentRequest | accessPackageAssignmentRequest | Lee las propiedades y las relaciones de un objeto accessPackageAssignmentRequest . |
| Eliminar accessPackageAssignmentRequest | Ninguno | Elimine un accessPackageAssignmentRequest. |
| FilterByCurrentUser | colección accessPackageAssignmentRequest | Recupere la lista de objetos accessPackageAssignmentRequest filtrados en el usuario que ha iniciado sesión. |
| cancel | colección accessPackageAssignmentRequest | Cancele un objeto accessPackageAssignmentRequest que se encuentra en un estado cancelable: accepted, pendingApproval, pendingNotBefore, pendingApprovalEscalated. |
| Acceso de listaPackageAssignments | colección accessPackageAssignment | Recupere una lista de objetos accessPackageAssignment . |
| FilterByCurrentUser | colección accessPackageAssignment | Recupere la lista de objetos accessPackageAssignment filtrados en el usuario que inició sesión. |
| reprocesar | Ninguno | Vuelva a evaluar y aplicar automáticamente las asignaciones de un usuario para un paquete de acceso específico. |
| colección additionalAccessaccessPackageAssignment | Recupere la lista de objetos accessPackageAssignment para los usuarios que tienen asignaciones a paquetes de acceso incompatibles. | |
| Acceso de listaPackageAssignmentResourceRoles | colección accessPackageAssignmentResourceRole | Recupere una lista de objetos accessPackageAssignmentResourceRole . |
| Obtener accessPackageAssignmentResourceRole | accessPackageAssignmentResourceRole | Recupere un objeto accessPackageAssignmentResourceRole . |
| Acceso de listaPackageCatalogs | colección accessPackageCatalog | Recupere una lista de objetos accessPackageCatalogs . |
| Creación de accessPackageCatalog | accessPackageCatalog | Cree un nuevo objeto accessPackageCatalog . |
| Obtener accesoPackageCatalog | accessPackageCatalog | Lee las propiedades y las relaciones de un objeto accessPackageCatalog . |
| Actualizar accessPackageCatalog | Ninguno | Actualice las propiedades de un objeto accessPackageCatalog . |
| Eliminar accessPackageCatalog | Elimine un accessPackageCatalog. | |
| Enumerar los recursos de accessPackageCatalog | colección accessPackageResource | Recupere una lista de objetos accessPackageResource . |
| Enumerar los roles de recurso accessPackageCatalog | colección accessPackageResourceRole | Recupere una lista de objetos accessPackageResourceRole . |
| Enumeración de accessPackageResourceRequests | colección accessPackageResourceRequest | Lee las propiedades y las relaciones de los objetos accessPackageResourceRequest . |
| Creación de accessPackageResourceRequest | accessPackageCatalog | Cree un nuevo objeto accessPackageResourceRequest . |
| Enumerar accessPackageResourceEnvironments | colección accessPackageResourceEnvironment | Recupere una lista de objetos accessPackageResourceEnvironment . |
| Obtener accessPackageResourceEnvironment | accessPackageResourceEnvironment | Lea las propiedades y relaciones de un objeto accessPackageResourceEnvironment . |
| Enumerar connectedOrganizations | colección connectedOrganization | Recupere una lista de objetos connectedOrganization . |
| Creación de connectedOrganization | connectedOrganization | Cree un nuevo objeto connectedOrganization . |
| Obtener connectedOrganization | connectedOrganization | Lee las propiedades y las relaciones de un objeto connectedOrganization . |
| Actualizar connectedOrganization | Ninguno | Actualice un connectedOrganization. |
| Eliminación de connectedOrganization | Ninguno | Elimine un connectedOrganization. |
| Enumerar internalSponsors | Colección directoryObject | Recupere una lista de los patrocinadores internos de un connectedOrganization . |
| Enumerar externalSponsors | Colección directoryObject | Recupere una lista de los patrocinadores externos de un connectedOrganization . |
| Agregar internalSponsors | Ninguno | Agregue un usuario o grupo a los patrocinadores internos de connectedOrganization . |
| Agregar externalSponsors | Ninguno | Agregue un usuario o grupo a los patrocinadores externos de connectedOrganization . |
| Quitar internalSponsors | Ninguno | Quite un usuario o grupo de los patrocinadores internos de un connectedOrganization . |
| Obtener aprobación | aprobación | Recupere las propiedades de un objeto de aprobación . |
| Enumeración de approvalSteps | colección approvalStep | Enumere los objetos approvalStep asociados a un objeto de aprobación . |
| Obtener aprobaciónPaso | approvalStep | Recupere las propiedades de un objeto approvalStep . |
| Actualizar approvalStep | Ninguno | Aplicar la decisión de aprobación o denegación en un objeto approvalStep . |
Tipos
- requestorSettings, approvalSettings, questions y assignmentReviewSettings : se usa en un accessPackageAssignmentPolicy para especificar quién puede solicitar, quién aprueba y quién revisa las solicitudes de asignación de paquetes de acceso en esa directiva.
- approvalStage : se usa en approvalSettings para especificar los aprobadores principal, de copia de seguridad y de escalación.
- approvalStep : se usa en la aprobación para distinguir los diferentes pasos de aprobación.
- subtipos userSetsingleUser, groupMembers, connectedOrganizationMembers, requestorManager, internalSponsors, externalSponsors y targetUserSponsors: se usan en requestorSettings, approvalStage, approvalStep y assignmentReviewSettings.
- accessPackageSubject : se usa en accessPackageAssignment como un usuario sujeto que tiene una asignación de paquete de acceso.
- identitySource : se usa en connectedOrganization, una de azureActiveDirectoryTenant, crossCloudAzureActiveDirectoryTenant, domainIdentitySource o externalDomainFederation.