Partager via


Créer accessPackageResourceRoleScope

Espace de noms: microsoft.graph

Importante

Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .

Créez un élément accessPackageResourceRoleScope pour ajouter un rôle de ressource à un package d’accès. La ressource de package d’accès, pour un groupe, une application ou un site SharePoint Online, doit déjà exister dans le catalogue de packages d’accès, et l’originId pour le rôle de ressource récupéré à partir de la liste des rôles de ressource. Une fois que vous avez ajouté l’étendue du rôle de ressource au package d’accès, l’utilisateur reçoit ce rôle de ressource via toutes les attributions de package d’accès actuelles et futures.

Cette API est disponible dans les déploiements de cloud national suivants.

Service global Gouvernement des États-Unis L4 Us Government L5 (DOD) Chine gérée par 21Vianet

Autorisations

Choisissez l’autorisation ou les autorisations marquées comme moins privilégiées pour cette API. Utilisez une autorisation ou des autorisations privilégiées plus élevées uniquement si votre application en a besoin. Pour plus d’informations sur les autorisations déléguées et d’application, consultez Types d’autorisations. Pour en savoir plus sur ces autorisations, consultez les informations de référence sur les autorisations.

Type d’autorisation Autorisations avec privilèges minimum Autorisations privilégiées plus élevées
Déléguée (compte professionnel ou scolaire) EntitlementManagement.ReadWrite.All Non disponible.
Déléguée (compte Microsoft personnel) Non prise en charge. Non prise en charge.
Application EntitlementManagement.ReadWrite.All Non disponible.

Conseil

Dans les scénarios délégués avec des comptes professionnels ou scolaires, l’utilisateur connecté doit également se voir attribuer un rôle d’administrateur avec des autorisations de rôle prises en charge via l’une des options suivantes :

Dans les scénarios d’application uniquement, l’application appelante peut se voir attribuer l’un des rôles pris en charge précédents au lieu de l’autorisation d’application EntitlementManagement.ReadWrite.All . Le rôle gestionnaire de package Access est moins privilégié que l’autorisation d’application EntitlementManagement.ReadWrite.All .

Pour plus d’informations, consultez Délégation et rôles dans la gestion des droits d’utilisation et comment déléguer la gouvernance des accès aux gestionnaires de package d’accès dans la gestion des droits d’utilisation.

Requête HTTP

POST /identityGovernance/entitlementManagement/accessPackages/{id}/accessPackageResourceRoleScopes

En-têtes de demande

Nom Description
Autorisation Porteur {token}. Obligatoire. En savoir plus sur l’authentification et l’autorisation.
Content-Type application/json. Obligatoire.

Corps de la demande

Dans le corps de la demande, fournissez une représentation JSON d’un objet accessPackageResourceRoleScope . Incluez dans l’objet les relations à un objet accessPackageResourceRole , qui peut être obtenu à partir d’une demande de liste des rôles de ressources de package d’accès d’une ressource dans un catalogue, et d’un objet accessPackageResourceScope , qui peut être obtenu à partir d’une demande de liste des ressources de package d’accès avec $expand=accessPackageResourceScopes.

Réponse

Si elle réussit, cette méthode renvoie un code de réponse de série 200 et un nouvel objet accessPackageResourceRoleScope dans le corps de la réponse.

Exemples

Exemple 1 : Ajouter l’appartenance à un groupe en tant que rôle de ressource à un package d’accès

Demande

L’exemple suivant illustre une demande. Avant cette demande, la ressource 1d08498d-72a1-403f-8511-6b1f875746a0 de package d’accès pour le groupe b31fe1f1-3651-488f-bd9a-1711887fd4ca doit déjà avoir été ajoutée au catalogue de packages d’accès contenant ce package d’accès. La ressource aurait pu être ajoutée au catalogue en créant une demande de ressource de package d’accès.

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackages/{id}/accessPackageResourceRoleScopes
Content-type: application/json

{
  "accessPackageResourceRole":{
    "originId":"Member_b31fe1f1-3651-488f-bd9a-1711887fd4ca",
    "displayName":"Member",
    "originSystem":"AadGroup",
    "accessPackageResource":{"id":"1d08498d-72a1-403f-8511-6b1f875746a0","resourceType":"O365 Group","originId":"b31fe1f1-3651-488f-bd9a-1711887fd4ca","originSystem":"AadGroup"}
  },
 "accessPackageResourceScope":{
   "originId":"b31fe1f1-3651-488f-bd9a-1711887fd4ca","originSystem":"AadGroup"
 }
}

Réponse

L’exemple suivant illustre la réponse.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#accessPackageResourceRoleScopes/$entity",
    "id": "ad5c7636-e481-4528-991f-198e3b38dd56_ffd4004a-f4a9-4b22-b027-759e55c0d1db",
    "createdBy": "admin@example.com",
    "createdDateTime": "2019-12-11T01:35:26.4754081Z",
    "modifiedBy": "admin@example.com",
    "modifiedDateTime": "2019-12-11T01:35:26.4754081Z"
}

Exemple 2 : Ajouter un rôle de site SharePoint Online à un package d’accès

Demande

L’exemple suivant montre une demande pour une ressource d’étendue non racine. La ressource de package d’accès pour le site doit déjà avoir été ajoutée au catalogue de packages d’accès contenant ce package d’accès.

La requête contient un objet accessPackageResourceRole , qui peut être obtenu à partir d’une demande antérieure pour répertorier les rôles de ressources de package d’accès d’une ressource dans un catalogue. Chaque type de ressource définit le format du champ originId dans un rôle de ressource. Pour un site SharePoint Online, originId est le numéro de séquence du rôle dans le site.

Si l’objet accessPackageResourceScope obtenu à partir d’une demande précédente pour répertorier les ressources du package d’accès a la ressource comme étendue racine (isRootScope défini sur true), incluez la propriété isRootScope dans l’objet accessPackageResourceScope de la requête.

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackages/{id}/accessPackageResourceRoleScopes
Content-type: application/json

{
    "accessPackageResourceRole": {
        "originId": "4",
        "originSystem": "SharePointOnline",
        "accessPackageResource": {
            "id": "53c71803-a0a8-4777-aecc-075de8ee3991"
        }
    },
    "accessPackageResourceScope": {
        "id": "5ae0ae7c-d0a5-42aa-ab37-1f15e9a61d33",
        "originId": "https://microsoft.sharepoint.com/portals/Community",
        "originSystem": "SharePointOnline"
    }
}

Réponse

L’exemple suivant illustre la réponse.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 201 Created
Content-type: application/json

{
   "id": "6646a29e-da03-49f6-bcd9-dec124492de3_5ae0ae7c-d0a5-42aa-ab37-1f15e9a61d33"
}

Exemple 3 : Ajouter un rôle Microsoft Entra en tant que ressource dans un package d’accès

Demande

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackages/{id}/accessPackageResourceRoleScopes
Content-type: application/json

{
    "role": {
        "originId": "Eligible",
        "displayName": "Eligible Member",
        "originSystem": "DirectoryRole",
        "resource": {
            "id": "ea036095-57a6-4c90-a640-013edf151eb1"
        }
    },
    "scope": {
        "description": "Root Scope",
        "displayName": "Root",
        "isRootScope": true,
        "originSystem": "DirectoryRole",
        "originId": "c4e39bd9-1100-46d3-8c65-fb160da0071f"
    }
}

Réponse

L’exemple suivant illustre la réponse.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 201 Created
Content-type: application/json

{
   "id": "ea036095-57a6-4c90-a640-013edf151eb1_c4e39bd9-1100-46d3-8c65-fb160da0071f",
   "createdDateTime": "2023-06-28T01:19:48.4216782Z"
}