Partager via


Mettre à jour unifiedRoleManagementPolicyRule

Espace de noms: microsoft.graph

Mettre à jour une règle définie pour une stratégie de gestion des rôles. La règle peut être l’un des types suivants dérivés de l’objet unifiedRoleManagementPolicyRule :

Pour plus d’informations sur les règles pour les rôles Microsoft Entra et des exemples de règles de mise à jour, consultez les articles suivants :

Cette API est disponible dans les déploiements de cloud national suivants.

Service global Gouvernement des États-Unis L4 Us Government L5 (DOD) Chine gérée par 21Vianet

Autorisations

L’une des autorisations suivantes est nécessaire pour appeler cette API. Pour plus d’informations, notamment sur la façon de choisir les autorisations, voir Autorisations.

Pour PIM pour les rôles Microsoft Entra

Type d’autorisation Autorisations (de celle qui offre le plus de privilèges à celle qui en offre le moins)
Déléguée (compte professionnel ou scolaire) RoleManagementPolicy.ReadWrite.Directory, RoleManagement.ReadWrite.Directory
Déléguée (compte Microsoft personnel) Non prise en charge.
Application RoleManagementPolicy.ReadWrite.Directory, RoleManagement.ReadWrite.Directory

Importante

Dans les scénarios délégués avec des comptes professionnels ou scolaires, l’utilisateur connecté doit se voir attribuer un rôle Microsoft Entra pris en charge ou un rôle personnalisé avec une autorisation de rôle prise en charge. Les rôles les moins privilégiés suivants sont pris en charge pour cette opération.

  • Pour les opérations de lecture : Lecteur général, Opérateur de sécurité, Lecteur de sécurité, Administrateur de la sécurité ou Administrateur de rôle privilégié
  • Pour les opérations d’écriture : Administrateur de rôle privilégié

Pour PIM pour les groupes

Type d’autorisation Autorisations (de celle qui offre le plus de privilèges à celle qui en offre le moins)
Déléguée (compte professionnel ou scolaire) RoleManagementPolicy.ReadWrite.AzureADGroup
Déléguée (compte Microsoft personnel) Non prise en charge.
Application RoleManagementPolicy.ReadWrite.AzureADGroup

Requête HTTP

Pour mettre à jour une règle définie pour une stratégie pour les rôles Microsoft Entra ou les groupes dans PIM :

PATCH /policies/roleManagementPolicies/{unifiedRoleManagementPolicyId}/rules/{unifiedRoleManagementPolicyRuleId}

En-têtes de demande

Nom Description
Autorisation Porteur {token}. Obligatoire. En savoir plus sur l’authentification et l’autorisation.
Content-Type application/json. Obligatoire.

Corps de la demande

Dans le corps de la demande, fournissez uniquement les valeurs des propriétés à mettre à jour. Les propriétés existantes qui ne sont pas incluses dans le corps de la demande conservent leurs valeurs précédentes ou sont recalculées en fonction des modifications apportées à d’autres valeurs de propriété.

Le tableau suivant spécifie les propriétés qui peuvent être mises à jour.

Propriété Type Description
claimValue String Valeur de la revendication de contexte d’authentification.

Peut être mis à jour pour le type de règle unifiedRoleManagementPolicyAuthenticationContextRule .
enabledRules String collection Collection de règles activées pour cette règle de stratégie. Par exemple, MultiFactorAuthentication, Ticketinget Justification.

Peut être mis à jour pour le type de règle unifiedRoleManagementPolicyEnablementRule .
isDefaultRecipientsEnabled Boolean Indique si un destinataire par défaut recevra l’e-mail de notification.

Peut être mis à jour pour le type de règle unifiedRoleManagementPolicyNotificationRule .
isEnabled Boolean Indique si cette règle est activée.

Peut être mis à jour pour le type de règle unifiedRoleManagementPolicyAuthenticationContextRule .
isExpirationRequired Boolean Indique si l’expiration est requise ou s’il s’agit d’une affectation ou d’une éligibilité active en permanence.

Peut être mis à jour pour le type de règle unifiedRoleManagementPolicyExpirationRule .
maximumDuration Durée Durée maximale autorisée pour l’éligibilité ou l’affectation qui n’est pas permanente. Obligatoire quand isExpirationRequired est true.

Peut être mis à jour pour le type de règle unifiedRoleManagementPolicyExpirationRule .
notificationLevel String Niveau de notification. Les valeurs possibles sont None, Critical, All.

Peut être mis à jour pour le type de règle unifiedRoleManagementPolicyNotificationRule .
notificationRecipients Collection de chaînes Liste des destinataires du Notifications par e-mail.

Peut être mis à jour pour le type de règle unifiedRoleManagementPolicyNotificationRule .
notificationType String Type de notification. Seul Email est pris en charge.

Peut être mis à jour pour le type de règle unifiedRoleManagementPolicyNotificationRule .
recipientType String Type de destinataire de la notification. Les valeurs possibles sont Requestor, Approver, Admin.
Peut être mis à jour pour le type de règle unifiedRoleManagementPolicyNotificationRule .
paramètres approvalSettings Paramètres d’approbation de l’attribution de rôle.

Peut être mis à jour pour le type de règle unifiedRoleManagementPolicyApprovalRule .
target unifiedRoleManagementPolicyRuleTarget Définit les détails de l’étendue ciblée par la règle de stratégie de gestion des rôles. Les détails peuvent inclure le type de principal, le type d’attribution de rôle et les actions affectant un rôle.

Peut être mis à jour pour tous les types de règles.

Note: La @odata.type propriété avec une valeur du type de règle spécifique doit être incluse dans le corps. Par exemple : "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyApprovalRule".

Réponse

Si elle réussit, cette méthode renvoie un 200 OK code de réponse et un objet unifiedRoleManagementPolicyRule dans le corps de la réponse.

Exemples

Exemple 1 : Mettre à jour une règle définie pour une stratégie dans PIM pour les rôles Microsoft Entra

Demande

L’exemple suivant met à jour une règle de stratégie de gestion des rôles de type unifiedRoleManagementPolicyExpirationRule et avec l’ID est Expiration_EndUser_Assignment.

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/DirectoryRole_84841066-274d-4ec0-a5c1-276be684bdd3_200ec19a-09e7-4e7a-9515-cf1ee64b96f9/rules/Expiration_EndUser_Assignment
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "@odata.type": "microsoft.graph.unifiedRoleManagementPolicyRuleTarget",
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Réponse

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/roleManagementPolicies('DirectoryRole_84841066-274d-4ec0-a5c1-276be684bdd3_200ec19a-09e7-4e7a-9515-cf1ee64b96f9')/rules/$entity",
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Exemple 2 : Mettre à jour une règle définie pour une stratégie dans PIM pour les groupes

Demande

L’exemple suivant met à jour une règle de stratégie de gestion des rôles avec l’ID Expiration_EndUser_Assignment.

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/Group_60bba733-f09d-49b7-8445-32369aa066b3_f21b26d9-9ff9-4af1-b1d4-bddf28591369/rules/Expiration_EndUser_Assignment
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Réponse

L’exemple suivant illustre la réponse.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/roleManagementPolicies('Group_60bba733-f09d-49b7-8445-32369aa066b3_f21b26d9-9ff9-4af1-b1d4-bddf28591369')/rules/$entity",
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}