次の方法で共有


resourceRoleScope を作成する

名前空間: microsoft.graph

アクセス パッケージにリソース ロールを追加するための新しい accessPackageResourceRoleScope を作成します。 グループ、アプリ、または SharePoint Online サイトのアクセス パッケージ リソースは、アクセス パッケージ カタログに既に存在し、リソース ロールの一覧から取得したリソース ロールの originId が必要です。 アクセス パッケージにリソース ロールスコープを追加すると、ユーザーは現在および将来のアクセス パッケージの割り当てを通じてこのリソース ロールを受け取ります。

この API は、次の国内クラウド展開で使用できます。

グローバル サービス 米国政府機関 L4 米国政府機関 L5 (DOD) 21Vianet が運営する中国

アクセス許可

この API の最小特権としてマークされているアクセス許可またはアクセス許可を選択します。 アプリで必要な場合にのみ、より高い特権のアクセス許可またはアクセス許可を使用します。 委任されたアクセス許可とアプリケーションのアクセス許可の詳細については、「アクセス許可の種類」を参照してください。 これらのアクセス許可の詳細については、「アクセス許可のリファレンス」を参照してください。

アクセス許可の種類 最小特権アクセス許可 より高い特権のアクセス許可
委任 (職場または学校のアカウント) EntitlementManagement.ReadWrite.All 注意事項なし。
委任 (個人用 Microsoft アカウント) サポートされていません。 サポートされていません。
アプリケーション EntitlementManagement.ReadWrite.All 注意事項なし。

ヒント

職場または学校アカウントを使用した委任されたシナリオでは、サインインしているユーザーに、次のいずれかのオプションを使用して、サポートされているロールのアクセス許可を持つ管理者ロールも割り当てる必要があります。

アプリのみのシナリオでは、呼び出し元のアプリに、 EntitlementManagement.ReadWrite.All アプリケーションのアクセス許可ではなく、前述のサポートされているロールのいずれかを割り当てることができます。 Access パッケージ マネージャー ロールの特権は、EntitlementManagement.ReadWrite.All アプリケーションのアクセス許可よりも低くなります。

詳細については、「エンタイトルメント管理での委任とロール」および「エンタイトルメント管理でパッケージ マネージャーにアクセスするためのアクセス ガバナンスを委任する方法」を参照してください。

HTTP 要求

POST /identityGovernance/entitlementManagement/accessPackages/{id}/resourceRoleScopes

要求ヘッダー

名前 説明
Authorization ベアラー {token}。 必須です。 認証と認可についての詳細をご覧ください。
Content-Type application/json. 必須です。

要求本文

要求本文で、 accessPackageResourceRoleScope オブジェクトの JSON 表現を指定します。 accessPackageResourceRole オブジェクトと accessPackageResourceScope オブジェクトとの関係をオブジェクトに含めます。このオブジェクトは、カタログを含むアクセス パッケージ リソースを一覧表示する要求から取得$expand=roles,scopes

応答

成功した場合、このメソッドは応答本文に 200 シリーズの応答コードと新しい accessPackageResourceRoleScope オブジェクトを返します。

例 1: SharePoint Online サイト ロールをアクセス パッケージに追加する

要求

次の例は、SharePoint Online サイト ロールをアクセス パッケージのリソース ロールの一覧に追加する要求を示しています。 サイトのアクセス パッケージ リソースは、このアクセス パッケージを含むアクセス パッケージ カタログに既に追加されている必要があります。

要求には accessPackageResourceRole オブジェクトが含まれています。 リソースの種類ごとに、リソース ロールの originId フィールドの形式が定義されます。 SharePoint Online サイトの場合、originId はサイト内のロールのシーケンス番号になります。 リソース ロールは、 SharePoint Online サイト コレクションのリソースのロールを取得する要求から取得できます。

POST https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/{id}/resourceRoleScopes
Content-type: application/json

{
    "role": {
        "displayName": "Contributors",
        "originSystem": "SharePointOnline",
        "originId": "4",
        "resource": {
            "id": "53c71803-a0a8-4777-aecc-075de8ee3991"
        }
    },
    "scope": {
        "displayName": "Root",
        "description": "Root Scope",
        "originId": "https://contoso.sharepoint.com/portals/Community",
        "originSystem": "SharePointOnline",
        "isRootScope": true
    }
}

応答

次の例は応答を示しています。

注: ここに示す応答オブジェクトは、読みやすさのために短縮されている場合があります。

HTTP/1.1 201 Created
Content-type: application/json

{
   "id": "6646a29e-da03-49f6-bcd9-dec124492de3_5ae0ae7c-d0a5-42aa-ab37-1f15e9a61d33",
    "createdDateTime": "2023-06-28T01:19:48.4216782Z"
}

例 2: アクセス パッケージにアプリケーション ロールを追加する

要求

次の例は、アクセス パッケージのリソース ロールの一覧にアプリケーションのロールを追加する要求を示しています。 アプリケーションのアクセス パッケージ リソースは、このアクセス パッケージを含むアクセス パッケージ カタログに既に追加されている必要があります。 roleresource、およびscopeは、カタログのリソースの一覧から取得できます。

POST https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/cdd5f06b-752a-4c9f-97a6-82f4eda6c76d/resourceRoleScopes
Content-type: application/json

{
    "role": {
        "id": "cde82ecb-e461-496b-98fb-4f807c7ca640",
        "displayName": "Standard User",
        "description": "Standard User",
        "originSystem": "AadApplication",
        "originId": "a29a7690-b3c4-4ed5-96c6-f640cde06fb8",
        "resource": {
            "id": "5f80c0c7-a180-4521-b585-18200048a0d8",
            "originId": "e81d7f57-0840-45e1-894b-f505c1bdcc1f",
            "originSystem": "AadApplication"
        }
    },
    "scope": {
        "id": "dbeb8772-9907-4e95-a28e-a8d70dbcda69",
        "originId": "e81d7f57-0840-45e1-894b-f505c1bdcc1f",
        "originSystem": "AadApplication",
        "isRootScope": true
    }
}

応答

次の例は応答を示しています。

注: ここに示す応答オブジェクトは、読みやすさのために短縮されている場合があります。

HTTP/1.1 201 Created
Content-type: application/json

{
   "id": "cde82ecb-e461-496b-98fb-4f807c7ca640_dbeb8772-9907-4e95-a28e-a8d70dbcda69",
   "createdDateTime": "2023-06-28T01:19:48.4216782Z"
}

例 3: アクセス パッケージにグループ メンバーシップを追加する

要求

次の例は、アクセス パッケージのリソース ロールの一覧にグループのメンバーシップを追加する要求を示しています。 グループのアクセス パッケージ リソースは、このアクセス パッケージを含むアクセス パッケージ カタログに既に追加されている必要があります。 roleresource、およびscopeは、カタログのリソースの一覧から取得できます。

POST https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/cdd5f06b-752a-4c9f-97a6-82f4eda6c76d/resourceRoleScopes
Content-type: application/json

{
    "role": {
        "id": "748f8431-c7c6-404d-8564-df67aa8cfc5e",
        "displayName": "Member",
        "originSystem": "AadGroup",
        "originId": "Member_0282e19d-bf41-435d-92a4-99bab93af305",
        "resource": {
            "id": "b16e0e71-17b4-4ebd-a3cd-8a468542e418",
            "displayName": "example group",
            "description": "a group whose members are to be assigned via an access package",
            "originId": "0282e19d-bf41-435d-92a4-99bab93af305",
            "originSystem": "AadGroup"
        }
    },
    "scope": {
        "id": "83b3e3e9-c8b3-481b-ad80-53e29d1eda9c",
        "displayName": "Root",
        "description": "Root Scope",
        "originId": "0282e19d-bf41-435d-92a4-99bab93af305",
        "originSystem": "AadGroup",
        "isRootScope": true
    }
}

応答

次の例は応答を示しています。

注: ここに示す応答オブジェクトは、読みやすさのために短縮されている場合があります。

HTTP/1.1 201 Created
Content-type: application/json

{
   "id": "748f8431-c7c6-404d-8564-df67aa8cfc5e_83b3e3e9-c8b3-481b-ad80-53e29d1eda9c",
   "createdDateTime": "2023-06-28T01:19:48.4216782Z"
}