Partilhar via


Atualizar unifiedRoleManagementPolicyRule

Namespace: microsoft.graph

Atualizar uma regra definida para uma política de gestão de funções. A regra pode ser um dos seguintes tipos derivados do objeto unifiedRoleManagementPolicyRule :

Para obter mais informações sobre as regras para Microsoft Entra funções e exemplos de regras de atualização, consulte os seguintes artigos:

Esta API está disponível nas seguintes implementações de cloud nacionais.

Serviço global US Government L4 US Government L5 (DOD) China operada pela 21Vianet

Permissões

Uma das seguintes permissões é necessária para chamar esta API. Para saber mais, incluindo como escolher permissões, confira Permissões.

Para o PIM para funções de Microsoft Entra

Tipo de permissão Permissões (da com menos para a com mais privilégios)
Delegado (conta corporativa ou de estudante) RoleManagementPolicy.ReadWrite.Directory, RoleManagement.ReadWrite.Directory
Delegado (conta pessoal da Microsoft) Sem suporte.
Application RoleManagementPolicy.ReadWrite.Directory, RoleManagement.ReadWrite.Directory

Importante

Em cenários delegados com contas escolares ou profissionais, o utilizador com sessão iniciada tem de ter uma função de Microsoft Entra suportada ou uma função personalizada com uma permissão de função suportada. As seguintes funções com menos privilégios são suportadas para esta operação.

  • Para operações de leitura: Leitor Global, Operador de Segurança, Leitor de Segurança, Administrador de Segurança ou Administrador de Função Privilegiada
  • Para operações de escrita: Administrador de Funções Com Privilégios

Para PIM para grupos

Tipo de permissão Permissões (da com menos para a com mais privilégios)
Delegado (conta corporativa ou de estudante) RoleManagementPolicy.ReadWrite.AzureADGroup
Delegado (conta pessoal da Microsoft) Sem suporte.
Application RoleManagementPolicy.ReadWrite.AzureADGroup

Solicitação HTTP

Para atualizar uma regra definida para uma política para Microsoft Entra funções ou grupos no PIM:

PATCH /policies/roleManagementPolicies/{unifiedRoleManagementPolicyId}/rules/{unifiedRoleManagementPolicyRuleId}

Cabeçalhos de solicitação

Nome Descrição
Autorização {token} de portador. Obrigatório. Saiba mais sobre autenticação e autorização.
Content-Type application/json. Obrigatório.

Corpo da solicitação

No corpo do pedido, forneça apenas os valores das propriedades a atualizar. As propriedades existentes que não estão incluídas no corpo do pedido mantêm os valores anteriores ou são recalculadas com base em alterações a outros valores de propriedade.

A tabela a seguir especifica as propriedades que podem ser atualizadas.

Propriedade Tipo Descrição
claimValue Cadeia de caracteres O valor da afirmação de contexto de autenticação.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyAuthenticationContextRule .
enabledRules Coleção de cadeias de caracteres A coleção de regras que estão ativadas para esta regra de política. Por exemplo, MultiFactorAuthentication, Ticketinge Justification.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyEnablementRule .
isDefaultRecipientsEnabled Booliano Indica se um destinatário predefinido receberá o e-mail de notificação.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyNotificationRule .
isEnabled Booliano Se esta regra está ativada.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyAuthenticationContextRule .
isExpirationRequired Booliano Indica se a expiração é necessária ou se é uma atribuição ou elegibilidade permanentemente ativa.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyExpirationRule .
maximumDuration Duração A duração máxima permitida para elegibilidade ou atribuição que não é permanente. Necessário quando isExpirationRequired é true.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyExpirationRule .
notificationLevel Cadeia de caracteres O nível de notificação. Os valores possíveis são None, Critical, All.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyNotificationRule .
notificationRecipients String collection A lista de destinatários do notificações por email.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyNotificationRule .
notificationType Cadeia de caracteres O tipo de notificação. Só Email é suportado.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyNotificationRule .
recipientType Cadeia de caracteres O tipo de destinatário da notificação. Os valores possíveis são Requestor, Approver, Admin.
Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyNotificationRule .
configuração approvalSettings As definições para aprovação da atribuição de função.

Pode ser atualizado para o tipo de regra unifiedRoleManagementPolicyApprovalRule .
destino unifiedRoleManagementPolicyRuleTarget Define os detalhes do âmbito visado pela regra de política de gestão de funções. Os detalhes podem incluir o tipo principal, o tipo de atribuição de função e as ações que afetam uma função.

Pode ser atualizado para todos os tipos de regras.

Nota: A @odata.type propriedade com um valor do tipo de regra específico tem de ser incluída no corpo. Por exemplo, "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyApprovalRule".

Resposta

Se for bem-sucedido, este método devolve um 200 OK código de resposta e um objeto unifiedRoleManagementPolicyRule no corpo da resposta.

Exemplos

Exemplo 1: Atualizar uma regra definida para uma política no PIM para Microsoft Entra funções

Solicitação

O exemplo seguinte atualiza uma regra de política de gestão de funções do tipo unifiedRoleManagementPolicyExpirationRule e com o ID é Expiration_EndUser_Assignment.

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/DirectoryRole_84841066-274d-4ec0-a5c1-276be684bdd3_200ec19a-09e7-4e7a-9515-cf1ee64b96f9/rules/Expiration_EndUser_Assignment
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "@odata.type": "microsoft.graph.unifiedRoleManagementPolicyRuleTarget",
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Resposta

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/roleManagementPolicies('DirectoryRole_84841066-274d-4ec0-a5c1-276be684bdd3_200ec19a-09e7-4e7a-9515-cf1ee64b96f9')/rules/$entity",
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Exemplo 2: Atualizar uma regra definida para uma política no PIM para grupos

Solicitação

O exemplo seguinte atualiza uma regra de política de gestão de funções com o ID Expiration_EndUser_Assignment.

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/Group_60bba733-f09d-49b7-8445-32369aa066b3_f21b26d9-9ff9-4af1-b1d4-bddf28591369/rules/Expiration_EndUser_Assignment
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Resposta

O exemplo a seguir mostra a resposta.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/roleManagementPolicies('Group_60bba733-f09d-49b7-8445-32369aa066b3_f21b26d9-9ff9-4af1-b1d4-bddf28591369')/rules/$entity",
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}