accessPackageAssignment: additionalAccess
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
В Microsoft Entra управление правами извлеките коллекцию объектов accessPackageAssignment, которые указывают, что целевой пользователь имеет назначение указанному пакету доступа, а также назначение другому, потенциально несовместимого пакета доступа. Его можно использовать для подготовки к настройке несовместимых пакетов доступа для определенного пакета доступа.
Этот API доступен в следующих национальных облачных развертываниях.
| Глобальная служба | Правительство США L4 | Правительство США L5 (DOD) | Китай управляется 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ❌ |
Разрешения
Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более привилегированное разрешение или разрешения только в том случае, если это требуется приложению. Дополнительные сведения о делегированных разрешениях и разрешениях приложений см. в разделе Типы разрешений. Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.
| Тип разрешения | Разрешения с наименьшими привилегиями | Более высокие привилегированные разрешения |
|---|---|---|
| Делегированные (рабочая или учебная учетная запись) | EntitlementManagement.Read.All | EntitlementManagement.ReadWrite.All |
| Делегированные (личная учетная запись Майкрософт) | Не поддерживается. | Не поддерживается. |
| Для приложений | Не поддерживается. | Не поддерживается. |
Совет
В делегированных сценариях с рабочими или учебными учетными записями вошедшему пользователю также должна быть назначена роль администратора с поддерживаемыми разрешениями роли с помощью одного из следующих параметров:
-
Роль в системе управления правами, где наименее привилегированные роли:
- Средство чтения каталога. Это наименее привилегированный вариант
- Создатель каталога
- Диспетчер пакетов доступа
- Дополнительные привилегированные Microsoft Entra роли, поддерживаемые для этой операции:
- Читатель сведений о безопасности
- Глобальный читатель
- Администратор соответствия требованиям
- Администратор безопасности
- Администратор управления удостоверениями
В сценариях только для приложений вызывающему приложению можно назначить одну из предыдущих поддерживаемых ролей вместо EntitlementManagement.Read.All разрешения приложения. Роль читателя каталога имеет меньшие привилегии, чем EntitlementManagement.Read.All разрешение приложения.
Дополнительные сведения см. в разделе Делегирование и роли в управлении правами и как делегировать управление доступом диспетчерам пакетов в управлении правами.
HTTP-запрос
GET /identityGovernance/entitlementManagement/accessPackageAssignments/additionalAccess(accessPackageId='parameterValue',incompatibleAccessPackageId='parameterValue')
Параметры функции
В следующей таблице показаны параметры, которые должны быть предоставлены с этой функцией. Два идентификатора пакетов для доступа должны быть разными.
| Параметр | Тип | Описание |
|---|---|---|
| accessPackageId | String | Указывает идентификатор пакета доступа, для которого вызывающий объект хотел бы получить назначения. Обязательно. |
| incompatibleAccessPackageId | String | Конкретный несовместимый пакет доступа, для которого вызывающий объект хотел бы получить только те назначения, для которых у пользователя также есть назначение этому несовместимому пакету доступа. Обязательно. |
Необязательные параметры запросов
Этот метод поддерживает $selectпараметры запроса , $filterи $expand OData для настройки ответа. Общие сведения см. в статье Параметры запроса OData.
Заголовки запросов
| Имя | Описание |
|---|---|
| Авторизация | Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации. |
Текст запроса
Не указывайте текст запроса для этого метода.
Отклик
В случае успешного 200 OK выполнения этот метод возвращает код отклика и коллекцию объектов accessPackageAssignment в тексте отклика.
Когда результирующий набор охватывает несколько страниц, Microsoft Graph возвращает ее со свойством @odata.nextLink в ответе, который содержит URL-адрес следующей страницы результатов. Если это свойство присутствует, продолжайте выполнять дополнительные запросы с URL-адресом @odata.nextLink в каждом ответе, пока не будут возвращены все результаты. Дополнительные сведения см. в разделе Разбиение данных Microsoft Graph в приложении по страницам.
Примеры
В следующем примере показано, как получить назначения пакетов доступа для пользователей, которым назначены оба пакета доступа.
Запрос
Ниже показан пример запроса.
GET https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignments/additionalAccess(accessPackageId='2506aef1-3929-4d24-a61e-7c8b83d95e6f',incompatibleAccessPackageId='d5d99728-8c0b-4ede-83d2-cf9b0e8dabfb')?$expand=target
Отклик
Ниже показан пример отклика.
Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.
HTTP/1.1 200 OK
Content-Type: application/json
{
"value": [
{
"@odata.type": "#microsoft.graph.accessPackageAssignment",
"id": "a61f7889-ae61-4e97-a4dc-e4fa525f5b33",
"catalogId": "beedadfe-01d5-4025-910b-84abb9369997",
"accessPackageId": "2506aef1-3929-4d24-a61e-7c8b83d95e6f",
"assignmentPolicyId": "07c7c99d-6cf3-4527-bd05-5fc2ac8e96e7",
"targetId": "cdbdf152-82ce-479c-b5b8-df90f561d5c7",
"target": {
"id": "ebaf071e-c647-42c6-b86f-fbe3625b4b63",
"objectId": "cdbdf152-82ce-479c-b5b8-df90f561d5c7",
"displayName": "user1"
}
},
{
"@odata.type": "#microsoft.graph.accessPackageAssignment",
"id": "a7284263-8233-44de-8095-0ee3ff5a1716",
"catalogId": "beedadfe-01d5-4025-910b-84abb9369997",
"accessPackageId": "2506aef1-3929-4d24-a61e-7c8b83d95e6f",
"assignmentPolicyId": "07c7c99d-6cf3-4527-bd05-5fc2ac8e96e7",
"targetId": "79a8f0b6-61dc-41db-b49e-470c278e05b6",
"target": {
"id": "9865b0f8-868f-42c6-a49b-3067eb4b2da1",
"objectId": "79a8f0b6-61dc-41db-b49e-470c278e05b6",
"displayName": "user2"
}
}
]
}