Обновление approvalStep
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Применить решение утвердить или отклонить для объекта approvalStep .
Этот API доступен в следующих национальных облачных развертываниях.
| Глобальная служба | Правительство США L4 | Правительство США L5 (DOD) | Китай управляется 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Разрешения
В следующих таблицах показаны минимальные разрешения или разрешения, необходимые для вызова этого API для каждого поддерживаемого типа ресурсов. Следуйте рекомендациям , чтобы запросить разрешения с наименьшими привилегиями. Дополнительные сведения о делегированных разрешениях и разрешениях приложений см. в разделе Типы разрешений. Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.
Разрешения, необходимые для вызова этого API для управления правами
| Тип разрешения | Разрешения с наименьшими привилегиями | Более высокие привилегированные разрешения |
|---|---|---|
| Делегированные (рабочая или учебная учетная запись) | EntitlementManagement.ReadWrite.All | Недоступно. |
| Делегированные (личная учетная запись Майкрософт) | Не поддерживается. | Не поддерживается. |
| Для приложений | Не поддерживается. | Не поддерживается. |
Совет
В делегированных сценариях с рабочими или учебными учетными записями вошедшему пользователю также должна быть назначена роль администратора с поддерживаемыми разрешениями роли с помощью одного из следующих параметров:
- Пользователь, указанный в свойстве
specificAllowedTargetsполитик пакета доступа. Это наименее привилегированный вариант. - Дополнительные привилегированные роли в системе управления правами , где для этой операции поддерживаются наименее привилегированные роли:
- Диспетчер назначений пакетов доступа
- Диспетчер пакетов доступа
- Владелец каталога
- Более привилегированные роли Microsoft Entra, где для этой операции поддерживаются следующие наименее привилегированные роли:
- Администратор управления удостоверениями
В сценариях только для приложений вызывающему приложению можно назначить одну из предыдущих поддерживаемых ролей вместо EntitlementManagement.ReadWrite.All разрешения приложения. Пользователь, указанный в свойстве specificAllowedTargets политик пакета доступа, имеет меньше привилегий EntitlementManagement.ReadWrite.All , чем разрешение приложения.
Дополнительные сведения см. в разделе Делегирование и роли в управлении правами и как делегировать управление доступом диспетчерам пакетов в управлении правами.
Для PIM для Microsoft Entra ролей
| Тип разрешения | Разрешения с наименьшими привилегиями | Более высокие привилегированные разрешения |
|---|---|---|
| Делегированные (рабочая или учебная учетная запись) | RoleAssignmentSchedule.ReadWrite.Directory | Недоступно. |
| Делегированные (личная учетная запись Майкрософт) | Не поддерживается. | Не поддерживается. |
| Для приложений | Не поддерживается. | Не поддерживается. |
Разрешения, необходимые для вызова этого API для PIM для групп
| Тип разрешения | Разрешения с наименьшими привилегиями | Более высокие привилегированные разрешения |
|---|---|---|
| Делегированные (рабочая или учебная учетная запись) | PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup | Недоступно. |
| Делегированные (личная учетная запись Майкрософт) | Не поддерживается. | Не поддерживается. |
| Для приложений | Не поддерживается. | Не поддерживается. |
HTTP-запрос
Чтобы обновить решение об утверждении в управлении правами, выполните приведенные далее действия.
PATCH /identityGovernance/entitlementManagement/accessPackageAssignmentApprovals/{id}/steps/{id}
Чтобы обновить решение об утверждении в PIM для Microsoft Entra ролей, выполните приведенные далее действия.
PATCH /roleManagement/directory/roleAssignmentApprovals/{id}/steps/{id}
Чтобы обновить решение об утверждении в PIM для групп, выполните следующие действия.
PATCH /identityGovernance/privilegedAccess/group/assignmentApprovals/{id}/steps/{id}
Заголовки запросов
| Имя | Описание |
|---|---|
| Авторизация | Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации. |
Текст запроса
В следующей таблице показаны свойства, необходимые для этого метода.
| Свойство | Тип | Описание |
|---|---|---|
| reviewResult | String | Решение утверждающего. Возможные значения: Approve, Deny. |
| оправдание | String | Обоснование, связанное с решением утверждающего. |
Отклик
В случае успешного 204 No Content выполнения этот метод возвращает код ответа в тексте отклика. Однако если вызывающий объект не имеет нужных разрешений, метод возвращает 403 Forbidden код ответа или, если идентификатор утверждения не найден, метод возвращает 404 Not found. Если запрос уже утвержден другим утверждающего на том же этапе утверждения, метод возвращается 409 Conflict в тексте ответа.
Примеры
Запрос
Ниже показан пример запроса.
PATCH https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentApprovals/abd306ef-f7b2-4a10-9fd1-493454322489/steps/d4fa4045-4716-436d-aec5-57b0a713f095
Отклик
Ниже показан пример отклика.
Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.
HTTP/1.1 204 No Content
Content-Type: application/json