Поделиться через


Перечисление заданий

Пространство имен: microsoft.graph

В Microsoft Entra управления правами получите список объектов accessPackageAssignment.

Для администраторов на уровне каталога результирующий список включает все назначения, текущие и просроченные, к которым вызывающий объект имеет доступ для чтения во всех каталогах и пакетах доступа. Если вызывающий объект находится от имени делегированного пользователя, которому назначены только делегированные административные роли каталога, запрос должен предоставить фильтр для указания определенного пакета доступа, например . $filter=accessPackage/id eq 'a914b616-e04e-476b-aa37-91038f0b165b'

Этот API доступен в следующих национальных облачных развертываниях.

Глобальная служба Правительство США L4 Правительство США L5 (DOD) Китай управляется 21Vianet

Разрешения

Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более привилегированное разрешение или разрешения только в том случае, если это требуется приложению. Дополнительные сведения о делегированных разрешениях и разрешениях приложений см. в разделе Типы разрешений. Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.

Тип разрешения Разрешения с наименьшими привилегиями Более высокие привилегированные разрешения
Делегированные (рабочая или учебная учетная запись) EntitlementManagement.Read.All EntitlementManagement.ReadWrite.All
Делегированные (личная учетная запись Майкрософт) Не поддерживается. Не поддерживается.
Приложение EntitlementManagement.Read.All EntitlementManagement.ReadWrite.All

Совет

В делегированных сценариях с рабочими или учебными учетными записями вошедшему пользователю также должна быть назначена роль администратора с поддерживаемыми разрешениями роли с помощью одного из следующих параметров:

  • Роль в системе управления правами, где наименее привилегированные роли:
    • Средство чтения каталога. Это наименее привилегированный вариант
    • Создатель каталога
    • Диспетчер пакетов доступа
  • Дополнительные привилегированные Microsoft Entra роли, поддерживаемые для этой операции:
    • Читатель сведений о безопасности
    • Глобальный читатель
    • Администратор соответствия требованиям
    • Администратор безопасности
    • Администратор управления удостоверениями

В сценариях только для приложений вызывающему приложению можно назначить одну из предыдущих поддерживаемых ролей вместо EntitlementManagement.Read.All разрешения приложения. Роль читателя каталога имеет меньшие привилегии, чем EntitlementManagement.Read.All разрешение приложения.

Дополнительные сведения см. в разделе Делегирование и роли в управлении правами и как делегировать управление доступом диспетчерам пакетов в управлении правами.

HTTP-запрос

GET /identityGovernance/entitlementManagement/assignments

Параметры запроса

Этот метод поддерживает $selectпараметры запроса , $filterи $expand OData для настройки ответа.

Если пользователю или приложению назначены только административные роли каталога, запрос должен предоставить фильтр для указания определенного пакета доступа, например . $filter=accessPackage/id eq 'a914b616-e04e-476b-aa37-91038f0b165b'

Примеры сценариев использования параметров запроса

  • Чтобы вернуть целевую тему и пакет доступа, добавьте $expand=target,accessPackage.
  • Чтобы получить только доставленные назначения, можно включить запрос $filter=state eq 'Delivered'.
  • Чтобы получить только назначения для конкретного пользователя, можно включить запрос с назначениями, предназначенными для идентификатора объекта этого пользователя: $expand=target&$filter=target/objectid+eq+'7deff43e-1f17-44ef-9e5f-d516b0ba11d4'.
  • Чтобы получить только назначения для конкретного пользователя и определенный пакет доступа, можно включить запрос с назначениями, предназначенными для этого пакета доступа, и идентификатор объекта этого пользователя: $expand=accessPackage,target&$filter=accessPackage/id eq '9bbe5f7d-f1e7-4eb1-a586-38cdf6f8b1ea' and target/objectid eq '7deff43e-1f17-44ef-9e5f-d516b0ba11d4'.

Общие сведения см. в статье Параметры запроса OData.

Заголовки запросов

Имя Описание
Авторизация Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации.

Текст запроса

Не указывайте текст запроса для этого метода.

Отклик

В случае успешного 200 OK выполнения этот метод возвращает код отклика и коллекцию объектов accessPackageAssignment в тексте отклика.

Примеры

Запрос

GET https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignments

Отклик

Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "value": [
    {
      "id": "2a353749-3749-2a35-4937-352a4937352a",
      "state": "delivered",
      "status": "Delivered",
      "expiredDateTime": "2019-04-25T23:45:40.42Z",
      "schedule": {
        "@odata.type": "microsoft.graph.entitlementManagementSchedule"
      }
    }
  ]
}