更新 authorizationPolicy

命名空间:microsoft.graph

重要

Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。

更新 authorizationPolicy 对象的属性。

此 API 可用于以下国家级云部署

全局服务 美国政府 L4 美国政府 L5 (DOD) 由世纪互联运营的中国

权限

为此 API 选择标记为最低特权的权限。 只有在应用需要它时,才使用更高的特权权限。 有关委派权限和应用程序权限的详细信息,请参阅权限类型。 要了解有关这些权限的详细信息,请参阅 权限参考

权限类型 最低特权权限 更高特权权限
委派(工作或学校帐户) Policy.ReadWrite.Authorization 不可用。
委派(个人 Microsoft 帐户) 不支持。 不支持。
应用程序 Policy.ReadWrite.Authorization 不可用。

重要

在具有工作或学校帐户的委托方案中,必须为登录用户分配受支持的Microsoft Entra角色或具有支持的角色权限的自定义角色。 此操作支持以下最低特权角色。

  • 特权角色管理员

HTTP 请求

PATCH /policies/authorizationPolicy/authorizationPolicy

请求标头

名称 说明
Authorization 持有者 {token}。 必填。 详细了解 身份验证和授权
Content-type application/json

请求正文

在请求正文中, 提供要更新的属性的值。 请求正文中未包含的现有属性会保留其以前的值,或者根据对其他属性值的更改重新计算。

下表指定可更新的属性。

属性 类型 说明
allowEmailVerifiedUsersToJoinOrganization 布尔值 指示用户是否可以通过电子邮件验证加入租户。
allowUserConsentForRiskyApps 布尔值 指示是否允许 用户同意有风险的应用 。 默认值为 false。 建议将值设置为 false
allowedToSignUpEmailBasedSubscriptions 布尔值 指示用户是否可以注册基于电子邮件的订阅。
allowedToUseSSPR 布尔值 指示租户的管理员是否可以使用 Self-Service 密码重置 (SSPR) 。 有关详细信息,请参阅 管理员的自助密码重置
blockMsolPowerShell 布尔值 若要禁用 MSOL PowerShell 的使用,请将此属性设置为 true。 这还会禁用对 MSOL PowerShell 使用的旧服务终结点的基于用户的访问。 这不会影响 Microsoft Entra Connect 或 Microsoft Graph。
defaultUserRolePermissions defaultUserRolePermissions 指定默认用户角色的某些可自定义权限。
description String 此策略的说明。
displayName String 此策略的显示名称。
enabledPreviewFeatures 字符串集合 为租户上的个人预览版启用的功能列表。
guestUserRoleId Guid 表示应授予来宾用户的角色的角色 templateId。 请参阅 List unifiedRoleDefinitions 以查找可用角色模板的列表。 目前仅支持用户 (a0b1b346-4d3e-4e8b-98f8-753987be4970) 、来宾用户 () 10dae51f-b6af-4016-8d66-8c2a99b929b3 和受限来宾用户 (2af84b1e-32c8-42b7-82bc-daa82404023b) 。
permissionGrantPolicyIdsAssignedToDefaultUserRole 字符串集合 指示是否允许用户同意应用,如果是,哪个 应用同意策略 控制用户授予同意的权限。 值的格式应为 managePermissionGrantsForSelf.{id},其中 {id} 是内置或自定义应用同意策略ID。 空列表指示用户对应用的同意已禁用。

响应

如果成功,此方法返回 204 No Content 响应代码。 它不会在响应正文中返回任何内容。

示例

示例 1:更新或设置租户的来宾用户访问级别

请求

以下示例显示了一个请求。 在此示例中,来宾访问级别修改为受限来宾用户。

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "guestUserRole":"2af84b1e-32c8-42b7-82bc-daa82404023b"
}

响应

以下示例显示了相应的响应。

HTTP/1.1 204 No Content

示例 2:为租户上的预览启用新功能

请求

以下示例显示了一个请求。

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "enabledPreviewFeatures":[
      "assignGroupsToRoles"
   ]
}

响应

以下示例显示了相应的响应。

HTTP/1.1 204 No Content

示例 3:在租户中阻止 MSOL PowerShell

请求

以下示例显示了一个请求。

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "blockMsolPowerShell":true
}

响应

以下示例显示了相应的响应。

HTTP/1.1 204 No Content

示例 4:禁用默认用户角色创建应用程序的权限

请求

以下示例显示了一个请求。

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "defaultUserRolePermissions":{
      "allowedToCreateApps":false
   }
}

响应

以下示例显示了相应的响应。

HTTP/1.1 204 No Content

示例 5:启用默认用户角色以使用 Self-Serve 密码重置功能

请求

以下示例显示了一个请求。

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "allowedToUseSSPR":true
}

响应

以下示例显示了相应的响应。

HTTP/1.1 204 No Content

请求

以下示例显示了一个请求。

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "permissionGrantPolicyIdsAssignedToDefaultUserRole":[
   
   ]
}

响应

以下示例显示了相应的响应。

HTTP/1.1 204 No Content

请求

以下示例演示了一个请求,该请求允许用户同意应用,具体取决于内置应用同意策略,该策略microsoft-user-default-low允许对来自已验证发布者或在同一租户中注册的客户端应用的委托权限分类为“低”。

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "permissionGrantPolicyIdsAssignedToDefaultUserRole":[
      "managePermissionGrantsForSelf.microsoft-user-default-low"
   ]
}

响应

以下示例显示了相应的响应。

HTTP/1.1 204 No Content