更新 unifiedRoleManagementPolicyRule

命名空间:microsoft.graph

更新为角色管理策略定义的规则。 规则可以是派生自 unifiedRoleManagementPolicyRule 对象的以下类型之一:

有关Microsoft Entra角色的规则和更新规则的示例的详细信息,请参阅以下文章:

此 API 可用于以下国家级云部署

全局服务 美国政府 L4 美国政府 L5 (DOD) 由世纪互联运营的中国

权限

要调用此 API,需要以下权限之一。 若要了解详细信息,包括如何选择权限的信息,请参阅权限

对于Microsoft Entra角色的 PIM

权限类型 权限(从最低特权到最高特权)
委派(工作或学校帐户) RoleManagementPolicy.ReadWrite.Directory、RoleManagement.ReadWrite.Directory
委派(个人 Microsoft 帐户) 不支持。
应用程序 RoleManagementPolicy.ReadWrite.Directory、RoleManagement.ReadWrite.Directory

重要

在具有工作或学校帐户的委托方案中,必须为登录用户分配受支持的Microsoft Entra角色或具有支持的角色权限的自定义角色。 此操作支持以下最低特权角色。

  • 对于读取操作:全局读取者、安全操作员、安全读取者、安全管理员或特权角色管理员
  • 对于写入操作:特权角色管理员

对于组的 PIM

权限类型 权限(从最低特权到最高特权)
委派(工作或学校帐户) RoleManagementPolicy.ReadWrite.AzureADGroup
委派(个人 Microsoft 帐户) 不支持。
应用程序 RoleManagementPolicy.ReadWrite.AzureADGroup

HTTP 请求

更新为 PIM 中Microsoft Entra角色或组的策略定义的规则:

PATCH /policies/roleManagementPolicies/{unifiedRoleManagementPolicyId}/rules/{unifiedRoleManagementPolicyRuleId}

请求标头

名称 说明
Authorization 持有者 {token}。 必填。 详细了解 身份验证和授权
Content-Type application/json. 必需。

请求正文

在请求正文中, 提供要更新的属性的值。 请求正文中未包含的现有属性会保留其以前的值,或者根据对其他属性值的更改重新计算。

下表指定可更新的属性。

属性 类型 说明
claimValue String 身份验证上下文声明的值。

可以针对 unifiedRoleManagementPolicyAuthenticationContextRule 规则类型进行更新。
enabledRules 字符串集合 为此策略规则启用的规则集合。 例如 、 MultiFactorAuthenticationTicketingJustification

可以针对 unifiedRoleManagementPolicyEnablementRule 规则类型进行更新。
isDefaultRecipientsEnabled 布尔值 指示默认收件人是否会收到通知电子邮件。

可以针对 unifiedRoleManagementPolicyNotificationRule 规则类型进行更新。
isEnabled Boolean 是否启用此规则。

可以针对 unifiedRoleManagementPolicyAuthenticationContextRule 规则类型进行更新。
isExpirationRequired 布尔值 指示是否需要过期,还是永久处于活动状态的分配或资格。

可以针对 unifiedRoleManagementPolicyExpirationRule 规则类型进行更新。
maximumDuration 持续时间 资格或分配所允许的最长持续时间不是永久性的。 当 isExpirationRequiredtrue时是必需的。

可以针对 unifiedRoleManagementPolicyExpirationRule 规则类型进行更新。
notificationLevel String 通知级别。 可能的值为 NoneCriticalAll

可以针对 unifiedRoleManagementPolicyNotificationRule 规则类型进行更新。
notificationRecipients 字符串集合 电子邮件通知的收件人列表。

可以针对 unifiedRoleManagementPolicyNotificationRule 规则类型进行更新。
notificationType String 通知的类型。 仅 Email 支持 。

可以针对 unifiedRoleManagementPolicyNotificationRule 规则类型进行更新。
recipientType String 通知的收件人类型。 可能的值为 RequestorApproverAdmin
可以针对 unifiedRoleManagementPolicyNotificationRule 规则类型进行更新。
setting approvalSettings 用于审批角色分配的设置。

可以针对 unifiedRoleManagementPolicyApprovalRule 规则类型进行更新。
target unifiedRoleManagementPolicyRuleTarget 定义角色管理策略规则针对的范围的详细信息。 详细信息可以包括主体类型、角色分配类型和影响角色的操作。

可针对所有规则类型进行更新。

注意: 具有 @odata.type 特定规则类型的值的属性必须包含在正文中。 例如,"@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyApprovalRule"

响应

如果成功,此方法在响应正文中返回响应 200 OK 代码和 unifiedRoleManagementPolicyRule 对象。

示例

示例 1:更新为 PIM 中为Microsoft Entra角色的策略定义的规则

请求

以下示例更新 了 unifiedRoleManagementPolicyExpirationRule 类型且 ID 为 Expiration_EndUser_Assignment的角色管理策略规则。

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/DirectoryRole_84841066-274d-4ec0-a5c1-276be684bdd3_200ec19a-09e7-4e7a-9515-cf1ee64b96f9/rules/Expiration_EndUser_Assignment
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "@odata.type": "microsoft.graph.unifiedRoleManagementPolicyRuleTarget",
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

响应

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/roleManagementPolicies('DirectoryRole_84841066-274d-4ec0-a5c1-276be684bdd3_200ec19a-09e7-4e7a-9515-cf1ee64b96f9')/rules/$entity",
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

示例 2:更新为组的 PIM 中的策略定义的规则

请求

以下示例更新 ID Expiration_EndUser_Assignment为 的角色管理策略规则。

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/Group_60bba733-f09d-49b7-8445-32369aa066b3_f21b26d9-9ff9-4af1-b1d4-bddf28591369/rules/Expiration_EndUser_Assignment
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

响应

以下示例显示了相应的响应。

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/roleManagementPolicies('Group_60bba733-f09d-49b7-8445-32369aa066b3_f21b26d9-9ff9-4af1-b1d4-bddf28591369')/rules/$entity",
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}