Feedback Bearbeiten

unifiedRoleAssignment erstellen

  • Artikel
  • 9 Minuten Lesedauer

Namespace: microsoft.graph

Erstellen Sie ein neues unifiedRoleAssignment-Objekt .

Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, unter anderem zur Auswahl von Berechtigungen, finden Sie im Artikel zum Thema Berechtigungen.

Für den Verzeichnisanbieter (Azure AD)

Berechtigungstyp Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten)
Delegiert (Geschäfts-, Schul- oder Unikonto) RoleManagement.ReadWrite.Directory
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt
Anwendung RoleManagement.ReadWrite.Directory

Für den Berechtigungsverwaltungsanbieter

Berechtigungstyp Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten)
Delegiert (Geschäfts-, Schul- oder Unikonto) EntitlementManagement.ReadWrite.All
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt
Anwendung EntitlementManagement.ReadWrite.All

HTTP-Anforderung

Erstellen Sie eine Rollenzuweisung für den Verzeichnisanbieter:

POST /roleManagement/directory/roleAssignments

Erstellen Sie eine Rollenzuweisung für den Berechtigungsverwaltungsanbieter:

POST /roleManagement/entitlementManagement/roleAssignments

Anforderungsheader

Name Beschreibung
Authorization Bearer {token}

Anforderungstext

Geben Sie im Anforderungstext eine JSON-Darstellung des unifiedRoleAssignment-Objekts an. Für die Anforderung muss entweder ein Bereich in Azure Active Directory (Azure AD) definiert sein, der durch directoryScopeId angegeben ist, oder einen anwendungsspezifischen Bereich, der durch die appScopeId angegeben wird. Beispiele für Azure AD-Bereiche sind Mandant (/), Administrative Einheit oder Anwendung. Weitere Informationen zu appScope finden Sie unter appScope.

In der folgenden Tabelle sind die Eigenschaften aufgeführt, die angegeben werden müssen, wenn Sie ein unifiedRoleAssignment-Objekt erstellen.

Parameter Typ Beschreibung
roleDefinitionId Zeichenfolge Bezeichner der Rollendefinition, für die die Zuweisung vorgesehen ist.
principalId Zeichenfolge Der Bezeichner des Prinzipals, dem die Zuordnung gewährt wird.
directoryScopeId Zeichenfolge Bezeichner des Verzeichnisobjekts, das den Bereich der Zuordnung darstellt. Entweder diese Eigenschaft oder appScopeId ist erforderlich. Der Bereich einer Zuordnung bestimmt den Satz von Ressourcen, für die dem Prinzipal Zugriff gewährt wurde. Verzeichnisbereiche sind freigegebene Bereiche, die im Verzeichnis gespeichert sind und von mehreren Anwendungen verstanden werden. Wird / für mandantenweiten Bereich verwendet. Verwenden Sie appScopeId , um den Bereich nur auf eine Anwendung zu beschränken.
appScopeId Zeichenfolge Bezeichner des app-spezifischen Bereichs, wenn der Zuweisungsbereich app-spezifisch ist. Entweder diese Eigenschaft oder directoryScopeId ist erforderlich. App-Bereiche sind Bereiche, die nur von dieser Anwendung definiert und verstanden werden. Wird / für mandantenweite App-Bereiche verwendet. Verwenden Sie directoryScopeId , um den Bereich auf bestimmte Verzeichnisobjekte zu beschränken, z. B. administrative Einheiten.

Antwort

Bei erfolgreicher Ausführung gibt die Methode den 201 Created Antwortcode und ein neues unifiedRoleAssignment-Objekt im Antworttext zurück.

Beispiele

Beispiel 1: Erstellen einer Rollenzuweisung mit Mandantenbereich

Anforderung

Nachfolgend sehen Sie ein Beispiel der Anforderung. Beachten Sie die Verwendung der roleTemplateId für roleDefinitionId. roleDefinitionId kann entweder die dienstweite Vorlagen-ID oder die verzeichnisspezifische roleDefinitionId sein.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{ 
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "c2cf284d-6c41-4e6b-afac-4b80928c9034",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

Antwort

Nachfolgend sehen Sie ein Beispiel der Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "YUb1sHQtUEyvox7IA_Eu_mm3jqnUe4lEhvatluHVi2I-1",
    "roleDefinitionId": "c2cf284d-6c41-4e6b-afac-4b80928c9034",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

Beispiel 2: Erstellen einer Rollenzuweisung mit administrativem Einheitenbereich

Anforderung

Im folgenden Beispiel wird die Rolle "Benutzeradministrator" einem Prinzipal mit administrativem Einheitenbereich zugewiesen.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/administrativeUnits/5d107bba-d8e2-4e13-b6ae-884be90e5d1a"
}

Antwort

Nachfolgend sehen Sie ein Beispiel der Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "BH21sHQtUEyvox7IA_Eu_mm3jqnUe4lEhvatluHIWb7-1",
    "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/administrativeUnits/5d107bba-d8e2-4e13-b6ae-884be90e5d1a"
}

Beispiel 3: Erstellen einer Rollenzuweisung mit Anwendungsbereich

Anforderung

Im folgenden Beispiel wird ein Prinzipal der Anwendungsadministratorrolle auf Anwendungsebene zugewiesen. Die Objekt-ID der Anwendungsregistrierung ist 661e1310-bd76-4795-89a7-8f3c8f855bfc.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "6b937a9d-c731-465b-a844-2d5b5368c161",
    "roleDefinitionId": "9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3",
    "directoryScopeId": "/661e1310-bd76-4795-89a7-8f3c8f855bfc"
}

Antwort

Nachfolgend sehen Sie ein Beispiel der Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignments/$entity",
    "@odata.id": "https://graph.microsoft.com/v2/22350cac-d84b-466b-8c2c-f9326746709a/roleAssignments/kl2Jm9Msx0SdAqasLV6lw516k2sxx1tGqEQtW1NowWEQEx5mdr2VR4mnjzyPhVv8-1",
    "id": "kl2Jm9Msx0SdAqasLV6lw516k2sxx1tGqEQtW1NowWEQEx5mdr2VR4mnjzyPhVv8-1",
    "principalId": "6b937a9d-c731-465b-a844-2d5b5368c161",
    "principalOrganizationId": "22350cac-d84b-466b-8c2c-f9326746709a",
    "resourceScope": "/661e1310-bd76-4795-89a7-8f3c8f855bfc",
    "directoryScopeId": "/661e1310-bd76-4795-89a7-8f3c8f855bfc",
    "roleDefinitionId": "9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3"
}

Beispiel 4: Erstellen einer Rollenzuweisung mit Zugriffspaketkatalogbereich

Anforderung

Nachfolgend sehen Sie ein Beispiel der Anforderung.

POST https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments
Content-type: application/json

{
    "principalId": "679a9213-c497-48a4-830a-8d3d25d94ddc",
    "roleDefinitionId": "ae79f266-94d4-4dab-b730-feca7e132178",
    "appScopeId": "/AccessPackageCatalog/beedadfe-01d5-4025-910b-84abb9369997"
}

Antwort

Nachfolgend sehen Sie ein Beispiel der Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/entitlementManagement/roleAssignments/$entity",
    "id": "f3092518-7874-462e-93e9-0cd6c11ffc52",
    "principalId": "679a9213-c497-48a4-830a-8d3d25d94ddc",
    "roleDefinitionId": "ae79f266-94d4-4dab-b730-feca7e132178",
    "appScopeId": "/AccessPackageCatalog/beedadfe-01d5-4025-910b-84abb9369997"
}