Feedback Bearbeiten

roleDefinitions erstellen

  • Artikel
  • 8 Minuten Lesedauer

Namespace: microsoft.graph

Wichtig

APIs unter der /beta Version in Microsoft Graph können geändert werden. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in Version 1.0 verfügbar ist, verwenden Sie die Versionsauswahl .

Erstellen Sie ein neues unifiedRoleDefinition-Objekt für einen RBAC-Anbieter.

Die folgenden RBAC-Anbieter werden derzeit unterstützt:

  • Cloud-PC
  • Geräteverwaltung (Intune)
  • Verzeichnis (Azure AD)

Berechtigungen

Wählen Sie in Abhängigkeit vom RBAC-Anbieter und dem erforderlichen Berechtigungstyp (delegiert oder Anwendung) aus den folgenden Tabellen die Berechtigung mit den geringsten Berechtigungen aus, die zum Aufrufen dieser API erforderlich ist. Weitere Informationen, einschließlich Vorsicht vor der Auswahl privilegierterer Berechtigungen, finden Sie unter "Berechtigungen".

Für einen Cloud-PC-Anbieter

Berechtigungstyp Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten)
Delegiert (Geschäfts-, Schul- oder Unikonto) RoleManagement.ReadWrite.CloudPC, CloudPC.ReadWrite.All
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt
Anwendung RoleManagement.ReadWrite.CloudPC, CloudPC.ReadWrite.All

Für einen Geräteverwaltungsanbieter (Intune)

Berechtigungstyp Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten)
Delegiert (Geschäfts-, Schul- oder Unikonto) DeviceManagementRBAC.ReadWrite.All
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt
Anwendung DeviceManagementRBAC.ReadWrite.All

Für einen Verzeichnisanbieter (Azure AD)

Berechtigungstyp Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten)
Delegiert (Geschäfts-, Schul- oder Unikonto) RoleManagement.ReadWrite.Directory, Directory.ReadWrite.All
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt
Anwendung RoleManagement.ReadWrite.Directory, Directory.ReadWrite.All

HTTP-Anforderung

So erstellen Sie eine Rollendefinition für einen Geräteverwaltungsanbieter:

POST /roleManagement/deviceManagement/roleDefinitions

So erstellen Sie eine Rollendefinition für einen Verzeichnisanbieter:

POST /roleManagement/directory/roleDefinitions

So erstellen Sie eine Rollendefinition für einen Cloud-PC-Anbieter:

POST /roleManagement/cloudPc/roleDefinitions

Anforderungsheader

Name Beschreibung
Authorization Bearer {token}

Anforderungstext

Geben Sie im Anforderungstext eine JSON-Darstellung des unifiedRoleDefinition-Objekts an.

In der folgenden Tabelle sind die Eigenschaften aufgeführt, die angegeben werden müssen, wenn Sie eine roleDefinition erstellen.

Parameter Typ Beschreibung
displayName string Der Anzeigename für die Rollendefinition.
isEnabled Boolescher Wert Flag, das angibt, ob die Rolle für die Zuweisung aktiviert ist. Bei "false" ist die Rolle für die Zuweisung nicht verfügbar.
rolePermissions unifiedRolePermission-Auflistung Liste der in der Rolle enthaltenen Berechtigungen.

Antwort

Bei erfolgreicher Ausführung gibt die Methode den Antwortcode und ein neues unifiedRoleDefinition-Objekt im Antworttext zurück201 Created.

Beispiel 1:Erstellen einer benutzerdefinierten Rolle für einen Verzeichnisanbieter

Anforderung

POST https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions
Content-type: application/json

{
  "description": "Update basic properties of application registrations",
  "displayName": "Application Registration Support Administrator",
  "rolePermissions":
    [
        {
            "allowedResourceActions": 
            [
                "microsoft.directory/applications/basic/read"
            ]
        }
    ],
    "isEnabled" : "true"
}

Antwort

Nachfolgend sehen Sie ein Beispiel der Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions/$entity",
    "id": "d5eec5e0-6992-4c6b-b430-0f833f1a815a",
    "description": "Update basic properties of application registrations",
    "displayName": "Application Registration Support Administrator",
    "isBuiltIn": false,
    "isEnabled": true,
    "templateId": "d5eec5e0-6992-4c6b-b430-0f833f1a815a",
    "version": null,
    "rolePermissions": [
        {
            "allowedResourceActions": [
                "microsoft.directory/applications/standard/read",
                "microsoft.directory/applications/basic/update"
            ],
            "condition": null
        }
    ],
    "inheritsPermissionsFrom": []
}

Beispiel 2: Erstellen einer benutzerdefinierten Rolle für einen Cloud-PC-Anbieter

Anforderung

POST https://graph.microsoft.com/beta/roleManagement/cloudPc/roleDefinitions
Content-type: application/json

{
  "description": "An example custom role",
  "displayName": "ExampleCustomRole",
  "rolePermissions":
    [
        {
            "allowedResourceActions": 
            [
                "Microsoft.CloudPC/CloudPCs/Read"
            ]
        }
    ],
    "condition" : "null"
}

Antwort

Nachfolgend sehen Sie ein Beispiel der Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/cloudPc/roleDefinitions/$entity",
    "id": "b7f5ddc1-b7dc-4d37-abce-b9d6fc15ffff",
    "description": "An example custom role",
    "displayName": "ExampleCustomRole",
    "isBuiltIn": false,
    "isEnabled": true,
    "templateId": "b7f5ddc1-b7dc-4d37-abce-b9d6fc15ffff",
    "version": null,
    "rolePermissions": [
        {
            "allowedResourceActions": [
                "Microsoft.CloudPC/CloudPCs/Read"
            ],
            "condition": null
        }
    ],
    "resourceScopes":["/"]
}