Feedback Bearbeiten

roleEligibilityScheduleRequests erstellen

  • Artikel
  • 12 Minuten Lesedauer

Namespace: microsoft.graph

Wichtig

APIs unter der /beta Version in Microsoft Graph können geändert werden. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in Version 1.0 verfügbar ist, verwenden Sie die Versionsauswahl .

Erstellen Sie ein neues unifiedRoleEligibilityScheduleRequest-Objekt . Dieser Vorgang ermöglicht es Administratoren und berechtigten Benutzern, berechtigte Aufgaben hinzuzufügen, zu widerrufen oder zu erweitern.

Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, unter anderem zur Auswahl von Berechtigungen, finden Sie im Artikel zum Thema Berechtigungen.

Berechtigungstyp Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten)
Delegiert (Geschäfts-, Schul- oder Unikonto) RoleEligibilitySchedule.ReadWrite.Directory
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt
Anwendung Nicht unterstützt

HTTP-Anforderung

POST /roleManagement/directory/roleEligibilityScheduleRequests

Anforderungsheader

Name Beschreibung
Authorization Bearer {token}. Erforderlich.
Content-Type application/json. Erforderlich.

Anforderungstext

Geben Sie im Anforderungstext eine JSON-Darstellung des unifiedRoleEligibilityScheduleRequest-Objekts an.

Die folgende Tabelle zeigt die optionalen und erforderlichen Eigenschaften, wenn Sie unifiedRoleEligibilityScheduleRequest erstellen.

Eigenschaft Typ Beschreibung
Aktion Zeichenfolge Stellt den Typ des Vorgangs für die Rollenberechtigungszuweisung dar. Die folgenden Werte sind möglich:
  • AdminAssign: Administratoren können Benutzern oder Gruppen Rollen rollenberechtigungen zuweisen.
  • AdminExtend: Administratoren können ablaufende Aufgaben erweitern.
  • AdminUpdate: Administratoren können vorhandene Rollenzuweisungen ändern.
  • AdminRenew: Administratoren können abgelaufene Aufgaben verlängern.
  • AdminRemove: Administratoren können Benutzer oder Gruppen aus berechtigten Rollen entfernen.
  • UserAdd: Benutzer können ihre berechtigten Aufgaben aktivieren.
  • UserExtend: Benutzer können eine Verlängerung ihrer ablaufenden berechtigten Aufgaben anfordern.
  • UserRemove: Benutzer können ihre aktiven berechtigten Aufgaben deaktivieren.
  • UserRenew: Benutzer können eine Verlängerung ihrer abgelaufenen berechtigten Aufgaben anfordern.
appScopeId Zeichenfolge Bezeichner des app-spezifischen Bereichs, wenn der Zuweisungsbereich app-spezifisch ist. Der Bereich einer Zuordnung bestimmt den Satz von Ressourcen, für die dem Prinzipal Zugriff gewährt wurde. App-Bereiche sind Bereiche, die nur von dieser Anwendung definiert und verstanden werden. Wird / für mandantenweite App-Bereiche verwendet. Verwenden Sie directoryScopeId , um den Bereich auf bestimmte Verzeichnisobjekte zu beschränken, z. B. administrative Einheiten oder alle Benutzer.
directoryScopeId Zeichenfolge Bezeichner des Verzeichnisobjekts, das den Bereich der Zuordnung darstellt. Der Bereich einer Zuordnung bestimmt den Satz von Ressourcen, für die dem Prinzipal Zugriff gewährt wurde. Verzeichnisbereiche sind freigegebene Bereiche, die im Verzeichnis gespeichert sind und von mehreren Anwendungen verstanden werden. Wird / für mandantenweiten Bereich verwendet. Verwenden Sie appScopeId , um den Bereich nur auf eine Anwendung zu beschränken.
isValidationOnly Boolescher Wert Ein boolescher Wert, der bestimmt, ob der Aufruf eine Überprüfung oder ein tatsächlicher Aufruf ist. Legen Sie diese Eigenschaft nur fest, wenn Sie überprüfen möchten, ob eine Aktivierung zusätzlichen Regeln wie MFA unterliegt, bevor Sie die Anforderung tatsächlich übermitteln.
Rechtfertigung Zeichenfolge Eine Nachricht, die von Benutzern und Administratoren beim Erstellen der Anforderung zur Verfügung gestellt wird, warum sie benötigt wird. Optional, wenn aktion ist AdminRemove.
principalId Zeichenfolge Bezeichner des Prinzipals, dem die Zuordnung gewährt wird. Beispielsweise ein Benutzer oder eine Gruppe. Für Gruppen müssen sie Rollen zugewiesen werden können, d. h. die isAssignableToRole der Gruppeneigenschaft, die auf truefestgelegt ist.
roleDefinitionId Zeichenfolge Der Bezeichner des unifiedRoleDefinition-Objekts, für das die Zuordnung vorgesehen ist. Erforderlich. Schreibgeschützt.
scheduleInfo requestSchedule Das Zeitplanobjekt der Rollenzuweisungsanforderung. Diese Eigenschaft ist nicht erforderlich, wenn die Aktion lautet AdminRemove.
ticketInfo ticketInfo Das ticketInfo-Objekt, das der Rollenzuweisungsanforderung zugeordnet ist und Details zur Ticketnummer und zum Ticketsystem enthält. Optional.

Antwort

Bei erfolgreicher Ausführung gibt die Methode einen 201 Created Antwortcode und ein unifiedRoleEligibilityScheduleRequest-Objekt im Antworttext zurück.

Beispiele

Beispiel 1: Administrator zum Zuweisen einer Anforderung für den Zeitplan für die Rollenberechtigung

In der folgenden Anforderung erstellt der Administrator eine Anforderung zum Zuweisen der Berechtigung einer Rolle, die durch fdd7a751-b60b-444a-984c-02652fe8fa1c einen durch die ID 07706ff1-46c7-4847-ae33-3003830675a1identifizierten Prinzipal identifiziert wurde. Der Gültigkeitsbereich der Berechtigung ist bis zum 30. Juni 2022 um Mitternacht UTC-Zeit alle Verzeichnisobjekte im Mandanten.

Anforderung

POST https://graph.microsoft.com/beta/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
  "action": "AdminAssign",
  "justification": "Assign User Admin eligibility to IT Helpdesk (User) group",
  "roleDefinitionId": "fdd7a751-b60b-444a-984c-02652fe8fa1c",
  "directoryScopeId": "/",
  "principalId": "07706ff1-46c7-4847-ae33-3003830675a1",
  "scheduleInfo": {
    "startDateTime": "2021-07-01T00:00:00Z",
    "expiration": {
      "endDateTime": "2022-06-30T00:00:00Z",
      "type": "AfterDateTime"
    }
  }
}

Antwort

Nachfolgend sehen Sie ein Beispiel der Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "672c03bf-226a-42ec-a8b7-3bfab96064a1",
    "status": "Provisioned",
    "createdDateTime": "2021-07-26T18:08:03.1299669Z",
    "completedDateTime": "2021-07-26T18:08:06.2081758Z",
    "approvalId": null,
    "customData": null,
    "action": "AdminAssign",
    "principalId": "07706ff1-46c7-4847-ae33-3003830675a1",
    "roleDefinitionId": "fdd7a751-b60b-444a-984c-02652fe8fa1c",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "672c03bf-226a-42ec-a8b7-3bfab96064a1",
    "justification": "Assign User Admin eligibility to IT Helpdesk (User) group",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "fc9a2c2b-1ddc-486d-a211-5fe8ca77fa1f"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2021-07-26T18:08:06.2081758Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDateTime",
            "endDateTime": "2022-06-30T00:00:00Z",
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Beispiel 2: Administrator zum Entfernen einer vorhandenen Anforderung für den Zeitplan für die Rollenberechtigung

In der folgenden Anforderung erstellt der Administrator eine Anforderung, um die Berechtigung einer Rolle zu widerrufen, die durch fdd7a751-b60b-444a-984c-02652fe8fa1c einen durch die ID 07706ff1-46c7-4847-ae33-3003830675a1identifizierten Prinzipal identifiziert wird.

Anforderung

POST https://graph.microsoft.com/beta/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "AdminRemove",
    "justification": "Assign User Admin eligibility to IT Helpdesk (User) group",
    "roleDefinitionId": "fdd7a751-b60b-444a-984c-02652fe8fa1c",
    "directoryScopeId": "/",
    "principalId": "07706ff1-46c7-4847-ae33-3003830675a1",
    "scheduleInfo": {
        "startDateTime": "2021-07-26T18:08:06.2081758Z",
        "expiration": {
            "endDateTime": "2022-06-30T00:00:00Z",
            "type": "AfterDateTime"
        }
    }
}

Antwort

Nachfolgend sehen Sie ein Beispiel der Antwort. Die Anforderung gibt ein Antwortobjekt zurück, das den Status der zuvor berechtigten Zuordnungsänderungen als Revokedanzeigt. Der Prinzipal wird seine zuvor berechtigte Rolle nicht mehr sehen.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "7f88a144-f9a9-4f8c-9623-39c321ae93c2",
    "status": "Revoked",
    "createdDateTime": "2021-08-06T17:59:12.4263499Z",
    "completedDateTime": null,
    "approvalId": null,
    "customData": null,
    "action": "AdminRemove",
    "principalId": "07706ff1-46c7-4847-ae33-3003830675a1",
    "roleDefinitionId": "fdd7a751-b60b-444a-984c-02652fe8fa1c",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": null,
    "justification": "Assign User Admin eligibility to IT Helpdesk (User) group",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "fc9a2c2b-1ddc-486d-a211-5fe8ca77fa1f"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2021-07-26T18:08:06.2081758Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDateTime",
            "endDateTime": "2022-06-30T00:00:00Z",
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}