unifiedRoleDefinition abrufen
Namespace: microsoft.graph
Wichtig
APIs unter der /beta Version in Microsoft Graph können geändert werden. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in Version 1.0 verfügbar ist, verwenden Sie die Versionsauswahl .
Dient zum Abrufen der Eigenschaften und Beziehungen eines unifiedRoleDefinition-Objekts eines RBAC-Anbieters.
Die folgenden RBAC-Anbieter werden derzeit unterstützt:
- Cloud-PC
- Geräteverwaltung (Intune)
- Verzeichnis (Azure AD-Verzeichnisrollen)
- Berechtigungsverwaltung (Azure AD-Berechtigungsverwaltung)
Berechtigungen
Wählen Sie in Abhängigkeit vom RBAC-Anbieter und dem erforderlichen Berechtigungstyp (delegiert oder Anwendung) aus den folgenden Tabellen die Berechtigung mit den geringsten Berechtigungen aus, die zum Aufrufen dieser API erforderlich ist. Weitere Informationen, einschließlich Vorsicht vor der Auswahl privilegierterer Berechtigungen, finden Sie unter "Berechtigungen".
Für einen Cloud-PC-Anbieter
| Berechtigungstyp | Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten) |
|---|---|
| Delegiert (Geschäfts-, Schul- oder Unikonto) | RoleManagement.Read.CloudPC, CloudPC.Read.All, RoleManagement.ReadWrite.CloudPC, CloudPC.ReadWrite.All, RoleManagement.Read.All |
| Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt |
| Anwendung | RoleManagement.Read.CloudPC, CloudPC.Read.All, RoleManagement.ReadWrite.CloudPC, CloudPC.ReadWrite.All, RoleManagement.Read.All |
Für einen Geräteverwaltungsanbieter (Intune)
| Berechtigungstyp | Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten) |
|---|---|
| Delegiert (Geschäfts-, Schul- oder Unikonto) | DeviceManagementRBAC.Read.All, DeviceManagementRBAC.ReadWrite.All |
| Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt |
| Anwendung | DeviceManagementRBAC.Read.All, DeviceManagementRBAC.ReadWrite.All |
Für einen Verzeichnisanbieter (Azure AD)
| Berechtigungstyp | Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten) |
|---|---|
| Delegiert (Geschäfts-, Schul- oder Unikonto) | RoleManagement.Read.Directory, Directory.Read.All, RoleManagement.ReadWrite.Directory, Directory.ReadWrite.All |
| Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt |
| Anwendung | RoleManagement.Read.Directory, Directory.Read.All, RoleManagement.ReadWrite.Directory, Directory.ReadWrite.All |
Für einen Berechtigungsverwaltungsanbieter
| Berechtigungstyp | Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten) |
|---|---|
| Delegiert (Geschäfts-, Schul- oder Unikonto) | EntitlementManagement.Read.All, EntitlementManagement.ReadWrite.All |
| Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt |
| Anwendung | Nicht unterstützt |
HTTP-Anforderung
Abrufen einer Rollendefinition für einen Cloud-PC-Anbieter:
GET /roleManagement/cloudPC/roleDefinitions/{id}
Abrufen einer Rollendefinition für einen Geräteverwaltungsanbieter:
GET /roleManagement/deviceManagement/roleDefinitions/{id}
Abrufen einer Rollendefinition für einen Verzeichnisanbieter:
GET /roleManagement/directory/roleDefinitions/{id}
Abrufen einer Rollendefinition für den Berechtigungsverwaltungsanbieter:
GET /roleManagement/entitlementManagement/roleDefinitions/{id}
Optionale Abfrageparameter
Diese Methode unterstützt OData-Abfrageparameter zur Anpassung der Antwort. Allgemeine Informationen finden Sie unter OData-Abfrageparameter.
Anforderungsheader
| Name | Beschreibung |
|---|---|
| Authorization | Bearer {token} |
Anforderungstext
Geben Sie für diese Methode keinen Anforderungstext an.
Antwort
Bei erfolgreicher Ausführung gibt die Methode den 200 OK Antwortcode und das angeforderte unifiedRoleDefinition-Objekt im Antworttext zurück.
Beispiele
Beispiel 1: Abrufen der Definition einer benutzerdefinierten Rolle für einen Verzeichnisanbieter
Anforderung
Nachfolgend sehen Sie ein Beispiel der Anforderung.
GET https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions/f189965f-f560-4c59-9101-933d4c87a91a
Antwort
Nachfolgend sehen Sie ein Beispiel der Antwort.
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions/$entity",
"id": "f189965f-f560-4c59-9101-933d4c87a91a",
"description": "Allows reading Application Registrations",
"displayName": "Application Registration Reader",
"isBuiltIn": false,
"isEnabled": true,
"templateId": "f189965f-f560-4c59-9101-933d4c87a91a",
"version": null,
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/allProperties/read"
],
"condition": null
}
],
"inheritsPermissionsFrom": []
}
Beispiel 2: Abrufen der Definition einer integrierten Rolle für einen Verzeichnisanbieter
Anforderung
Nachfolgend sehen Sie ein Beispiel der Anforderung.
GET https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions/fdd7a751-b60b-444a-984c-02652fe8fa1c
Antwort
Nachfolgend sehen Sie ein Beispiel der Antwort.
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions/$entity",
"id": "fdd7a751-b60b-444a-984c-02652fe8fa1c",
"description": "Members of this role can create/manage groups, create/manage groups settings like naming and expiration policies, and view groups activity and audit reports.",
"displayName": "Groups Administrator",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
"templateId": "fdd7a751-b60b-444a-984c-02652fe8fa1c",
"version": "1",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/groups/assignLicense",
"microsoft.directory/groups/create",
"microsoft.directory/groups/delete",
"microsoft.directory/groups/hiddenMembers/read",
"microsoft.directory/groups/reprocessLicenseAssignment",
"microsoft.directory/groups/restore",
"microsoft.directory/groups/basic/update",
"microsoft.directory/groups/classification/update",
"microsoft.directory/groups/dynamicMembershipRule/update",
"microsoft.directory/groups/groupType/update",
"microsoft.directory/groups/members/update",
"microsoft.directory/groups/owners/update",
"microsoft.directory/groups/settings/update",
"microsoft.directory/groups/visibility/update",
"microsoft.azure.serviceHealth/allEntities/allTasks",
"microsoft.azure.supportTickets/allEntities/allTasks",
"microsoft.office365.serviceHealth/allEntities/allTasks",
"microsoft.office365.supportTickets/allEntities/allTasks",
"microsoft.office365.webPortal/allEntities/standard/read"
],
"condition": null
}
],
"inheritsPermissionsFrom": [
{
"id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
]
}
Beispiel 3: Abrufen der Definition einer integrierten Azure AD-Rolle und $expand der Rolle, von der sie erbt
Anforderung
Nachfolgend sehen Sie ein Beispiel der Anforderung.
GET https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions/fdd7a751-b60b-444a-984c-02652fe8fa1c?$expand=inheritsPermissionsFrom
Antwort
Nachfolgend sehen Sie ein Beispiel der Antwort.
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions(inheritsPermissionsFrom())/$entity",
"id": "fdd7a751-b60b-444a-984c-02652fe8fa1c",
"description": "Members of this role can create/manage groups, create/manage groups settings like naming and expiration policies, and view groups activity and audit reports.",
"displayName": "Groups Administrator",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
"templateId": "fdd7a751-b60b-444a-984c-02652fe8fa1c",
"version": "1",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/groups/assignLicense",
"microsoft.directory/groups/create",
"microsoft.directory/groups/delete",
"microsoft.directory/groups/hiddenMembers/read",
"microsoft.directory/groups/reprocessLicenseAssignment",
"microsoft.directory/groups/restore",
"microsoft.directory/groups/basic/update",
"microsoft.directory/groups/classification/update",
"microsoft.directory/groups/dynamicMembershipRule/update",
"microsoft.directory/groups/groupType/update",
"microsoft.directory/groups/members/update",
"microsoft.directory/groups/owners/update",
"microsoft.directory/groups/settings/update",
"microsoft.directory/groups/visibility/update",
"microsoft.azure.serviceHealth/allEntities/allTasks",
"microsoft.azure.supportTickets/allEntities/allTasks",
"microsoft.office365.serviceHealth/allEntities/allTasks",
"microsoft.office365.supportTickets/allEntities/allTasks",
"microsoft.office365.webPortal/allEntities/standard/read"
],
"condition": null
}
],
"inheritsPermissionsFrom": [
{
"id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"description": "Can read basic directory information. Commonly used to grant directory read access to applications and guests.",
"displayName": "Directory Readers",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
"templateId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"version": "1",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/administrativeUnits/standard/read",
"microsoft.directory/administrativeUnits/members/read",
"microsoft.directory/applications/standard/read",
"microsoft.directory/applications/owners/read",
"microsoft.directory/applications/policies/read",
"microsoft.directory/contacts/standard/read",
"microsoft.directory/contacts/memberOf/read",
"microsoft.directory/contracts/standard/read",
"microsoft.directory/devices/standard/read",
"microsoft.directory/devices/memberOf/read",
"microsoft.directory/devices/registeredOwners/read",
"microsoft.directory/devices/registeredUsers/read",
"microsoft.directory/directoryRoles/standard/read",
"microsoft.directory/directoryRoles/eligibleMembers/read",
"microsoft.directory/directoryRoles/members/read",
"microsoft.directory/domains/standard/read",
"microsoft.directory/groups/standard/read",
"microsoft.directory/groups/appRoleAssignments/read",
"microsoft.directory/groups/memberOf/read",
"microsoft.directory/groups/members/read",
"microsoft.directory/groups/owners/read",
"microsoft.directory/groups/settings/read",
"microsoft.directory/groupSettings/standard/read",
"microsoft.directory/groupSettingTemplates/standard/read",
"microsoft.directory/oAuth2PermissionGrants/standard/read",
"microsoft.directory/organization/standard/read",
"microsoft.directory/organization/trustedCAsForPasswordlessAuth/read",
"microsoft.directory/applicationPolicies/standard/read",
"microsoft.directory/roleAssignments/standard/read",
"microsoft.directory/roleDefinitions/standard/read",
"microsoft.directory/servicePrincipals/appRoleAssignedTo/read",
"microsoft.directory/servicePrincipals/appRoleAssignments/read",
"microsoft.directory/servicePrincipals/standard/read",
"microsoft.directory/servicePrincipals/memberOf/read",
"microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read",
"microsoft.directory/servicePrincipals/owners/read",
"microsoft.directory/servicePrincipals/ownedObjects/read",
"microsoft.directory/servicePrincipals/policies/read",
"microsoft.directory/subscribedSkus/standard/read",
"microsoft.directory/users/standard/read",
"microsoft.directory/users/appRoleAssignments/read",
"microsoft.directory/users/directReports/read",
"microsoft.directory/users/manager/read",
"microsoft.directory/users/memberOf/read",
"microsoft.directory/users/oAuth2PermissionGrants/read",
"microsoft.directory/users/ownedDevices/read",
"microsoft.directory/users/ownedObjects/read",
"microsoft.directory/users/registeredDevices/read"
],
"condition": null
}
]
}
]
}
Beispiel 4: Abrufen der Definition einer integrierten Rolle für einen Cloud-PC-Anbieter
Anforderung
GET https://graph.microsoft.com/beta/roleManagement/cloudPC/roleDefinitions/d40368cb-fbf4-4965-bbc1-f17b3a78e510
Antwort
Hinweis: Das hier gezeigte Antwortobjekt wurde möglicherweise zur besseren Lesbarkeit gekürzt. Ein tatsächlicher Aufruf gibt alle Eigenschaften zurück.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/cloudPC/roleDefinitions/$entity",
"id": "d40368cb-fbf4-4965-bbc1-f17b3a78e510",
"description": "Have read-only access all Cloud PC features.",
"displayName": "Cloud PC Reader",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
"templateId": "d40368cb-fbf4-4965-bbc1-f17b3a78e510",
"version": null,
"rolePermissions": [
{
"allowedResourceActions": [
"Microsoft.CloudPC/CloudPCs/Read",
"Microsoft.CloudPC/DeviceImages/Read",
"Microsoft.CloudPC/OnPremisesConnections/Read",
"Microsoft.CloudPC/ProvisioningPolicies/Read",
"Microsoft.CloudPC/Roles/Read",
"Microsoft.CloudPC/SelfServiceSettings/Read"
],
"condition": null
}
]
}
Beispiel 5: Abrufen der Definition einer integrierten Rolle für den Berechtigungsverwaltungsanbieter
Anforderung
GET https://graph.microsoft.com/beta/roleManagement/entitlementManagement/roleDefinitions/ba92d953-d8e0-4e39-a797-0cbedb0a89e8
Antwort
Hinweis: Das hier gezeigte Antwortobjekt wurde möglicherweise zur besseren Lesbarkeit gekürzt. Ein tatsächlicher Aufruf gibt alle Eigenschaften zurück.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/entitlementManagement/roleDefinitions/$entity",
"id": "ba92d953-d8e0-4e39-a797-0cbedb0a89e8",
"displayName": "Catalog creator",
"description": "Catalog creator",
"isBuiltIn": true,
"isEnabled": true,
"templateId": "ba92d953-d8e0-4e39-a797-0cbedb0a89e8",
"version": "1.0",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.entitlementManagement/AccessPackageCatalog/Create"
]
}
]
}
Feedback
Feedback senden und anzeigen für