Répertorier roleDefinitions
Espace de noms: microsoft.graph
Importante
Les API sous la version /beta
dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .
Obtenez la liste des objets unifiedRoleDefinition pour un fournisseur RBAC.
Les fournisseurs RBAC suivants sont actuellement pris en charge :
- PC cloud
- gestion des appareils (Intune)
- répertoire (Microsoft Entra ID)
- gestion des droits d’utilisation (Microsoft Entra ID)
- Exchange Online
Cette API est disponible dans les déploiements de cloud national suivants.
Service global | Gouvernement des États-Unis L4 | Us Government L5 (DOD) | Chine gérée par 21Vianet |
---|---|---|---|
✅ | ✅ | ✅ | ✅ |
Autorisations
Selon le fournisseur RBAC et le type d’autorisation (délégué ou application) nécessaire, choisissez dans les tableaux suivants l’autorisation la moins privilégiée requise pour appeler cette API. Pour en savoir plus, notamment sur la prudence avant de choisir d’autres autorisations privilégiées, consultez Autorisations.
Pour un fournisseur de PC cloud
Type d’autorisation | Autorisations (de celle qui offre le plus de privilèges à celle qui en offre le moins) |
---|---|
Déléguée (compte professionnel ou scolaire) | RoleManagement.Read.CloudPC, CloudPC.Read.All, RoleManagement.ReadWrite.CloudPC, CloudPC.ReadWrite.All, RoleManagement.Read.All |
Déléguée (compte Microsoft personnel) | Non prise en charge. |
Application | RoleManagement.Read.CloudPC, CloudPC.Read.All, RoleManagement.ReadWrite.CloudPC, CloudPC.ReadWrite.All, RoleManagement.Read.All |
Pour un fournisseur de gestion des appareils (Intune)
Type d’autorisation | Autorisations (de celle qui offre le plus de privilèges à celle qui en offre le moins) |
---|---|
Déléguée (compte professionnel ou scolaire) | DeviceManagementRBAC.Read.All, DeviceManagementRBAC.ReadWrite.All |
Déléguée (compte Microsoft personnel) | Non prise en charge. |
Application | DeviceManagementRBAC.Read.All, DeviceManagementRBAC.ReadWrite.All |
Pour un fournisseur d’annuaire (Microsoft Entra ID)
Type d’autorisation | Autorisations (de celle qui offre le plus de privilèges à celle qui en offre le moins) |
---|---|
Déléguée (compte professionnel ou scolaire) | RoleManagement.Read.Directory, Directory.Read.All, RoleManagement.ReadWrite.Directory, Directory.ReadWrite.All |
Déléguée (compte Microsoft personnel) | Non prise en charge. |
Application | RoleManagement.Read.Directory, Directory.Read.All, RoleManagement.ReadWrite.Directory, Directory.ReadWrite.All |
Pour un fournisseur de gestion des droits d’utilisation
Type d’autorisation | Autorisations (de celle qui offre le plus de privilèges à celle qui en offre le moins) |
---|---|
Déléguée (compte professionnel ou scolaire) | EntitlementManagement.Read.All, EntitlementManagement.ReadWrite.All |
Déléguée (compte Microsoft personnel) | Non prise en charge. |
Application | Non prise en charge. |
Pour un fournisseur Exchange Online
Type d’autorisation | Autorisations (de celle qui offre le plus de privilèges à celle qui en offre le moins) |
---|---|
Déléguée (compte professionnel ou scolaire) | RoleManagement.Read.Exchange, RoleManagement.Read.All, RoleManagement.ReadWrite.Exchange |
Déléguée (compte Microsoft personnel) | Non prise en charge. |
Application | RoleManagement.Read.Exchange, RoleManagement.Read.All, RoleManagement.ReadWrite.Exchange |
Requête HTTP
Pour répertorier les définitions de rôle d’un fournisseur de PC cloud :
GET /roleManagement/cloudPC/roleDefinitions
Pour répertorier les définitions de rôle d’un fournisseur de gestion des appareils :
GET /roleManagement/deviceManagement/roleDefinitions
Pour répertorier les définitions de rôle d’un fournisseur d’annuaires :
GET /roleManagement/directory/roleDefinitions
Pour répertorier les définitions de rôle pour le fournisseur de gestion des droits d’utilisation :
GET /roleManagement/entitlementManagement/roleDefinitions
Pour répertorier les définitions de rôle pour le fournisseur Exchange Online :
GET /roleManagement/exchange/roleDefinitions
Paramètres facultatifs de la requête
Cette méthode prend en charge le $filter
paramètre de requête pour vous aider à personnaliser la réponse. Pour des informations générales, consultez paramètres de la requête OData.
En-têtes de demande
Nom | Description |
---|---|
Autorisation | Porteur {token}. Obligatoire. En savoir plus sur l’authentification et l’autorisation. |
Corps de la demande
N’indiquez pas le corps de la demande pour cette méthode.
Réponse
Si elle réussit, cette méthode renvoie un 200 OK
code de réponse et une collection d’objets unifiedRoleDefinition dans le corps de la réponse.
Exemples
Exemple 1 : Répertorier les définitions de rôle d’un fournisseur d’annuaires
Demande
L’exemple suivant illustre une demande.
GET https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions
Réponse
L’exemple suivant illustre la réponse.
Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions",
"value": [
{
"id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
"description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
"displayName": "Helpdesk Administrator",
"isBuiltIn": true,
"isEnabled": true,
"isPrivileged": true,
"templateId": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
"version": "1",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/users/invalidateAllRefreshTokens",
"microsoft.directory/users/bitLockerRecoveryKeys/read",
"microsoft.directory/users/password/update",
"microsoft.azure.serviceHealth/allEntities/allTasks",
"microsoft.azure.supportTickets/allEntities/allTasks",
"microsoft.office365.webPortal/allEntities/standard/read",
"microsoft.office365.serviceHealth/allEntities/allTasks",
"microsoft.office365.supportTickets/allEntities/allTasks"
],
"condition": null
}
],
"inheritsPermissionsFrom": [
{
"id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
]
},
{
"id": "f023fd81-a637-4b56-95fd-791ac0226033",
"description": "Can read service health information and manage support tickets.",
"displayName": "Service Support Administrator",
"isBuiltIn": true,
"isEnabled": true,
"isPrivileged": false,
"templateId": "f023fd81-a637-4b56-95fd-791ac0226033",
"version": "1",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.azure.serviceHealth/allEntities/allTasks",
"microsoft.azure.supportTickets/allEntities/allTasks",
"microsoft.office365.webPortal/allEntities/standard/read",
"microsoft.office365.serviceHealth/allEntities/allTasks",
"microsoft.office365.supportTickets/allEntities/allTasks"
],
"condition": null
}
],
"inheritsPermissionsFrom": [
{
"id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
]
},
{
"id": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
"description": "Can perform common billing related tasks like updating payment information.",
"displayName": "Billing Administrator",
"isBuiltIn": true,
"isEnabled": true,
"isPrivileged": false,
"templateId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
"version": "1",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/organization/basic/update",
"microsoft.azure.serviceHealth/allEntities/allTasks",
"microsoft.azure.supportTickets/allEntities/allTasks",
"microsoft.commerce.billing/allEntities/allTasks",
"microsoft.office365.webPortal/allEntities/standard/read",
"microsoft.office365.serviceHealth/allEntities/allTasks",
"microsoft.office365.supportTickets/allEntities/allTasks"
],
"condition": null
}
],
"inheritsPermissionsFrom": [
{
"id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
]
}
]
}
Exemple 2 : Répertorier les définitions de rôle pour un fournisseur de PC cloud
Demande
L’exemple suivant illustre une demande.
GET https://graph.microsoft.com/beta/roleManagement/cloudPC/roleDefinitions
Réponse
L’exemple suivant illustre la réponse.
Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/cloudPC/roleDefinitions",
"value": [
{
"id": "b5c08161-a7af-481c-ace2-a20a69a48fb1",
"description": "Cloud PC Administrator has read and write access to all Cloud PC features located within the Cloud PC blade.",
"displayName": "Cloud PC Administrator",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
"templateId": "b5c08161-a7af-481c-ace2-a20a69a48fb1",
"version": null,
"rolePermissions": [
{
"allowedResourceActions": [
"Microsoft.CloudPC/CloudPCs/Read",
"Microsoft.CloudPC/CloudPCs/Reprovision",
"Microsoft.CloudPC/DeviceImages/Create",
"Microsoft.CloudPC/DeviceImages/Delete",
"Microsoft.CloudPC/DeviceImages/Read",
"Microsoft.CloudPC/OnPremisesConnections/Create",
"Microsoft.CloudPC/OnPremisesConnections/Delete",
"Microsoft.CloudPC/OnPremisesConnections/Read",
"Microsoft.CloudPC/OnPremisesConnections/Update",
"Microsoft.CloudPC/OnPremisesConnections/RunHealthChecks",
"Microsoft.CloudPC/OnPremisesConnections/UpdateAdDomainPassword",
"Microsoft.CloudPC/ProvisioningPolicies/Assign",
"Microsoft.CloudPC/ProvisioningPolicies/Create",
"Microsoft.CloudPC/ProvisioningPolicies/Delete",
"Microsoft.CloudPC/ProvisioningPolicies/Read",
"Microsoft.CloudPC/ProvisioningPolicies/Update",
"Microsoft.CloudPC/RoleAssignments/Create",
"Microsoft.CloudPC/RoleAssignments/Update",
"Microsoft.CloudPC/RoleAssignments/Delete",
"Microsoft.CloudPC/Roles/Read"
],
"condition": null
}
]
},
{
"id": "d40368cb-fbf4-4965-bbc1-f17b3a78e510",
"description": "Cloud PC Reader has read access to all Cloud PC features located within the Cloud PC blade.",
"displayName": "Cloud PC Reader",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
"templateId": "d40368cb-fbf4-4965-bbc1-f17b3a78e510",
"version": null,
"rolePermissions": [
{
"allowedResourceActions": [
"Microsoft.CloudPC/CloudPCs/Read",
"Microsoft.CloudPC/DeviceImages/Read",
"Microsoft.CloudPC/OnPremisesConnections/Read",
"Microsoft.CloudPC/ProvisioningPolicies/Read",
"Microsoft.CloudPC/Roles/Read"
],
"condition": null
}
]
}
]
}
Exemple 3 : Répertorier les définitions de rôle pour le fournisseur de gestion des droits d’utilisation
Demande
L’exemple suivant illustre une demande.
GET https://graph.microsoft.com/beta/roleManagement/entitlementManagement/roleDefinitions
Réponse
L’exemple suivant illustre la réponse.
Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/entitlementManagement/roleDefinitions",
"value": [
{
"id": "ae79f266-94d4-4dab-b730-feca7e132178",
"displayName": "Catalog owner",
"description": "Catalog owner",
"isBuiltIn": true,
"isEnabled": true,
"templateId": "ae79f266-94d4-4dab-b730-feca7e132178",
"version": "1.0",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.entitlementManagement/allEntities/allTasks"
]
}
]
},
{
"id": "44272f93-9762-48e8-af59-1b5351b1d6b3",
"displayName": "Catalog reader",
"description": "Catalog reader",
"isBuiltIn": true,
"isEnabled": true,
"templateId": "44272f93-9762-48e8-af59-1b5351b1d6b3",
"version": "1.0",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.entitlementManagement/allEntities/Read"
]
}
]
}
]
}
Exemple 4 : Répertorier les définitions de rôle pour le fournisseur Exchange Online
Demande
L’exemple suivant illustre une demande.
GET https://graph.microsoft.com/beta/roleManagement/exchange/roleDefinitions
Réponse
L’exemple suivant illustre la réponse.
Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/exchange/roleDefinitions",
"value": [
{
"id": "7224da60-d8e2-4f45-9380-8e4fda64e133",
"description": "This role enables administrators to manage address lists, global address lists, and offline address lists in an organization.",
"displayName": "Address Lists",
"isEnabled": true,
"version": "0.12 (14.0.451.0)",
"isBuiltIn": true,
"templateId": null,
"allowedPrincipalTypes": "user,group",
"rolePermissions": [
{
"allowedResourceActions": [
"(Microsoft.Exchange.Management.PowerShell.E2010) Get-AddressBookPolicy -ErrorAction -ErrorVariable -Identity -OutBuffer -OutVariable -WarningAction -WarningVariable"
],
"excludedResourceActions": [],
"condition": null
}
]
},
{
"id": "435bdc29-5ab0-454e-906e-afb7d563bd98",
"description": "This role enables applications to impersonate users in an organization in order to perform tasks on behalf of the user.",
"displayName": "ApplicationImpersonation",
"isEnabled": true,
"version": "0.12 (14.0.451.0)",
"isBuiltIn": true,
"templateId": null,
"allowedPrincipalTypes": "user,group",
"rolePermissions": [
{
"allowedResourceActions": [
"Impersonate-ExchangeUser"
],
"excludedResourceActions": [],
"condition": null
}
]
}
]
}
Exemple 5 : Lister les définitions de rôles privilégiés
Demande
L’exemple suivant illustre une demande.
GET https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions?$filter=isPrivileged eq true
Réponse
L’exemple suivant illustre la réponse.
Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions",
"value": [
{
"id": "aaf43236-0c0d-4d5f-883a-6955382ac081",
"description": "Can manage secrets for federation and encryption in the Identity Experience Framework (IEF).",
"displayName": "B2C IEF Keyset Administrator",
"isBuiltIn": true,
"isEnabled": true,
"isPrivileged": true,
"resourceScopes": [
"/"
],
"templateId": "aaf43236-0c0d-4d5f-883a-6955382ac081",
"version": "1",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks"
],
"condition": null
}
],
"inheritsPermissionsFrom@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions('aaf43236-0c0d-4d5f-883a-6955382ac081')/inheritsPermissionsFrom",
"inheritsPermissionsFrom": [
{
"id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
]
},
{
"id": "be2f45a1-457d-42af-a067-6ec1fa63bc45",
"description": "Can configure identity providers for use in direct federation.",
"displayName": "External Identity Provider Administrator",
"isBuiltIn": true,
"isEnabled": true,
"isPrivileged": true,
"resourceScopes": [
"/"
],
"templateId": "be2f45a1-457d-42af-a067-6ec1fa63bc45",
"version": "1",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/domains/federation/update",
"microsoft.directory/identityProviders/allProperties/allTasks"
],
"condition": null
}
],
"inheritsPermissionsFrom@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions('be2f45a1-457d-42af-a067-6ec1fa63bc45')/inheritsPermissionsFrom",
"inheritsPermissionsFrom": [
{
"id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
]
}
]
}
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour