Didacticiel : Gérer l’accès aux ressources dans la gestion des droits Active Directory à l’aide des API Microsoft GraphTutorial: Manage access to resources in Active Directory entitlement management using Microsoft Graph APIs

La gestion de l’accès à toutes les ressources dont les employés ont besoin, telles que les groupes, les applications et les sites, est une fonction importante pour les organisations.Managing access to all the resources that employees need, such as groups, applications, and sites, is an important function for organizations. Vous souhaitez accorder aux employés le niveau d’accès dont ils ont besoin pour être productifs et supprimer leur accès lorsqu’il n’est plus nécessaire.You want to grant employees the right level of access they need to be productive and remove their access when it is no longer needed. La gestion des droits Azure Active Directory (Azure AD) à l’aide des API Microsoft Graph vous permet de gérer ce type d’accès.Azure Active Directory (Azure AD) entitlement management using Microsoft Graph APIs enables you to manage this type of access.

Dans ce didacticiel, vous avez été invité à développer du code pour créer un package de ressources pour une campagne marketing que les utilisateurs internes peuvent demander en libre-service.In this tutorial, you've been asked to develop code to create a package of resources for a marketing campaign that internal users can self-service request. Les demandes ne nécessitent pas d’approbation et l’accès de l’utilisateur expire au bout de 30 jours.Requests do not require approval and user's access expires after 30 days. Pour ce didacticiel, les ressources de campagne marketing sont simplement membres d’un seul groupe, mais il peut s’agit d’une collection de groupes, d’applications ou de sites SharePoint Online.For this tutorial, the marketing campaign resources are just membership in a single group, but it could be a collection of groups, applications, or SharePoint Online sites.

Remarque : Les objets de réponse présentés dans ce didacticiel peuvent être raccourcis pour des raisons de lisibilité.Note: The response objects shown in this tutorial might be shortened for readability.

Configuration requisePrerequisites

Pour réussir ce didacticiel, assurez-vous que vous avez les conditions préalables requises :To successfully complete this tutorial, make sure that you have the required prerequisites:

  • La gestion des droits Azure AD nécessite des licences spécifiques.Azure AD entitlement management requires specific licenses. Pour plus d’informations, voir La licence requise.For more information, see License requirements. Les licences suivantes sont requises dans votre client :The following licenses are required in your tenant:
    • Azure AD Premium P2Azure AD Premium P2
    • Licence Enterprise Mobility + Security (EMS) E5Enterprise Mobility + Security (EMS) E5 license
  • Ce didacticiel part du principe que vous utilisez l’Explorateur Microsoft Graph, mais que vous pouvez utiliser Postman ou créer votre propre application cliente pour appeler Microsoft Graph.This tutorial assumes that you are using Microsoft Graph Explorer, but you can use Postman, or create your own client app to call Microsoft Graph. Pour appeler les API Microsoft Graph dans ce didacticiel, vous devez utiliser un compte avec le rôle Administrateur général et les autorisations appropriées.To call the Microsoft Graph APIs in this tutorial, you need to use an account with the global administrator role and the appropriate permissions. Pour ce didacticiel, les autorisations déléguées et les User.ReadWrite.All Group.ReadWrite.All EntitlementManagement.ReadWrite.All autorisations déléguées sont nécessaires.For this tutorial, the User.ReadWrite.All, Group.ReadWrite.All, and EntitlementManagement.ReadWrite.All delegated permissions are needed. Pour définir des autorisations dans l’Explorateur Microsoft Graph, vous effectuer les étapes suivantes :Complete the following steps to set permissions in Microsoft Graph Explorer:
    1. Démarrer l’Explorateur Microsoft Graph.Start Microsoft Graph Explorer.

    2. Sélectionnez Se connecter avec Microsoft et connectez-vous à l’aide d’un compte administrateur global AD.Select Sign-In with Microsoft and sign in using an Azure AD global administrator account. Une fois la connexion établie, les détails du compte d’utilisateur s’affichent dans le volet gauche.After you successfully sign in, you can see the user account details in the left-hand pane.

    3. Sélectionnez l’icône des paramètres à droite des détails du compte d’utilisateur, puis sélectionnez Sélectionner les autorisations.Select the settings icon to the right of the user account details, and then select Select permissions.

      Sélectionner les autorisations Microsoft Graph

    4. Faites défiler la liste des autorisations vers les autorisations, développez Group Groupe (2), sélectionnez l’autorisation Group.ReadWrite.All.Scroll through the list of permissions to the Group permissions, expand Group (2), select the Group.ReadWrite.All permission. Faites défiler la liste des autorisations vers le bas, développez User User (8) et sélectionnez l’autorisation User.ReadWrite.All.Scroll further down the list of permissions to the User permissions, expand User (8), and select the User.ReadWrite.All permission.

      Rechercher les autorisations d’utilisateur, de groupe et de gestion des droits

    5. Sélectionnez Accord, puis sélectionnez Accepter pour accepter le consentement des autorisations.Select Consent, and then select Accept to accept the consent of the permissions. Vous n’avez pas besoin de donner votre consentement au nom de votre organisation pour ces autorisations.You do not need to consent on behalf of your organization for these permissions.

    6. Recherchez les EntitlementManagement autorisations, développez EntitlementManagement (2), sélectionnez l’autorisation Entitlement.ReadWrite.All, puis sélectionnez Consentement.Search for the EntitlementManagement permissions, expand EntitlementManagement (2), select the Entitlement.ReadWrite.All permission, and then select Consent. Étant donné que cette autorisation nécessite le consentement de l’administrateur et est nécessaire par un compte d’utilisateur que vous créez dans ce didacticiel, vous devez sélectionner Consentement au nom de votre organisation.Because this permission requires admin consent and is needed by a user account that you create in this tutorial, you must select Consent on behalf of your organization.

      Consentement pour l’organisation

    7. Sélectionnez Accepter pour accepter le consentement des autorisations.Select Accept to accept the consent of the permissions.

Étape 1 : Créer un compte d’utilisateur et un groupeStep 1: Create a user account and a group

Dans cette étape, vous allez créer un groupe nommé Ressources marketing dans l’annuaire qui est la ressource cible pour la gestion des droits.In this step, you create a group named Marketing resources in the directory that is the target resource for entitlement management. Vous créez également un compte d’utilisateur qui est installé en tant que demandeur interne.You also create a user account that is set up as an internal requestor.

Créez un compte d’utilisateurCreate a user account

Pour ce didacticiel, vous créez un compte d’utilisateur qui est utilisé pour demander l’accès aux ressources dans le package d’accès.For this tutorial, you create a user account that is used to request access to the resources in the access package. Lorsque vous faites ces appels, contoso.onmicrosoft.com modifiez le nom de domaine de votre client.When you make these calls, change contoso.onmicrosoft.com to the domain name of your tenant. Vous trouverez des informations sur le client dans la page de vue d’ensemble d’Azure Active Directory.You can find tenant information on the Azure Active Directory overview page. Enregistrez la valeur de la propriété id qui est renvoyée pour être utilisée plus loin dans le didacticiel.Record the value of the id property that is returned to be used later in the tutorial.

DemandeRequest

POST https://graph.microsoft.com/v1.0/users
Content-type: application/json

{
  "accountEnabled":true,
  "displayName":"Requestor1",
  "mailNickname":"Requestor1",
  "userPrincipalName":"Requestor1@contoso.onmicrosoft.com",
  "passwordProfile": {
    "forceChangePasswordNextSignIn":true,
    "password":"Contoso1234"
  }
}

RéponseResponse

{
  "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
  "id": "007d1c7e-7fa8-4e33-b678-5e437acdcddc",
  "deletedDateTime": null,
  "accountEnabled": true,
  "ageGroup": null,
  "businessPhones": [],
  "city": null,
  "createdDateTime": null,
  "creationType": null,
  "companyName": null,
  "consentProvidedForMinor": null,
  "country": null,
  "department": null,
  "displayName": "Requestor1",
  "employeeId": null,
  "faxNumber": null,
  "givenName": null,
  "imAddresses": [],
  "infoCatalogs": [],
  "isResourceAccount": null,
  "jobTitle": null,
  "legalAgeGroupClassification": null,
  "mail": null,
  "mailNickname": "Requestor1",
}

Créer un groupeCreate a group

Dans ce didacticiel, vous créez un groupe nommé Ressources marketing qui est la ressource cible pour la gestion des droits.In this tutorial, you create a group named Marketing resources that is the target resource for entitlement management. Vous pouvez utiliser un groupe existant si vous en avez déjà un.You can use an existing group if you already have one. Enregistrez la valeur de la propriété id qui est renvoyée pour être utilisé plus loin dans ce didacticiel.Record the value of the id property that is returned to use later in this tutorial.

DemandeRequest

POST https://graph.microsoft.com/v1.0/groups
Content-type: application/json

{
  "description":"Marketing group",
  "displayName":"Marketing resources",
  "mailEnabled":false,
  "mailNickname":"markres",
  "securityEnabled":true
}

RéponseResponse

{
  "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groups/$entity",
  "id": "e93e24d1-2b65-4a6c-a1dd-654a12225487",
  "deletedDateTime": null,
  "classification": null,
  "createdDateTime": "2020-06-24T16:47:37Z",
  "createdByAppId": "de8bc8b5-d9f9-48b1-a8ad-b748da725064",
  "description": "Marketing group",
  "displayName": "Marketing resources",
  "expirationDateTime": null,
  "groupTypes": [],
  "infoCatalogs": [],
  "isAssignableToRole": null,
  "mail": null,
  "mailEnabled": false,
  "mailNickname": "markres"
}

Étape 2 : Ajouter des ressources à un catalogue et créer un package d’accèsStep 2: Add resources to a catalog and create an access package

Un package d’accès est un ensemble de ressources dont une équipe ou un projet a besoin et est régi par des stratégies.An access package is a bundle of resources that a team or project needs and is governed with policies. Les packages d’accès sont définis dans des conteneurs appelés catalogues.Access packages are defined in containers called catalogs. Les catalogues peuvent référencer des ressources, telles que des groupes, des applications et des sites, qui sont utilisées dans le package d’accès.Catalogs can reference resources, such as groups, apps and sites, that are used in the access package. Dans cette étape, vous allez créer un package d’accès campagne marketing dans le catalogue général.In this step, you create a Marketing Campaign access package in the General catalog. Si vous avez un autre catalogue, utilisez son nom dans la section suivante.If you have a different catalog, use its name in the next section.

Obtenir l’identificateur de catalogueGet the catalog identifier

Pour ajouter des ressources au catalogue, vous devez d’abord obtenir l’identificateur de celui-ci.To add resources to the catalog, you must first get the identifier of it. Si vous utilisez le catalogue Général, exécutez la requête suivante pour obtenir son identificateur.If you are using the General catalog, run the following request to get its identifier. Si vous utilisez un autrelog, modifiez la valeur de filtre dans la demande en nom de votre catalogue.If you are using a different calalog, change the filter value in the request to the name of your catalog. Enregistrez la valeur de la propriété id qui est renvoyée pour être utilisé plus loin dans ce didacticiel.Record the value of the id property that is returned to use later in this tutorial.

DemandeRequest

GET https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageCatalogs?$filter=(displayName eq 'General')

RéponseResponse

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#accessPackageCatalogs",
  "value": [ 
    {
      "id": "cec5d6ab-c75d-47c0-9c1c-92e89f66e384",
      "displayName": "General",
      "description": "Built-in catalog.",
      "catalogType": "ServiceDefault",
      "catalogStatus": "Published",
      "isExternallyVisible": true,
      "createdBy": "Azure AD",
      "createdDateTime": "2020-05-30T10:58:05.363Z",
      "modifiedBy": "Azure AD",
      "modifiedDateTime": "2020-05-30T10:58:05.363Z"
    }
  ]
}

La réponse doit contenir uniquement le catalogue dont vous avez fourni le nom dans la demande.The response should only contain the catalog whose name you provided in the request. Si aucune valeur n’est renvoyée, vérifiez que le nom du catalogue est correct avant de continuer.If there are no values returned, check that the name of the catalog is correct before you proceed.

Ajouter le groupe au catalogueAdd the group to the catalog

Pour ajouter le groupe que vous avez créé au catalogue, fournissez les valeurs de propriété suivantes :To add the group that you created to the catalog, provide the following property values:

  • catalogId - ID du catalogue que vous utilisezcatalogId - the id of the catalog that you are using
  • displayName : nom du groupedisplayName - the name of the group
  • description - description du groupedescription - the description of the group
  • originId - ID du groupe que vous avez crééoriginId - the id of the group that you created

DemandeRequest

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageResourceRequests
Content-type: application/json

{
  "catalogId":"cec5d6ab-c75d-47c0-9c1c-92e89f66e384",
  "requestType": "AdminAdd",
  "justification": "",
  "accessPackageResource": {
    "displayName": "Marketing resources",
    "description": "Marketing group",
    "resourceType": "AadGroup",
    "originId": "e93e24d1-2b65-4a6c-a1dd-654a12225487",
    "originSystem": "AadGroup"
  }
}

RéponseResponse

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#identityGovernance/entitlementManagement/accessPackageResourceRequests/$entity",
  "catalogId": "cec5d6ab-c75d-47c0-9c1c-92e89f66e384",
  "executeImmediately": false,
  "id": "44e521e0-fb6b-4d5e-a282-e7e68dc59493",
  "requestType": "AdminAdd",
  "requestState": "Delivered",
  "requestStatus": "Fulfilled",
  "isValidationOnly": false,
  "expirationDateTime": null,
  "justification": ""
}

Obtenir des ressources de catalogueGet catalog resources

Dans les étapes ultérieures de ce didacticiel, vous avez besoin de l’ID qui a été affecté à la ressource de groupe dans le catalogue.In later steps in this tutorial, you need the id that was assigned to the group resource in the catalog. Cet identificateur, qui représente le groupe en tant que ressource dans le catalogue, est différent de l’identificateur du groupe lui-même dans Microsoft Graph.This identifier, which represents the group as a resource in the catalog, is different than the identifier of the group itself in Microsoft Graph. Cela est dû au fait qu’un catalogue peut avoir des ressources qui ne sont pas représentées dans Microsoft Graph.This is because a catalog can have resources which aren't represented in Microsoft Graph.

Dans la demande, fournissez l’ID du catalogue que vous utilisez.In the request, provide the id of the catalog that you are using. Enregistrez la valeur de la propriété id pour la ressource de catalogue de groupes.Record the value of the id property for the group catalog resource.

DemandeRequest

GET https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageCatalogs/cec5d6ab-c75d-47c0-9c1c-92e89f66e384/accessPackageResources?$filter=(displayName eq 'Marketing resources')

RéponseResponse

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#accessPackageResources",
  "value": [
    {
      "id": "4a1e21c5-8a76-4578-acb1-641160e076e8",
      "displayName": "Marketing resources",
      "description": "Marketing group",
      "url": "https://account.activedirectory.windowsazure.com/r?tenantId=d3030981-8fb9-4919-9980-5580caeddd75#/manageMembership?objectType=Group&objectId=e93e24d1-2b65-4a6c-a1dd-654a12225487",
      "resourceType": "Security Group",
      "originId": "e93e24d1-2b65-4a6c-a1dd-654a12225487",
      "originSystem": "AadGroup",
      "isPendingOnboarding": false,
      "addedBy": "admin@contoso.onmicrosoft.com",
      "addedOn": "2020-08-21T19:27:29.967Z"
    }
  ]
}

Obtenir des rôles de ressourcesGet resources roles

Le package d’accès affecte aux utilisateurs les rôles d’une ressource.The access package assigns users to the roles of a resource. Le rôle type d’un groupe est le rôle de membre.The typical role of a group is the member role. D’autres ressources, telles que les sites et applications SharePoint Online, peuvent avoir de nombreux rôles.Other resources, such as SharePoint Online sites and applications, might have many roles. Le rôle type d’un groupe utilisé dans un package d’accès est le rôle de membre.The typical role of a group used in an access package is the member role. Vous aurez besoin du rôle de membre lorsque vous ajouterez un rôle de ressource au package d’accès plus loin dans ce didacticiel.You'll need the member role when you add a resource role to the access package later in this tutorial.

Dans la demande, utilisez l’ID du catalogue et l’ID de la ressource de groupe dans le catalogue que vous avez enregistré pour obtenir l’originId du rôle de ressource Membre.In the request, use the id of the catalog and the id of the group resource in the catalog that you recorded to get the originId of the Member resource role. Enregistrez la valeur de la propriété originId à utiliser plus loin dans ce didacticiel.Record the value of the originId property to use later in this tutorial.

DemandeRequest

GET https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageCatalogs/cec5d6ab-c75d-47c0-9c1c-92e89f66e384/accessPackageResourceRoles?$filter=(originSystem+eq+%27AadGroup%27+and+accessPackageResource/id+eq+%274a1e21c5-8a76-4578-acb1-641160e076e8%27+and+displayName+eq+%27Member%27)&$expand=accessPackageResource

RéponseResponse

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#identityGovernance/entitlementManagement/accessPackageCatalogs('ede67938-cda7-4127-a9ca-7c7bf86a19b7')/accessPackageResourceRoles(accessPackageResource())",
  "value": [
    {
      "id": "00000000-0000-0000-0000-000000000000",
      "displayName": "Member",
      "description": null,
      "originSystem": "AadGroup",
      "originId": "Member_e93e24d1-2b65-4a6c-a1dd-654a12225487",
      "accessPackageResource@odata.context": "https://graph.microsoft.com/beta/$metadata#identityGovernance/entitlementManagement/accessPackageCatalogs('cec5d6ab-c75d-47c0-9c1c-92e89f66e384')/accessPackageResourceRoles('00000000-0000-0000-0000-000000000000')/accessPackageResource/$entity",
      "accessPackageResource": {
        "id": "4a1e21c5-8a76-4578-acb1-641160e076e8",
        "displayName": "Marketing resources",
        "description": "Marketing group",
        "url": "https://account.activedirectory.windowsazure.com/r?tenantId=d3030981-8fb9-4919-9980-5580caeddd75#/manageMembership?objectType=Group&objectId=e93e24d1-2b65-4a6c-a1dd-654a12225487",
        "resourceType": "Security Group",
        "originId": "e93e24d1-2b65-4a6c-a1dd-654a12225487",
        "originSystem": "AadGroup",
        "isPendingOnboarding": false,
        "addedBy": "admin@contoso.onmicrosoft.com",
        "addedOn": "2020-06-26T17:13:23.723Z",
        "accessPackageResourceScopes@odata.context": "https://graph.microsoft.com/beta/$metadata#identityGovernance/entitlementManagement/accessPackageCatalogs('cec5d6ab-c75d-47c0-9c1c-92e89f66e384')/accessPackageResourceRoles('00000000-0000-0000-0000-000000000000')/accessPackageResource/accessPackageResourceScopes",
        "accessPackageResourceScopes": []
      }
    }
  ]
}

Si elle réussit, une valeur unique est renvoyée, qui représente le rôle membre de ce groupe.If successful, a single value is returned, which represents the Member role of that group. Si aucun rôle n’est renvoyé, vérifiez les valeurs d’ID du catalogue et la ressource du package d’accès.If no roles are returned, check the id values of the catalog and the access package resource.

Créer le package d’accèsCreate the access package

À ce stade, vous avez un catalogue avec une ressource de groupe et vous savez que vous utiliserez le rôle de ressource de membre de groupe dans le package d’accès.At this point, you have a catalog with a group resource, and you know that you'll use the resource role of group member in the access package. L’étape suivante consiste à créer le package d’accès.The next step is to create the access package. Une fois que vous avez le package d’accès, vous pouvez y ajouter le rôle de ressource et créer une stratégie pour la façon dont les utilisateurs peuvent demander l’accès à ce rôle de ressource.After you have the access package, you can add the resource role to it, and create a policy for how users can request access to that resource role. Vous utilisez l’ID du catalogue que vous avez enregistré précédemment pour créer le package d’accès.You use the id of the catalog that you recorded earlier to create the access package. Enregistrez l’ID du package d’accès à utiliser plus loin dans ce didacticiel.Record the id of the access package to use later in this tutorial.

DemandeRequest

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackages
Content-type: application/json

{
  "catalogId": "cec5d6ab-c75d-47c0-9c1c-92e89f66e384",
  "displayName": "Marketing Campaign",
  "description": "Access to resources for the campaign"
}

RéponseResponse

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#identityGovernance/entitlementManagement/accessPackages/$entity",
  "id": "88203d16-0e31-41d4-87b2-dd402f1435e9",
  "catalogId": "cec5d6ab-c75d-47c0-9c1c-92e89f66e384",
  "displayName": "Marketing Campaign",
  "description": "Access to resources for the campaign",
  "isHidden": false,
  "isRoleScopesVisible": false,
  "createdBy": "admin@contoso.onmicrosoft.com",
  "createdDateTime": "2020-08-21T19:45:33.2042281Z",
  "modifiedBy": "admin@contoso.onmicrosoft.com",
  "modifiedDateTime": "2020-08-21T19:45:33.2042281Z"
}

Ajouter un rôle de ressource au package d’accèsAdd a resource role to the access package

Ajoutez le rôle Membre de la ressource de groupe au package d’accès.Add the Member role of the group resource to the access package. Dans la demande, fournissez l’ID du package d’accès.In the request, provide the id of the access package. Dans le corps de la demande, fournissez l’ID de la ressource de catalogue de groupes pour accessPackageResource et fournissez l’originId du rôle membre que vous avez précédemment enregistré.In the request body provide the id of the group catalog resource for accessPackageResource, and provide the originId of the Member role that you previously recorded.

DemandeRequest

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackages/88203d16-0e31-41d4-87b2-dd402f1435e9/accessPackageResourceRoleScopes
Content-type: application/json

{
  "accessPackageResourceRole": {
    "originId":"Member_e93e24d1-2b65-4a6c-a1dd-654a12225487",
    "displayName":"Member",
    "originSystem":"AadGroup",
    "accessPackageResource": {
      "id":"4a1e21c5-8a76-4578-acb1-641160e076e8","resourceType":"Security Group",  
      "originId":"e93e24d1-2b65-4a6c-a1dd-654a12225487","originSystem":"AadGroup"
    }
  },
  "accessPackageResourceScope": {
    "originId":"e93e24d1-2b65-4a6c-a1dd-654a12225487","originSystem":"AadGroup"
  }
}

RéponseResponse

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#identityGovernance/entitlementManagement/accessPackages('88203d16-0e31-41d4-87b2-dd402f1435e9')/accessPackageResourceRoleScopes/$entity",
  "id": "e081321b-2802-4834-a6ca-6f598ce3cdf7_6dbd2209-9d14-4c76-b92b-fcb00e835fe1",
  "createdBy": "admin@contoso.onmicrosoft.com",
  "createdDateTime": "2020-08-21T19:56:00.6320729Z",
  "modifiedBy": "admin@contoso.onmicrosoft.com",
  "modifiedDateTime": "2020-08-21T19:56:00.6320729Z"
}

Le package d’accès possède désormais un rôle de ressource, à l’aide de l’appartenance à un groupe.The access package now has one resource role, which is group membership. Le rôle est attribué à tous les utilisateurs qui disposent du package d’accès.The role is assigned to any user who has the access package.

Créer une stratégie de package d’accèsCreate an access package policy

Maintenant que vous avez créé le package d’accès et ajouté des ressources et des rôles, vous pouvez décider qui peut y accéder en créant une stratégie de package d’accès.Now that you created the access package and added resources and roles, you can decide who can access it by creating an access package policy. Dans ce didacticiel, vous activez le compte Requestor1 que vous avez créé pour demander l’accès aux ressources dans le package d’accès.In this tutorial, you enable the Requestor1 account that you created to request access to the resources in the access package. Pour cette tâche, vous avez besoin des valeurs ci-après :For this task, you need these values:

  • ID du package d’accès pour la valeur de la propriété accessPackageIdid of the access package for the value of the accessPackageId property
  • ID du compte d’utilisateur Requestor1 pour la valeur de la propriété id dans allowedRequestorsid of the Requestor1 user account for the value of the id property in allowedRequestors

La valeur de la propriété durationInDays permet au compte Requestor1 d’accéder aux ressources du package d’accès pendant 30 jours.The value of the durationInDays property enables the Requestor1 account to access the resources in the access package for up to 30 days. Enregistrez la valeur de la propriété id qui est renvoyée pour être utilisé plus loin dans ce didacticiel.Record the value of the id property that is returned to use later in this tutorial.

DemandeRequest

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentPolicies
Content-type: application/json

{
  "accessPackageId": "88203d16-0e31-41d4-87b2-dd402f1435e9",
  "displayName": "Specific users",
  "description": "Specific users can request assignment",
  "accessReviewSettings": null,
  "durationInDays": 30,
  "requestorSettings": {
    "scopeType": "SpecificDirectorySubjects",
    "acceptRequests": true,
    "allowedRequestors": [
       {
         "@odata.type": "#microsoft.graph.singleUser",
         "isBackup": false,
         "id": "007d1c7e-7fa8-4e33-b678-5e437acdcddc",
         "description": "Requestor1"
       }
    ]
  },
  "requestApprovalSettings": {
    "isApprovalRequired": false,
    "isApprovalRequiredForExtension": false,
    "isRequestorJustificationRequired": false,
    "approvalMode": "NoApproval",
    "approvalStages": []
  }
}

RéponseResponse

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#accessPackageAssignmentPolicies/$entity",
  "id": "db440482-1210-4a60-9b55-3ac7a72f63ba",
  "accessPackageId": "88203d16-0e31-41d4-87b2-dd402f1435e9",
  "displayName": "Specific users",
  "description": "Specific users can request assignment",
  "canExtend": false,
  "durationInDays": 30,
  "expirationDateTime": null,
  "createdBy": "admin@contoso.onmicrosoft.com",
  "createdDateTime": "2020-06-29T19:47:44.7399675Z",
  "modifiedBy": "admin@contoso.onmicrosoft.com",
  "modifiedDateTime": "2020-06-29T19:47:44.7555489Z",
  "accessReviewSettings": null,
  "requestorSettings": {
    "scopeType": "SpecificDirectorySubjects",
    "acceptRequests": true,
    "allowedRequestors": [
      {
        "@odata.type": "#microsoft.graph.singleUser",
        "isBackup": false,
        "id": "007d1c7e-7fa8-4e33-b678-5e437acdcddc",
        "description": "Requestor1"
      }
    ]
  },
  "requestApprovalSettings": {
    "isApprovalRequired": false,
    "isApprovalRequiredForExtension": false,
    "isRequestorJustificationRequired": false,
    "approvalMode": "NoApproval",
    "approvalStages": []
  }
}

Étape 3 : Demander l’accèsStep 3: Request access

Dans cette étape, le compte d’utilisateur Requestor1 demande l’accès aux ressources dans le package d’accès.In this step, the Requestor1 user account requests access to the resources in the access package.

Pour demander l’accès aux ressources dans le package d’accès, vous devez fournir les valeurs ci-après :To request access to resources in the access package, you need to provide these values:

  • ID du compte d’utilisateur Requestor1 que vous avez créé pour la valeur de la propriété targetIdid of the Requestor1 user account that you created for the value of the targetId property
  • ID de la stratégie d’attribution pour la valeur de la propriété assignmentPolicyIdid of the assignment policy for the value of the assignmentPolicyId property
  • ID du package d’accès pour la valeur de la propriété accessPackageIdid of the access package for the value of accessPackageId property

Dans la réponse, vous pouvez voir l’état accepté et l’état Envoyé.In the response you can see the status of Accepted and a state of Submitted. Enregistrez la valeur de la propriété id qui est renvoyée pour obtenir l’état de la demande ultérieurement.Record the value of the id property that is returned to get the status of the request later.

Si ce n’est pas déjà fait, dédessez-vous du compte d’administrateur que vous utilisiez dans l’Explorateur Microsoft Graph.If you haven't done so already, sign out of the administrator account that you were using in Microsoft Graph Explorer. Connectez-vous au compte d’utilisateur Requestor1 que vous avez créé.Sign in to the Requestor1 user account that you created. Vous serez invité à modifier le mot de passe s’il s’agit de la première fois que vous vous êtes signé.You will be asked to change the password if it is the first time you are signing in.

DemandeRequest

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests
Content-type: application/json

{
  "requestType": "UserAdd",
  "accessPackageAssignment":{
     "targetId":"007d1c7e-7fa8-4e33-b678-5e437acdcddc",
     "assignmentPolicyId":"db440482-1210-4a60-9b55-3ac7a72f63ba",
     "accessPackageId":"88203d16-0e31-41d4-87b2-dd402f1435e9"
  }
}

RéponseResponse

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#accessPackageAssignmentRequests/$entity",
    "createdDateTime": null,
    "completedDate": null,
    "id": "a6bb6942-3ae1-4259-9908-0133aaee9377",
    "requestType": "UserAdd",
    "requestState": "Submitted",
    "requestStatus": "Accepted",
    "isValidationOnly": false,
    "expirationDateTime": null,
    "justification": null
}

Étape 4 : Vérifier que l’accès a été affectéStep 4: Validate that access has been assigned

Dans cette étape, vous confirmez que le package d’accès a été affecté au compte d’utilisateur Requestor1 et qu’il est désormais membre du groupe de ressources Marketing.In this step, you confirm that the Requestor1 user account was assigned the access package and that they are now a member of the Marketing resources group.

Sign out of the Requestor1 account and sign back in to the administrator account to see the status of the request.Sign out of the Requestor1 account and sign back in to the administrator account to see the status of the request.

Obtenir l’état de la demandeGet the status of the request

Utilisez la valeur de la propriété id de la demande pour obtenir l’état actuel de celui-ci.Use the value of the id property of the request to get the current status of it. Dans la réponse, vous pouvez voir l’état modifié sur Satisfait et l’état est modifié sur Remis.In the response, you can see the status changed to Fulfilled and the state changed to Delivered.

DemandeRequest

GET https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/a6bb6942-3ae1-4259-9908-0133aaee9377

RéponseResponse

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#accessPackageAssignmentRequests/$entity",
  "createdDateTime": "2020-06-29T20:24:24.683Z",
  "completedDate": "2020-06-29T20:24:47.937Z",
  "id": "a6bb6942-3ae1-4259-9908-0133aaee9377",
  "requestType": "UserAdd",
  "requestState": "Delivered",
  "requestStatus": "FulfilledNotificationTriggered",
  "isValidationOnly": false,
  "expirationDateTime": null,
  "justification": null
}

Obtenir les affectations de package d’accèsGet access package assignments

Vous pouvez également utiliser l’ID de la stratégie de package d’accès que vous avez créée pour voir que des ressources ont été affectées au compte d’utilisateur Requestor1.You can also use the id of the access package policy that you created to see that resources have been assigned to the Requestor1 user account.

DemandeRequest

GET https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignments?$filter=accessPackageAssignmentPolicy/Id eq 'db440482-1210-4a60-9b55-3ac7a72f63ba'

RéponseResponse

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#accessPackageAssignments",
  "value": [
    {
      "id": "a6bb6942-3ae1-4259-9908-0133aaee9377",
      "catalogId": "cec5d6ab-c75d-47c0-9c1c-92e89f66e384",
      "accessPackageId": "88203d16-0e31-41d4-87b2-dd402f1435e9",
      "assignmentPolicyId": "db440482-1210-4a60-9b55-3ac7a72f63ba",
      "targetId": "2bc42425-6dc5-4f2a-9ebb-7a7464481eb0",
      "assignmentStatus": "Delivered",
      "assignmentState": "Delivered",
      "isExtended": false,
      "expiredDateTime": null
    }
  ]
}

Obtenir les membres du groupeGet the members of the group

Une fois la demande accordée, vous pouvez utiliser l’ID que vous avez enregistré pour le groupe de ressources Marketing pour voir que le compte d’utilisateur Requestor1 y a été ajouté.After the request has been granted, you can use the id that you recorded for the Marketing resources group to see that the Requestor1 user account has been added to it.

DemandeRequest

GET https://graph.microsoft.com/v1.0/groups/e93e24d1-2b65-4a6c-a1dd-654a12225487/members

Réponse :Response:

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#directoryObjects",
  "value": [
    {
      "@odata.type": "#microsoft.graph.user",
      "id": "007d1c7e-7fa8-4e33-b678-5e437acdcddc",
      "deletedDateTime": null,
      "accountEnabled": true,
      "ageGroup": null,
      "businessPhones": [],
      "city": null,
      "createdDateTime": "2020-06-23T18:43:24Z",
      "creationType": null,
      "companyName": null,
      "consentProvidedForMinor": null,
      "country": null,
      "department": null,
      "displayName": "Requestor1",
      "employeeId": null,
      "faxNumber": null,
      "givenName": null,
      "imAddresses": [],
      "infoCatalogs": [],
      "isResourceAccount": null,
      "jobTitle": null,
      "legalAgeGroupClassification": null,
      "mail": null,
      "mailNickname": "Requestor1"
    }
  ]
}

Étape 5 : Nettoyer les ressourcesStep 5: Clean up resources

Dans cette étape, vous supprimez les modifications que vous avez apportées et supprimez le package d’accès Campagne marketing.In this step, you remove the changes you made and delete the Marketing Campaign access package.

Supprimer une affectation de package d’accèsRemove an access package assignment

Vous devez supprimer toutes les affectations au package d’accès avant de pouvoir la supprimer.You must remove any assignments to the access package before you can delete it. Utilisez l’ID de la demande d’affectation que vous avez précédemment enregistrée pour la supprimer.Use the id of the assignment request that you previously recorded to delete it.

DemandeRequest

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests
Content-type: application/json

{
  "requestType": "AdminRemove",
  "accessPackageAssignment":{
     "id": "a6bb6942-3ae1-4259-9908-0133aaee9377"
  }
}

RéponseResponse

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#accessPackageAssignmentRequests/$entity",
    "createdDateTime": null,
    "completedDate": null,
    "id": "78eaee8c-e6cf-48c9-8f99-aae44c35e379",
    "requestType": "AdminRemove",
    "requestState": "Submitted",
    "requestStatus": "Accepted",
    "isValidationOnly": false,
    "expirationDateTime": null,
    "justification": null
}

Supprimer la stratégie d’attribution du package d’accèsDelete the access package assignment policy

Utilisez l’ID de la stratégie d’attribution que vous avez précédemment enregistrée pour la supprimer.Use the id of the assignment policy that you previously recorded to delete it. Assurez-vous que toutes les affectations sont supprimées en premier.Make sure all assignments are removed first.

DemandeRequest

DELETE https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentPolicies/6c1f65ec-8c25-4a45-83c2-a1de2a6d0e9f

RéponseResponse

No Content - 204

Supprimer le package d’accèsDelete the access package

Utilisez l’ID du package d’accès que vous avez précédemment enregistré pour le supprimer.Use the id of the access package that you previously recorded to delete it.

DemandeRequest

DELETE https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackages/cf54c6ca-d717-49bc-babe-d140d035dfdd

RéponseResponse

No Content - 204

Supprimez le compte d’utilisateurDelete the user account

Supprimez le compte d’utilisateur Requestor1.Delete the Requestor1 user account.

DemandeRequest

DELETE https://graph.microsoft.com/v1.0/users/ce02eca8-752b-4ecf-ac29-aa9bccd87606

RéponseResponse

No Content - 204

ajouter ou supprimer des membres du groupe ;Delete the group

Supprimez le groupe de ressources Marketing.Delete the Marketing resources group.

DemandeRequest

DELETE https://graph.microsoft.com/v1.0/groups/a468eaea-ed6c-4290-98d2-a96bb1cb4209

RéponseResponse

No Content - 204

Voir aussiSee also

Dans ce didacticiel, vous avez utilisé de nombreuses API pour accomplir des tâches.In this tutorial, you used many APIs to accomplish tasks. Explorez la référence d’API pour ces API pour en savoir plus sur ce que les API peuvent faire.Explore the API reference for these APIs to learn more about what the APIs can do.