roleEligibilityScheduleRequests を作成する

  • [アーティクル]

名前空間: microsoft.graph

重要

Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。

新しい unifiedRoleEligibilityScheduleRequest オブジェクトを 作成します。 この操作により、管理者と対象ユーザーの両方が、適格な割り当てを追加、取り消し、または拡張できます。

この API は、次の国内クラウド展開で使用できます。

グローバル サービス 米国政府機関 L4 米国政府機関 L5 (DOD) 21Vianet が運営する中国

アクセス許可

この API の最小特権としてマークされているアクセス許可またはアクセス許可を選択します。 アプリで必要な場合にのみ、より高い特権のアクセス許可またはアクセス許可を使用します。 委任されたアクセス許可とアプリケーションのアクセス許可の詳細については、「 アクセス許可の種類」を参照してください。 これらのアクセス許可の詳細については、 アクセス許可のリファレンスを参照してください

アクセス許可の種類 最小特権アクセス許可 特権の高いアクセス許可
委任 (職場または学校のアカウント) RoleEligibilitySchedule.ReadWrite.Directory RoleManagement.ReadWrite.Directory
委任 (個人用 Microsoft アカウント) サポートされていません。 サポートされていません。
アプリケーション RoleManagement.ReadWrite.Directory 注意事項なし。

委任されたシナリオの場合、サインインしているユーザーには、次のMicrosoft Entraロールの少なくとも 1 つを割り当てる必要があります。

  • 読み取り操作の場合: グローバル 閲覧者、セキュリティ オペレーター、セキュリティ閲覧者、セキュリティ管理者、または特権ロール管理者
  • 書き込み操作の場合: 特権ロール管理者

HTTP 要求

POST /roleManagement/directory/roleEligibilityScheduleRequests

要求ヘッダー

名前 説明
Authorization ベアラー {token}。 必須です。 認証と承認の詳細については、こちらをご覧ください。
Content-Type application/json. 必須です。

要求本文

要求本文で、 unifiedRoleEligibilityScheduleRequest オブジェクトの JSON 表現を指定します。

次の表は、 unifiedRoleEligibilityScheduleRequest を作成するときの省略可能なプロパティと必要なプロパティを示しています。

プロパティ 説明
action String ロールの適格性の割り当てに対する操作の種類を表します。 値は次のいずれかです。
  • AdminAssign: 管理者がロールにロールの適格性をユーザーまたはグループに割り当てる場合。
  • AdminExtend: 管理者が期限切れの割り当てを延長する場合。
  • AdminUpdate: 管理者が既存のロールの割り当てを変更する場合。
  • AdminRenew: 管理者が期限切れの割り当てを更新する場合。
  • AdminRemove: 管理者が対象ロールからユーザーまたはグループを削除する場合。
  • UserAdd: ユーザーが対象の割り当てをアクティブ化する。
  • UserExtend: ユーザーが期限切れの適格な割り当ての延長を要求する。
  • UserRemove: ユーザーがアクティブな適格な割り当てを非アクティブ化します。
  • UserRenew: ユーザーが期限切れの適格な割り当ての更新を要求する。
appScopeId String 割り当てスコープがアプリ固有の場合のアプリ固有のスコープの識別子。 割り当てのスコープによって、プリンシパルにアクセス権が付与されているリソースのセットが決まります。 アプリ スコープは、このアプリケーションによってのみ定義および理解されるスコープです。 テナント全体のアプリ スコープに使用 / します。 directoryScopeId を使用して、スコープを特定のディレクトリ オブジェクト (管理単位やすべてのユーザーなど) に制限します。
directoryScopeId String 割り当てのスコープを表すディレクトリ オブジェクトの識別子。 割り当てのスコープによって、プリンシパルにアクセス権が付与されているリソースのセットが決まります。 ディレクトリ スコープは、複数のアプリケーションによって認識されるディレクトリに格納されている共有スコープです。 テナント全体のスコープに使用 / します。 appScopeId を使用して、スコープをアプリケーションのみに制限します。
isValidationOnly ブール型 呼び出しが検証か実際の呼び出しかを決定するブール値。 アクティブ化が MFA などの追加ルールの対象であるかどうかを実際に要求を送信する前にチェックする場合にのみ、このプロパティを設定します。
正当 化 String 要求を作成するときに、ユーザーと管理者から、必要な理由に関するメッセージが表示されます。 アクションが である場合は省略可能ですAdminRemove
principalId String 割り当てが付与されているプリンシパルの識別子。 たとえば、ユーザーやグループなどです。 グループの場合、ロールに割り当て可能である必要があります。つまり、グループ プロパティの isAssignableToRole が に true設定されている必要があります。
roleDefinitionId String 割り当てが対象の unifiedRoleDefinition の識別子。 必須です。 読み取り専用です。
scheduleInfo requestSchedule ロール割り当て要求の schedule オブジェクト。 アクションが の場合、このプロパティはAdminRemove必要ありません。
ticketInfo ticketInfo チケット番号とチケット システムの詳細を含む、ロール割り当て要求にアタッチされている ticketInfo オブジェクト。 省略可能。

応答

成功した場合、このメソッドは応答コードと、応答本文の unifiedRoleEligibilityScheduleRequest オブジェクトを返201 Createdします。

例 1: ロールの適格性スケジュール要求を割り当てる管理

次の要求では、管理者は ID で識別されるプリンシパルに、によって fdd7a751-b60b-444a-984c-02652fe8fa1c 識別されるロールの適格性を割り当てる要求を作成 します07706ff1-46c7-4847-ae33-3003830675a1。適格性のスコープは、2022 年 6 月 30 日午前 0 時 (UTC) まで、テナント内のすべてのディレクトリ オブジェクトです。

要求

POST https://graph.microsoft.com/beta/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
  "action": "AdminAssign",
  "justification": "Assign User Admin eligibility to IT Helpdesk (User) group",
  "roleDefinitionId": "fdd7a751-b60b-444a-984c-02652fe8fa1c",
  "directoryScopeId": "/",
  "principalId": "07706ff1-46c7-4847-ae33-3003830675a1",
  "scheduleInfo": {
    "startDateTime": "2021-07-01T00:00:00Z",
    "expiration": {
      "endDateTime": "2022-06-30T00:00:00Z",
      "type": "AfterDateTime"
    }
  }
}

応答

次の例は応答を示しています。

注: ここに示す応答オブジェクトは、読みやすさのために短縮されている場合があります。

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "672c03bf-226a-42ec-a8b7-3bfab96064a1",
    "status": "Provisioned",
    "createdDateTime": "2021-07-26T18:08:03.1299669Z",
    "completedDateTime": "2021-07-26T18:08:06.2081758Z",
    "approvalId": null,
    "customData": null,
    "action": "AdminAssign",
    "principalId": "07706ff1-46c7-4847-ae33-3003830675a1",
    "roleDefinitionId": "fdd7a751-b60b-444a-984c-02652fe8fa1c",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "672c03bf-226a-42ec-a8b7-3bfab96064a1",
    "justification": "Assign User Admin eligibility to IT Helpdesk (User) group",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "fc9a2c2b-1ddc-486d-a211-5fe8ca77fa1f"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2021-07-26T18:08:06.2081758Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDateTime",
            "endDateTime": "2022-06-30T00:00:00Z",
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

例 2: 既存のロール適格性スケジュール要求を削除する管理

次の要求では、管理者は ID で識別されたプリンシパルに対して、によって fdd7a751-b60b-444a-984c-02652fe8fa1c 識別されるロールの適格性を取り消す要求を作成 します07706ff1-46c7-4847-ae33-3003830675a1

要求

POST https://graph.microsoft.com/beta/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "AdminRemove",
    "justification": "Assign User Admin eligibility to IT Helpdesk (User) group",
    "roleDefinitionId": "fdd7a751-b60b-444a-984c-02652fe8fa1c",
    "directoryScopeId": "/",
    "principalId": "07706ff1-46c7-4847-ae33-3003830675a1",
    "scheduleInfo": {
        "startDateTime": "2021-07-26T18:08:06.2081758Z",
        "expiration": {
            "endDateTime": "2022-06-30T00:00:00Z",
            "type": "AfterDateTime"
        }
    }
}

応答

次の例は応答を示しています。 要求は、以前に適格な割り当ての変更の状態を として示す応答オブジェクトを Revoked返します。 プリンシパルには、以前に適格なロールが表示されなくなります。

注: ここに示す応答オブジェクトは、読みやすさのために短縮されている場合があります。

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "7f88a144-f9a9-4f8c-9623-39c321ae93c2",
    "status": "Revoked",
    "createdDateTime": "2021-08-06T17:59:12.4263499Z",
    "completedDateTime": null,
    "approvalId": null,
    "customData": null,
    "action": "AdminRemove",
    "principalId": "07706ff1-46c7-4847-ae33-3003830675a1",
    "roleDefinitionId": "fdd7a751-b60b-444a-984c-02652fe8fa1c",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": null,
    "justification": "Assign User Admin eligibility to IT Helpdesk (User) group",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "fc9a2c2b-1ddc-486d-a211-5fe8ca77fa1f"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2021-07-26T18:08:06.2081758Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDateTime",
            "endDateTime": "2022-06-30T00:00:00Z",
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}