unifiedRolePermission リソースの種類
名前空間: microsoft.graph
許可されるリソース アクションのコレクションと、アクションを許可するために満たす必要がある条件を表します。 リソース アクションは、リソースに対して実行できるタスクです。 たとえば、アプリケーション リソースは、パスワードアクションの作成、更新、削除、リセットをサポートする場合があります。
プロパティ
プロパティ | 型 | 説明 |
---|---|---|
allowedResourceActions | String collection | リソースに対して実行できるタスクのセット。 必須です。 |
条件 | String | アクセス許可を有効にするために満たす必要があるオプションの制約。 カスタム ロールではサポートされていません。 |
excludedResourceActions | String collection | リソースに対して実行できない可能性がある一連のタスク。 まだサポートされていません。 |
allowedResourceActions プロパティ
リソース アクションのスキーマを次に示します。
{Namespace}/{Entity}/{PropertySet}/{Action}
例: microsoft.directory/applications/credentials/update
。
- {Namespace} - タスクを公開するサービス。 たとえば、Microsoft Entra IDのすべてのタスクでは、 名前空間 が使用されます
microsoft.directory
。 - {Entity} - Microsoft Graph でサービスによって公開される論理機能またはコンポーネント。 (
applications
、servicePrincipals
、またはgroups
など)。 - {PropertySet} - 省略可能。 アクセス権が付与されているエンティティの特定のプロパティまたは側面。 たとえば、
microsoft.directory/applications/authentication/read
Microsoft Entra IDのアプリケーション オブジェクトの応答 URL、ログアウト URL、および暗黙的なフロー プロパティを読み取る機能を付与します。 共通プロパティ セットの予約名を次に示します。allProperties
- 特権プロパティを含む、エンティティのすべてのプロパティを指定します。 例には、 と がmicrosoft.directory/applications/allProperties/update
含まれますmicrosoft.directory/applications/allProperties/read
。basic
- 共通の読み取りプロパティを指定しますが、特権を持つプロパティは除外します。 たとえば、microsoft.directory/applications/basic/update
表示名などの標準プロパティを更新する機能が含まれます。standard
- 一般的な更新プロパティを指定しますが、特権を持つプロパティは除外します。 たとえば、「microsoft.directory/applications/standard/read
」のように入力します。
- {Actions} - 付与される操作。 ほとんどの場合、アクセス許可は CRUD 操作または
allTasks
で表す必要があります。 "アクション" に含まれている項目:create
- エンティティの新しいインスタンスを作成する機能。read
- 特定のプロパティ セット (allProperties を含む) を読み取る機能。update
- 特定のプロパティ セット (allProperties を含む) を更新する機能。delete
- 特定のエンティティを削除する機能。allTasks
- すべての CRUD 操作 (作成、読み取り、更新、削除) を表します。
condition プロパティ
条件は、満たす必要がある制約を定義します。 たとえば、プリンシパルがターゲット リソースの所有者であるという要件です。 サポートされる条件を次に示します。
Self
: "@Subject.objectId == @Resource.objectId"Owner
: "@Subject.objectId Any_of @Resource.owners"
プリンシパルがターゲット リソースの所有者であるという条件を持つロールアクセス許可の例を次に示します。
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
],
"condition": "@Subject.objectId Any_of @Resource.owners"
}
]
条件は、カスタム ロールではサポートされていません。
JSON 表記
リソースの JSON 表記を次に示します。
{
"@odata.type": "#microsoft.graph.unifiedRolePermission",
"allowedResourceActions": ["String"],
"excludedResourceActions": ["String"],
"condition": "String"
}
関連コンテンツ
- Microsoft Entraの管理者ロールのアクセス許可 - 組み込みのディレクトリ ロールのアクセス許可について説明します。
- Microsoft Entra IDでのアプリケーション登録のサブタイプとアクセス許可 - カスタム ディレクトリ ロールで使用できるアクセス許可の詳細。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示