unifiedRolePermission リソースの種類

名前空間: microsoft.graph

許可されるリソース アクションのコレクションと、アクションを許可するために満たす必要がある条件を表します。 リソース アクションは、リソースに対して実行できるタスクです。 たとえば、アプリケーション リソースでは、パスワードアクションの作成、更新、削除、リセットをサポートできます。

プロパティ

プロパティ	型	説明
allowedResourceActions	文字列コレクション	リソースに対して実行できる一連のタスク。 必須です。
条件	String	アクセス許可を有効にするために満たす必要がある省略可能な制約。
excludedResourceActions	String collection	リソースに対して実行できない可能性がある一連のタスク。 まだサポートされていません。

allowedResourceActions プロパティ

リソース アクションのスキーマを次に示します。

{Namespace}/{Entity}/{PropertySet}/{Action}  

例: microsoft.directory/applications/credentials/update。

• {Namespace} - タスクを公開するサービス。 たとえば、Azure Active Directory のすべてのタスクで名前空間 microsoft.directoryが使用されます。
• {Entity} - Microsoft Graph のサービスによって公開される論理機能またはコンポーネント。 たとえば、、、applications``servicePrincipals、または groups.
• {PropertySet} - 省略可能。 アクセスが許可されているエンティティの特定のプロパティまたは側面。 たとえば、 microsoft.directory/applications/authentication/read Azure AD の アプリケーション オブジェクトの応答 URL、ログアウト URL、暗黙的フロー プロパティを読み取る機能を付与します。 共通プロパティ セットの予約名を次に示します。
  • allProperties - 特権プロパティを含め、エンティティのすべてのプロパティを指定します。 例を挙げますmicrosoft.directory/applications/allProperties/read。microsoft.directory/applications/allProperties/update
  • basic - 一般的な読み取りプロパティを指定しますが、特権を持つプロパティは除外します。 たとえば、 microsoft.directory/applications/basic/update 表示名などの標準プロパティを更新する機能が含まれます。
  • standard - 一般的な更新プロパティを指定しますが、特権を持つプロパティは除外します。 たとえば、「 microsoft.directory/applications/standard/read 」のように入力します。
• {Actions} - 付与されている操作。 ほとんどの場合、アクセス許可は CRUD 操作または allTasks. "アクション" に含まれている項目:
  • create - エンティティの新しいインスタンスを作成する機能。
  • read - 特定のプロパティ セットを読み取る機能 (allProperties を含む)。
  • update - 特定のプロパティ セットを更新する機能 (allProperties を含む)。
  • delete - 特定のエンティティを削除する機能。
  • allTasks - すべての CRUD 操作 (作成、読み取り、更新、削除) を表します。

condition プロパティ

条件は、満たす必要がある制約を定義します。 たとえば、プリンシパルがターゲット リソースの所有者であることの要件です。 サポートされている条件は次のとおりです。

• Self: "@Subject.objectId == @Resource.objectId"
• Owner: "@Subject.objectId Any_of @Resource.owners"

次に、プリンシパルがターゲット リソースの所有者であるという条件を持つロール権限の例を示します。

"rolePermissions": [
        {
            "allowedResourceActions": [
                "microsoft.directory/applications/basic/update",
                "microsoft.directory/applications/credentials/update"
            ],
            "condition":  "@Subject.objectId Any_of @Resource.owners"
        }
    ]

JSON 表記

リソースの JSON 表記を次に示します。

{
  "@odata.type": "#microsoft.graph.unifiedRolePermission",
  "allowedResourceActions": ["String"],
  "excludedResourceActions": ["String"],
  "condition": "String"
}

関連項目

• Azure Active Directory の管理者ロールのアクセス許可 - 組み込みのディレクトリ ロールのアクセス許可について説明します。
• Azure Active Directory のアプリケーション登録サブタイプとアクセス許可 - カスタム ディレクトリ ロールで使用できるアクセス許可について説明します。