Criar privilegedRoleAssignmentRequest

Namespace: microsoft.graph

Importante

As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor de versão.

Cuidado

Esta versão da API Privileged Identity Management (PIM) para funções Azure Active Directory (Azure AD) foi preterida e parou de retornar dados em 31 de maio de 2021. Use a nova API de gerenciamento de funções.

Crie um objeto privilegedroleassignmentrequest .

Permissões

Uma das seguintes permissões é obrigatória para chamar esta API. Para saber mais, incluindo como escolher permissões, confira Permissões.

Tipo de permissão Permissões (da com menos para a com mais privilégios)
Delegada (conta corporativa ou de estudante) PrivilegedAccess.ReadWrite.AzureAD
Delegada (conta pessoal da Microsoft) Sem suporte.
Aplicativo Sem suporte.

Solicitação HTTP

POST /privilegedRoleAssignmentRequests

Cabeçalhos de solicitação

Nome Descrição
Autorização {token} de portador. Obrigatório.

Corpo da solicitação

No corpo da solicitação, forneça uma representação JSON do objeto privilegedroleassignmentrequest .

Propriedade Tipo Descrição
roleId Cadeia de caracteres A ID da função. Obrigatório.
type Cadeia de caracteres Representa o tipo da operação na atribuição de função. O valor pode ser: administradores AdminAddadicionam usuários a funções;UserAdd: os usuários adicionam atribuições de função. Obrigatório.
assignmentState Cadeia de caracteres O estado da atribuição. O valor pode ser Eligible para Active atribuição qualificada - Active se ele for atribuído diretamente por administradores ou ativado em uma atribuição qualificada pelos usuários. Os valores possíveis são: NotStarted, Completed, RequestedApproval, Scheduled, Approved, ApprovalDenied, ApprovalAborted, Cancelling, Cancelled, Revoked, RequestExpired. Obrigatório.
motivo Cadeia de caracteres O motivo precisa ser fornecido para a solicitação de atribuição de função para fins de auditoria e revisão.
Cronograma governanceSchedule O agendamento da solicitação de atribuição de função.

Resposta

Se tiver êxito, este método retornará um código 201 Created de resposta e um objeto privilegedRoleAssignmentRequest no corpo da resposta.

Códigos de erro

Essa API retorna os códigos de erro HTTP padrão. Além disso, ele pode retornar os códigos de erro listados na tabela a seguir.

Código de erro Mensagem de erro
400 BadRequest A propriedade RoleAssignmentRequest era NULL
400 BadRequest Não é possível desserializar o objeto roleAssignmentRequest.
400 BadRequest RoleId é necessário.
400 BadRequest A data de início da agenda deve ser especificada e deve ser maior que Agora.
400 BadRequest Já existe uma agenda para esse usuário, função e tipo de agendamento.
400 BadRequest Já existe uma aprovação pendente para esse usuário, função e tipo de aprovação.
400 BadRequest O motivo do solicitante está ausente.
400 BadRequest O motivo do solicitante deve ter menos de 500 caracteres.
400 BadRequest A duração da elevação deve estar entre 0,5 e {from setting}.
400 BadRequest Há uma sobreposição entre a ativação agendada e a solicitação.
400 BadRequest A função já está ativada.
400 BadRequest GenericElevateUserToRoleAssignments: as informações de tique são necessárias e não são fornecidas no processo de ativação.
400 BadRequest Há uma sobreposição entre a ativação agendada e a solicitação.
403 Não Autorizado A elevação requer Autenticação Multifator.
403 Não Autorizado Em nome da elevação não é permitido.

Exemplo

Solicitação

Este é um exemplo de solicitação.

POST https://graph.microsoft.com/beta/privilegedRoleAssignmentRequests
Content-type: application/json

{
    "duration": "2",
    "reason": "Activate the role for business purpose",
    "ticketNumber": "234",
    "ticketSystem": "system",
    "schedule": {
        "startDateTime": "2018-02-08T02:35:17.903Z"
    },
    "type": "UserAdd",
    "assignmentState": "Active",
    "roleId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
Resposta

Eis um exemplo da resposta. Observação: o objeto de resposta exibido aqui pode ser reduzido para facilitar a leitura.

HTTP/1.1 200 OK
Content-type: application/json


{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#privilegedRoleAssignmentRequests/$entity",
    "schedule": {
        "type": "activation",
        "startDateTime": "2018-02-08T02:35:17.903Z",
        "endDateTime": null,
        "duration" : null
    },
    "id": "e13ef8a0-c1cb-4d03-aaae-9cd1c8ede2d1",
    "type": "UserAdd",
    "assignmentState": "Active",
    "requestedDateTime": "2018-02-08T02:35:42.9137335Z",
    "status": "NotStarted",
    "duration": "2",
    "reason": "Activate the role for business purpose",
    "ticketNumber": "234",
    "ticketSystem": "system",
    "userId": "Self",
    "roleId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}