Erstellen von roleEligibilityScheduleRequest

Namespace: microsoft.graph

Fordern Sie in PIM über das unifiedRoleEligibilityScheduleRequest-Objekt eine Rollenberechtigung für einen Prinzipal an. Mit diesem Vorgang können sowohl Administratoren als auch berechtigte Benutzer berechtigte Zuweisungen hinzufügen, widerrufen oder erweitern.

Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.

Weltweiter Service US Government L4 US Government L5 (DOD) China, betrieben von 21Vianet

Berechtigungen

Wählen Sie die Berechtigungen aus, die für diese API als am wenigsten privilegiert markiert sind. Verwenden Sie eine höhere Berechtigung oder Berechtigungen nur, wenn Ihre App dies erfordert. Ausführliche Informationen zu delegierten Berechtigungen und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.

Berechtigungstyp Berechtigungen mit den geringsten Berechtigungen Berechtigungen mit höheren Berechtigungen
Delegiert (Geschäfts-, Schul- oder Unikonto) RoleEligibilitySchedule.ReadWrite.Directory RoleManagement.ReadWrite.Directory
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt Nicht unterstützt
Anwendung RoleEligibilitySchedule.ReadWrite.Directory RoleManagement.ReadWrite.Directory

Wichtig

In delegierten Szenarien mit Geschäfts-, Schul- oder Unikonten muss dem angemeldeten Benutzer eine unterstützte Microsoft Entra Rolle oder eine benutzerdefinierte Rolle mit einer unterstützten Rollenberechtigung zugewiesen werden. Die folgenden Rollen mit den geringsten Berechtigungen werden für diesen Vorgang unterstützt.

  • Für Lesevorgänge: Globaler Leser, Sicherheitsoperator, Sicherheitsleseberechtigter, Sicherheitsadministrator oder Administrator für privilegierte Rollen
  • Für Schreibvorgänge: Administrator für privilegierte Rollen

HTTP-Anforderung

POST /roleManagement/directory/roleEligibilityScheduleRequests

Anforderungsheader

Name Beschreibung
Authorization Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung.
Content-Type application/json. Erforderlich.

Anforderungstext

Geben Sie im Anforderungstext eine JSON-Darstellung des unifiedRoleEligibilityScheduleRequest-Objekts an.

Sie können die folgenden Eigenschaften angeben, wenn Sie eine unifiedRoleEligibilityScheduleRequest erstellen.

Eigenschaft Typ Beschreibung
Aktion unifiedRoleScheduleRequestActions Stellt den Vorgangstyp für die Rollenberechtigungsanforderung dar. Die möglichen Werte sind: adminAssign, adminUpdate, adminRemove, selfActivate, selfDeactivate, adminExtend, adminRenew, selfExtend, selfRenew, . unknownFutureValue
  • adminAssign: Administratoren können Prinzipalen berechtigte Rollen zuweisen.
  • adminRemove: Administratoren können berechtigte Rollen aus Prinzipalen entfernen.
  • adminUpdate: Administratoren können vorhandene Rollenberechtigungen ändern.
  • adminExtend: Damit Administratoren ablaufende Rollenberechtigungen erweitern können.
  • adminRenew: Administratoren können abgelaufene Berechtigungen verlängern.
  • selfActivate: Benutzer können ihre Zuweisungen aktivieren.
  • selfDeactivate: Damit Benutzer ihre aktiven Zuweisungen deaktivieren können.
  • selfExtend: Benutzer können eine Verlängerung ihrer ablaufenden Zuweisungen anfordern.
  • SelfRenew: Damit Benutzer die Verlängerung ihrer abgelaufenen Zuweisungen anfordern können.
appScopeId String Bezeichner des app-spezifischen Bereichs, wenn die Rollenberechtigung auf eine App festgelegt ist. Der Umfang einer Rollenberechtigung bestimmt die Gruppe von Ressourcen, auf die der Prinzipal zugreifen kann. App-Bereiche sind Bereiche, die nur von dieser Anwendung definiert und verstanden werden. Wird / für mandantenweite App-Bereiche verwendet. Verwenden Sie directoryScopeId , um den Bereich auf bestimmte Verzeichnisobjekte zu beschränken, z. B. Auf Verwaltungseinheiten. Entweder directoryScopeId oder appScopeId ist erforderlich.
directoryScopeId String Bezeichner des Verzeichnisobjekts, das den Bereich der Rollenberechtigung darstellt. Der Umfang einer Rollenberechtigung bestimmt die Gruppe von Ressourcen, für die dem Prinzipal Zugriff gewährt wurde. Verzeichnisbereiche sind freigegebene Bereiche, die im Verzeichnis gespeichert sind und von mehreren Anwendungen verstanden werden. Verwenden Sie / für mandantenweiten Bereich. Verwenden Sie appScopeId , um den Bereich nur auf eine Anwendung zu beschränken. Entweder directoryScopeId oder appScopeId ist erforderlich.
isValidationOnly Boolesch Bestimmt, ob der Aufruf eine Überprüfung oder ein tatsächlicher Aufruf ist. Legen Sie diese Eigenschaft nur fest, wenn Sie überprüfen möchten, ob eine Aktivierung zusätzlichen Regeln wie MFA unterliegt, bevor Sie die Anforderung tatsächlich übermitteln. Optional.
Rechtfertigung String Eine Meldung, die von Benutzern und Administratoren beim Erstellen des unifiedRoleEligibilityScheduleRequest-Objekts bereitgestellt wird.

Optional für selfDeactivate - und adminRemove -Aktionen; kann für andere Aktionstypen optional oder erforderlich sein, abhängig von den Regeln in der Richtlinie, die mit der Microsoft Entra Rolle verknüpft ist. Weitere Informationen finden Sie unter Regeln in PIM.
principalId String Bezeichner des Prinzipals, dem die Rollenberechtigung gewährt wurde. Erforderlich.
roleDefinitionId String Bezeichner des unifiedRoleDefinition-Objekts , das dem Prinzipal zugewiesen wird. Erforderlich.
scheduleInfo requestSchedule Der Zeitraum der Rollenberechtigung. Optional, wenn die Aktion ist adminRemove. Der Berechtigungszeitraum hängt von den Einstellungen der Microsoft Entra Rolle ab.
ticketInfo ticketInfo Ticketdetails, die mit der Rollenberechtigungsanforderung verknüpft sind, einschließlich Details der Ticketnummer und des Ticketsystems.

Optional für selfDeactivate - und adminRemove -Aktionen; kann für andere Aktionstypen optional oder erforderlich sein, abhängig von den Regeln in der Richtlinie, die mit der Microsoft Entra Rolle verknüpft ist. Weitere Informationen finden Sie unter Regeln in PIM.

Antwort

Bei erfolgreicher Ausführung gibt die Methode den 201 Created Antwortcode und ein unifiedRoleEligibilityScheduleRequest-Objekt im Antworttext zurück.

Beispiele

Beispiel 1: Admin, um eine Rollenberechtigungsplanungsanforderung zuzuweisen

Anforderung

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminAssign",
    "justification": "Assign Attribute Assignment Admin eligibility to restricted user",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDateTime",
            "endDateTime": "2024-04-10T00:00:00Z"
        }
    }
}

Antwort

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "50877283-9d40-433c-bab8-7986dc10458a",
    "status": "Provisioned",
    "createdDateTime": "2022-04-12T09:05:39.7594064Z",
    "completedDateTime": "2022-04-12T09:05:41.8532931Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "50877283-9d40-433c-bab8-7986dc10458a",
    "justification": "Assign Attribute Assignment Admin eligibility to restricted user",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-12T09:05:41.8532931Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDateTime",
            "endDateTime": "2024-04-10T00:00:00Z",
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Beispiel 2: Admin, um eine vorhandene Anforderung für einen Rollenberechtigungsplan zu entfernen

In der folgenden Anforderung erstellt der Administrator eine Anforderung zum Widerrufen der Berechtigung eines Prinzipals mit der ID 071cc716-8147-4397-a5ba-b2105951cc0b für eine Rolle mit der ID 8424c6f0-a189-499e-bbd0-26c1753c96d4.

Anforderung

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminRemove",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b"
}

Antwort

Das folgende Beispiel zeigt die Antwort. Das Antwortobjekt zeigt, dass eine vorherige Rollenberechtigung für einen Prinzipal ist Revoked. Dem Prinzipal wird seine zuvor berechtigte Rolle nicht mehr angezeigt.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "f341269e-c926-41fa-a905-cef3b01b2a67",
    "status": "Revoked",
    "createdDateTime": "2022-04-12T09:12:15.6859992Z",
    "completedDateTime": null,
    "approvalId": null,
    "customData": null,
    "action": "adminRemove",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": null,
    "justification": null,
    "scheduleInfo": null,
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}