Mettre à jour authorizationPolicy

  • Article

Espace de noms: microsoft.graph

Importante

Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .

Mettez à jour les propriétés d’un objet authorizationPolicy .

Cette API est disponible dans les déploiements de cloud national suivants.

Service global Gouvernement des États-Unis L4 Us Government L5 (DOD) Chine gérée par 21Vianet

Autorisations

Choisissez l’autorisation ou les autorisations marquées comme moins privilégiées pour cette API. Utilisez une autorisation ou des autorisations privilégiées plus élevées uniquement si votre application en a besoin. Pour plus d’informations sur les autorisations déléguées et d’application, consultez Types d’autorisations. Pour en savoir plus sur ces autorisations, consultez les informations de référence sur les autorisations.

Type d’autorisation Autorisations avec privilèges minimum Autorisations privilégiées plus élevées
Déléguée (compte professionnel ou scolaire) Policy.ReadWrite.Authorization Non disponible.
Déléguée (compte Microsoft personnel) Non prise en charge. Non prise en charge.
Application Policy.ReadWrite.Authorization Non disponible.

Importante

Dans les scénarios délégués avec des comptes professionnels ou scolaires, l’utilisateur connecté doit se voir attribuer un rôle Microsoft Entra pris en charge ou un rôle personnalisé avec une autorisation de rôle prise en charge. Le rôle le moins privilégié suivant est pris en charge pour cette opération.

  • Administrateur de rôle privilégié

Requête HTTP

PATCH /policies/authorizationPolicy/authorizationPolicy

En-têtes de demande

Nom Description
Autorisation Porteur {token}. Obligatoire. En savoir plus sur l’authentification et l’autorisation.
Content-type application/json

Corps de la demande

Dans le corps de la demande, fournissez uniquement les valeurs des propriétés à mettre à jour. Les propriétés existantes qui ne sont pas incluses dans le corps de la demande conservent leurs valeurs précédentes ou sont recalculées en fonction des modifications apportées à d’autres valeurs de propriété.

Le tableau suivant spécifie les propriétés qui peuvent être mises à jour.

Propriété Type Description
allowEmailVerifiedUsersToJoinOrganization Boolean Indique si un utilisateur peut rejoindre le locataire par validation par e-mail.
allowUserConsentForRiskyApps Boolean Indique si le consentement de l’utilisateur pour les applications à risque est autorisé. La valeur par défaut est false. Nous vous recommandons de conserver la valeur définie sur false.
allowedToSignUpEmailBasedSubscriptions Boolean Indique si les utilisateurs peuvent s’inscrire à des abonnements basés sur l’e-mail.
allowedToUseSSPR Boolean Indique si les administrateurs du locataire peuvent utiliser la réinitialisation de mot de passe Self-Service (SSPR). Pour plus d’informations, consultez Réinitialisation du mot de passe en libre-service pour les administrateurs.
blockMsolPowerShell Boolean Pour désactiver l’utilisation de MSOL PowerShell, définissez cette propriété sur true. Cela désactive également l’accès basé sur l’utilisateur au point de terminaison de service hérité utilisé par MSOL PowerShell. Cela n’affecte pas Microsoft Entra Connect ou Microsoft Graph.
defaultUserRolePermissions defaultUserRolePermissions Spécifie certaines autorisations personnalisables pour le rôle d’utilisateur par défaut.
description String Description de cette stratégie.
displayName String Nom d’affichage de cette stratégie.
enabledPreviewFeatures Collection de chaînes Liste des fonctionnalités activées pour la préversion privée sur le locataire.
guestUserRoleId Guid Représente le rôle templateId pour le rôle qui doit être accordé à l’utilisateur invité. Reportez-vous à List unifiedRoleDefinitions pour trouver la liste des modèles de rôle disponibles. Seuls les rôles pris en charge aujourd’hui sont Utilisateur (a0b1b346-4d3e-4e8b-98f8-753987be4970), Utilisateur invité (10dae51f-b6af-4016-8d66-8c2a99b929b3) et Utilisateur invité restreint (2af84b1e-32c8-42b7-82bc-daa82404023b).
permissionGrantPolicyIdsAssignedToDefaultUserRole String collection Indique si le consentement de l’utilisateur aux applications est autorisé et, le cas échéant, quelle stratégie de consentement d’application régit l’autorisation pour les utilisateurs d’accorder leur consentement. Les valeurs doivent être au format managePermissionGrantsForSelf.{id}, où {id} est l’ID d’une stratégie de consentement d’application intégrée ou personnalisée. Une liste vide indique que le consentement de l’utilisateur aux applications est désactivé.

Réponse

Si elle réussit, cette méthode renvoie un code de réponse 204 No Content. Il ne retourne rien dans le corps de la réponse.

Exemples

Exemple 1 : Mettre à jour ou définir le niveau d’accès utilisateur invité pour le locataire

Demande

L’exemple suivant illustre une demande. Dans cet exemple, le niveau d’accès invité est modifié en Utilisateur invité restreint.

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "guestUserRole":"2af84b1e-32c8-42b7-82bc-daa82404023b"
}

Réponse

L’exemple suivant illustre la réponse.

HTTP/1.1 204 No Content

Exemple 2 : Activer une nouvelle fonctionnalité pour la préversion sur le locataire

Demande

L’exemple suivant illustre une demande.

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "enabledPreviewFeatures":[
      "assignGroupsToRoles"
   ]
}

Réponse

L’exemple suivant illustre la réponse.

HTTP/1.1 204 No Content

Exemple 3 : Bloquer MSOL PowerShell dans le locataire

Demande

L’exemple suivant illustre une demande.

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "blockMsolPowerShell":true
}

Réponse

L’exemple suivant illustre la réponse.

HTTP/1.1 204 No Content

Exemple 4 : Désactiver l’autorisation du rôle d’utilisateur par défaut pour créer des applications

Demande

L’exemple suivant illustre une demande.

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "defaultUserRolePermissions":{
      "allowedToCreateApps":false
   }
}

Réponse

L’exemple suivant illustre la réponse.

HTTP/1.1 204 No Content

Exemple 5 : Activer le rôle d’utilisateur par défaut pour utiliser Self-Serve fonctionnalité de réinitialisation de mot de passe

Demande

L’exemple suivant illustre une demande.

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "allowedToUseSSPR":true
}

Réponse

L’exemple suivant illustre la réponse.

HTTP/1.1 204 No Content

Demande

L’exemple suivant illustre une demande.

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "permissionGrantPolicyIdsAssignedToDefaultUserRole":[
   
   ]
}

Réponse

L’exemple suivant illustre la réponse.

HTTP/1.1 204 No Content

Demande

L’exemple suivant montre une demande qui autorise le consentement de l’utilisateur aux applications, sous réserve de la stratégie microsoft-user-default-lowde consentement d’application intégrée, qui autorise des autorisations déléguées classées « faibles », pour les applications clientes provenant d’éditeurs vérifiés ou inscrites dans le même locataire.

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
   "permissionGrantPolicyIdsAssignedToDefaultUserRole":[
      "managePermissionGrantsForSelf.microsoft-user-default-low"
   ]
}

Réponse

L’exemple suivant illustre la réponse.

HTTP/1.1 204 No Content