authorizationPolicy の更新

  • [アーティクル]

名前空間: microsoft.graph

authorizationPolicy オブジェクトのプロパティを更新します。

この API は、次の国内クラウド展開で使用できます。

グローバル サービス 米国政府機関 L4 米国政府機関 L5 (DOD) 21Vianet が運営する中国

アクセス許可

この API の最小特権としてマークされているアクセス許可またはアクセス許可を選択します。 アプリで必要な場合にのみ、より高い特権のアクセス許可またはアクセス許可を使用します。 委任されたアクセス許可とアプリケーションのアクセス許可の詳細については、「アクセス許可の種類」を参照してください。 これらのアクセス許可の詳細については、「アクセス許可のリファレンス」を参照してください。

アクセス許可の種類 最小特権アクセス許可 より高い特権のアクセス許可
委任 (職場または学校のアカウント) Policy.ReadWrite.Authorization 注意事項なし。
委任 (個人用 Microsoft アカウント) サポートされていません。 サポートされていません。
アプリケーション Policy.ReadWrite.Authorization 注意事項なし。

委任されたシナリオの場合、ユーザーは 特権ロール管理者Microsoft Entra ロールを持っている必要があります。

HTTP 要求

PATCH /policies/authorizationPolicy

要求ヘッダー

名前 説明
Authorization ベアラー {token}。 必須です。 認証と認可についての詳細をご覧ください。
Content-type application/json. 必須です。

要求本文

要求本文で、更新すべきプロパティの値のみを指定します。 要求本文に含まれていない既存のプロパティは、以前の値を維持するか、他のプロパティ値の変更に基づいて再計算されます。

次の表に、更新できるプロパティを示します。

プロパティ 種類 説明
allowEmailVerifiedUsersToJoinOrganization ブール型 ユーザーが電子メールの検証によってテナントに参加できるかどうかを示します。
allowInvitesFrom allowInvitesFrom 外部ユーザーを組織に招待できるユーザーを示します。 使用可能な値: noneadminsAndGuestInvitersadminsGuestInvitersAndAllMemberseveryoneeveryone は、米国政府機関を除くすべてのクラウド環境の既定の設定です。 詳細については、「 allowInvitesFrom 値」を参照してください。
allowUserConsentForRiskyApps ブール型 危険なアプリに対するユーザーの同意を許可するかどうかを示します。 既定値は、false です。 値は false に設定しておくことをお勧めします。
allowedToSignUpEmailBasedSubscriptions ブール型 ユーザーがメール ベースのサブスクリプションにサインアップできるかどうかを示します。
allowedToUseSSPR ブール型 テナントの管理者が Self-Service パスワード リセット (SSPR) を使用できるかどうかを示します。 詳細については、「 管理者向けのセルフサービス パスワード リセット」を参照してください。
blockMsolPowerShell ブール型 MSOL PowerShell の使用を無効にするには、このプロパティを true に設定します。 これにより、MSOL PowerShell で使用されるレガシ サービス エンドポイントへのユーザー ベースのアクセスも無効になります。 これは Microsoft Entra Connect または Microsoft Graph には影響しません。
defaultUserRolePermissions defaultUserRolePermissions 既定のユーザー ロールの特定のカスタマイズ可能なアクセス許可を指定します。
説明 String このポリシーの説明。
displayName String このポリシーの表示名。
guestUserRoleId Guid ゲスト ユーザーに付与する必要があるロールのロール templateId を表します。 現在、ユーザー (a0b1b346-4d3e-4e8b-98f8-753987be4970)、ゲスト ユーザー (10dae51f-b6af-4016-8d66-8c2a99b929b3)、制限付きゲスト ユーザー (2af84b1e-32c8-42b7-82bc-daa82404023b) の各ロールがサポートされています。

応答

成功した場合、このメソッドは 204 No Content 応答コードを返します。 応答本文では何も返されません。

例 1: テナントのゲスト ユーザー アクセス レベルを更新または設定する

要求

次の例は要求を示しています。 この例では、ゲスト アクセス レベルが制限付きゲスト ユーザーに変更されています。

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
  "allowEmailVerifiedUsersToJoinOrganization":false
}

応答

次の例は応答を示しています。

HTTP/1.1 204 No Content

例 2: テナントで MSOL PowerShell をブロックする

要求

次の例は要求を示しています。

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
   "blockMsolPowerShell":true
}

応答

次の例は応答を示しています。

HTTP/1.1 204 No Content

例 3: アプリケーションを作成するための既定のユーザー ロールのアクセス許可を無効にする

要求

次の例は要求を示しています。

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
   "defaultUserRolePermissions":{
      "allowedToCreateApps":false
   }
}

応答

次の例は応答を示しています。

HTTP/1.1 204 No Content

例 4: 既定のユーザー ロールを有効にしてパスワード リセット機能 Self-Serve 使用する

要求

次の例は要求を示しています。

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
   "allowedToUseSSPR":true
}

応答

次の例は応答を示しています。

HTTP/1.1 204 No Content

要求

次の例は要求を示しています。

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
   "defaultUserRolePermissions": {
      "permissionGrantPoliciesAssigned": []
   }
}

応答

次の例は応答を示しています。

HTTP/1.1 204 No Content

要求

検証済みの発行元または同じテナントに登録されたクライアント アプリに対してmicrosoft-user-default-low、"low" と分類された委任されたアクセス許可を許可する、組み込みのアプリ同意ポリシーに従って、アプリへのユーザーの同意を許可する要求の例を次に示します。

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
   "defaultUserRolePermissions": {
      "permissionGrantPoliciesAssigned": [
         "managePermissionGrantsForSelf.microsoft-user-default-low"
      ]
   }
}

応答

次の例は応答を示しています。

HTTP/1.1 204 No Content