Freigeben über

TransitiveRoleAssignment auflisten

  • Artikel

Namespace: microsoft.graph

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Ruft die Liste der direkten und transitiven unifiedRoleAssignment-Objekte für einen bestimmten Prinzipal ab. Wenn einem Benutzer beispielsweise eine Microsoft Entra Rolle über die Gruppenmitgliedschaft zugewiesen wird, ist die Rollenzuweisung transitiv, und diese Anforderung listet die ID der Gruppe als principalId auf. Die Ergebnisse können auch nach roleDefinitionId und directoryScopeId gefiltert werden. Wird nur für verzeichnisanbieter (Microsoft Entra ID) unterstützt.

Weitere Informationen finden Sie unter Verwendung von Microsoft Entra-Gruppen zur Verwaltung von Rollenzuweisungen.

Hinweis

Diese Anforderung kann zu Replikationsverzögerungen für Rollenzuweisungen führen, die kürzlich erstellt, aktualisiert oder gelöscht wurden.

Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.

Weltweiter Service US Government L4 US Government L5 (DOD) China, betrieben von 21Vianet

Berechtigungen

Wählen Sie die Berechtigungen aus, die für diese API als am wenigsten privilegiert markiert sind. Verwenden Sie eine höhere Berechtigung oder Berechtigungen nur, wenn Ihre App dies erfordert. Ausführliche Informationen zu delegierten Berechtigungen und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.

Berechtigungstyp Berechtigungen mit den geringsten Berechtigungen Berechtigungen mit höheren Berechtigungen
Delegiert (Geschäfts-, Schul- oder Unikonto) RoleManagement.Read.Directory Directory.Read.All, Directory.ReadWrite.All, RoleManagement.ReadWrite.Directory
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt Nicht unterstützt
Anwendung RoleManagement.Read.Directory Directory.Read.All, Directory.ReadWrite.All, RoleManagement.ReadWrite.Directory

Wichtig

In delegierten Szenarien mit Geschäfts-, Schul- oder Unikonten muss dem angemeldeten Benutzer eine unterstützte Microsoft Entra Rolle oder eine benutzerdefinierte Rolle mit einer unterstützten Rollenberechtigung zugewiesen werden. Für diesen Vorgang werden die folgenden Rollen mit den geringsten Berechtigungen unterstützt:

  • Verzeichnisleser
  • Globaler Leser
  • Administrator für privilegierte Rollen

HTTP-Anforderung

So listen Sie transitive Rollenzuweisungen für einen Verzeichnisanbieter auf:

GET /roleManagement/directory/transitiveRoleAssignments?$filter=principalId eq '{principalId}'

Abfrageparameter

Diese Methode erfordert den $filter OData-Abfrageparameter (eq), um die transitiven Rollenzuweisungen einem Prinzipal zuzuordnen. Sie können den Umfang der Anforderung einschränken, indem Sie den Filter auf andere unterstützte Eigenschaften erweitern. Diese Methode unterstützt auch die $count OData-Abfrageparameter und $select , um die Antwort anzupassen. Allgemeine Informationen finden Sie unter OData-Abfrageparameter.

Anforderungsheader

Name Beschreibung
Authorization Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung.
ConsistencyLevel schließlich. Dieser Header, $countund $filter sind erforderlich. Weitere Informationen zur Verwendung von ConsistencyLevel, $countund $filterfinden Sie unter Erweiterte Abfragefunktionen für Verzeichnisobjekte.

Anforderungstext

Geben Sie keinen Anforderungstext für diese Methode an.

Antwort

Wenn die Methode erfolgreich verläuft, werden der 200 OK Antwortcode und eine Sammlung von unifiedRoleAssignment-Objekten im Antworttext zurückgegeben.

Wenn Ihre Anforderung den auf eventualfestgelegten ConsistencyLevel-Header nicht enthält, gibt diese Methode den Antwortcode zurück404 Not Found.

Beispiele

Betrachten Sie für die Beispiele in diesem Abschnitt das folgende Rollenzuweisungsszenario. Ein Benutzer mit dem Namen Alice verfügt wie folgt über direkte und transitive Rollenzuweisungen:

Benutzer Gruppe Rolle Bereich Rollenzuweisungs-ID
Alice
2c7936bc-3517-40f3-8eda-4806637b6516		 Benutzeradministrator
fe930be7-5e62-47db-91af-98c3a49a38b1		 Mandant RA1
857708a7-b5e0-44f9-bfd7-53531d72a739
G1
ae2fc327-4c71-48ed-b6ca-f48632186510
(Alice ist Mitglied)		 Benutzeradministrator
fe930be7-5e62-47db-91af-98c3a49a38b1		 Mandant RA2
8a021d5f-7351-4713-aab4-b088504d476e
G2
6ffb34b8-5e6d-4727-a7f9-93245e7f6ea8
(Alice ist Mitglied)		 Helpdesk-Administrator
729827e3-9c14-49f7-bb1b-9608f156bbb8		 Verwaltungseinheit (AU1)
26e79164-0c5c-4281-8c5b-be7bc7809fb2		 RA3
6cc86637-13c8-473f-afdc-e0e65c9734d2
  • Alice wird die Rolle "Benutzeradministrator" direkt im Mandantenbereich mit der Rollenzuweisung RA1 zugewiesen.
  • Alice ist Mitglied einer Gruppe G1, und G1 wird die Rolle "Benutzeradministrator" im Mandantenbereich mit Rollenzuweisung RA2 zugewiesen.
  • Alice ist auch Mitglied der Gruppe G2, und G2 wird die Rolle Helpdeskadministrator in einem Au1-Verwaltungseinheitsbereich mit Rollenzuweisung RA3 zugewiesen.

Beispiel 1: Abrufen direkter und transitiver Rollenzuweisungen eines Prinzipals

Anforderung

Das folgende Beispiel zeigt eine Anfrage. Für diese Anforderung muss der ConsistencyLevel-Header auf eventual und die $count=true Abfrageparameter und $filter festgelegt werden. Weitere Informationen zur Verwendung von ConsistencyLevel, $countund $filterfinden Sie unter Erweiterte Abfragefunktionen für Verzeichnisobjekte.

GET https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq '2c7936bc-3517-40f3-8eda-4806637b6516'
ConsistencyLevel: eventual

Antwort

Das folgende Beispiel zeigt die Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden. Ein tatsächlicher Aufruf gibt alle Eigenschaften zurück.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/transitiveRoleAssignments",
    "value": [
        {
            "id": "857708a7-b5e0-44f9-bfd7-53531d72a739",
            "principalId": "2c7936bc-3517-40f3-8eda-4806637b6516",
            "directoryScopeId": "/",
            "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1"
        },
        {
            "id": "8a021d5f-7351-4713-aab4-b088504d476e",
            "principalId": "ae2fc327-4c71-48ed-b6ca-f48632186510",
            "directoryScopeId": "/",
            "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1"
        },
        {
            "id": "6cc86637-13c8-473f-afdc-e0e65c9734d2",
            "principalId": "6ffb34b8-5e6d-4727-a7f9-93245e7f6ea8",
            "directoryScopeId": "/administrativeUnits/26e79164-0c5c-4281-8c5b-be7bc7809fb2",
            "roleDefinitionId": "729827e3-9c14-49f7-bb1b-9608f156bbb8"
        }
    ]
}

Beispiel 2: Abrufen direkter und transitiver Zuweisungen eines Prinzipals, aber nur spezifische Rollendefinitionen

Anforderung

Das folgende Beispiel zeigt eine Anfrage. Für diese Anforderung muss der ConsistencyLevel-Header auf eventual und die $count=true Abfrageparameter und $filter festgelegt werden. Weitere Informationen zur Verwendung von ConsistencyLevel, $countund $filterfinden Sie unter Erweiterte Abfragefunktionen für Verzeichnisobjekte.

GET https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq '2c7936bc-3517-40f3-8eda-4806637b6516' and roleDefinitionId eq 'fe930be7-5e62-47db-91af-98c3a49a38b1'
ConsistencyLevel: eventual

Antwort

Das folgende Beispiel zeigt die Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden. Ein tatsächlicher Aufruf gibt alle Eigenschaften zurück.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/transitiveRoleAssignments",
    "value": [
        {
            "id": "857708a7-b5e0-44f9-bfd7-53531d72a739",
            "principalId": "2c7936bc-3517-40f3-8eda-4806637b6516",
            "directoryScopeId": "/",
            "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1"
        },
        {
            "id": "8a021d5f-7351-4713-aab4-b088504d476e",
            "principalId": "6ffb34b8-5e6d-4727-a7f9-93245e7f6ea8",
            "directoryScopeId": "/",
            "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1"
        }
    ]
}

Beispiel 3: Abrufen direkter und transitiver Rollenzuweisungen eines Prinzipals, aber nur verwaltungseinheitsweit

Anforderung

Das folgende Beispiel zeigt eine Anfrage. Für diese Anforderung muss der ConsistencyLevel-Header auf eventual und die $count=true Abfrageparameter und $filter festgelegt werden. Weitere Informationen zur Verwendung von ConsistencyLevel, $countund $filterfinden Sie unter Erweiterte Abfragefunktionen für Verzeichnisobjekte.

GET https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq '2c7936bc-3517-40f3-8eda-4806637b6516' and directoryScopeId eq '/administrativeUnits/26e79164-0c5c-4281-8c5b-be7bc7809fb2'
ConsistencyLevel: eventual

Antwort

Das folgende Beispiel zeigt die Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden. Ein tatsächlicher Aufruf gibt alle Eigenschaften zurück.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/transitiveRoleAssignments",
    "value": [
        {
            "id": "6cc86637-13c8-473f-afdc-e0e65c9734d2",
            "principalId": "6ffb34b8-5e6d-4727-a7f9-93245e7f6ea8",
            "directoryScopeId": "/administrativeUnits/26e79164-0c5c-4281-8c5b-be7bc7809fb2",
            "roleDefinitionId": "729827e3-9c14-49f7-bb1b-9608f156bbb8"
        }
    ]
}