Freigeben über

UnifiedRoleManagementPolicyRule aktualisieren

  • Artikel

Namespace: microsoft.graph

Aktualisieren sie eine Regel, die für eine Rollenverwaltungsrichtlinie definiert ist. Die Regel kann einer der folgenden Typen sein, die vom unifiedRoleManagementPolicyRule-Objekt abgeleitet sind:

Weitere Informationen zu Regeln für Microsoft Entra Rollen und Beispiele für das Aktualisieren von Regeln finden Sie in den folgenden Artikeln:

Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.

Weltweiter Service US Government L4 US Government L5 (DOD) China, betrieben von 21Vianet

Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, unter anderem zur Auswahl von Berechtigungen, finden Sie unter Berechtigungen.

Für PIM für Microsoft Entra Rollen

Berechtigungstyp Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten)
Delegiert (Geschäfts-, Schul- oder Unikonto) RoleManagementPolicy.ReadWrite.Directory, RoleManagement.ReadWrite.Directory
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt
Anwendung RoleManagementPolicy.ReadWrite.Directory, RoleManagement.ReadWrite.Directory

Wichtig

In delegierten Szenarien mit Geschäfts-, Schul- oder Unikonten muss dem angemeldeten Benutzer eine unterstützte Microsoft Entra Rolle oder eine benutzerdefinierte Rolle mit einer unterstützten Rollenberechtigung zugewiesen werden. Die folgenden Rollen mit den geringsten Berechtigungen werden für diesen Vorgang unterstützt.

  • Für Lesevorgänge: Globaler Leser, Sicherheitsoperator, Sicherheitsleseberechtigter, Sicherheitsadministrator oder Administrator für privilegierte Rollen
  • Für Schreibvorgänge: Administrator für privilegierte Rollen

Für PIM für Gruppen

Berechtigungstyp Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten)
Delegiert (Geschäfts-, Schul- oder Unikonto) RoleManagementPolicy.ReadWrite.AzureADGroup
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt
Anwendung RoleManagementPolicy.ReadWrite.AzureADGroup

HTTP-Anforderung

So aktualisieren Sie eine Regel, die für eine Richtlinie für Microsoft Entra Rollen oder Gruppen in PIM definiert ist:

PATCH /policies/roleManagementPolicies/{unifiedRoleManagementPolicyId}/rules/{unifiedRoleManagementPolicyRuleId}

Anforderungsheader

Name Beschreibung
Authorization Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung.
Content-Type application/json. Erforderlich.

Anforderungstext

Geben Sie im Anforderungstext nur die Werte für zu aktualisierende Eigenschaften an. Vorhandene Eigenschaften, die nicht im Anforderungstext enthalten sind, behalten ihre vorherigen Werte bei oder werden basierend auf Änderungen an anderen Eigenschaftswerten neu berechnet.

In der folgenden Tabelle sind die Eigenschaften angegeben, die aktualisiert werden können.

Eigenschaft Typ Beschreibung
claimValue String Der Wert des Authentifizierungskontextanspruchs.

Kann für den Regeltyp unifiedRoleManagementPolicyAuthenticationContextRule aktualisiert werden.
enabledRules String collection Die Auflistung von Regeln, die für diese Richtlinienregel aktiviert sind. Beispiel: MultiFactorAuthentication, Ticketingund Justification.

Kann für den Regeltyp unifiedRoleManagementPolicyEnablementRule aktualisiert werden.
isDefaultRecipientsEnabled Boolesch Gibt an, ob ein Standardempfänger die Benachrichtigungs-E-Mail erhält.

Kann für den Regeltyp unifiedRoleManagementPolicyNotificationRule aktualisiert werden.
isEnabled Boolescher Wert Gibt an, ob diese Regel aktiviert ist.

Kann für den Regeltyp unifiedRoleManagementPolicyAuthenticationContextRule aktualisiert werden.
isExpirationRequired Boolesch Gibt an, ob der Ablauf erforderlich ist oder ob es sich um eine dauerhaft aktive Zuweisung oder Berechtigung handelt.

Kann für den Regeltyp unifiedRoleManagementPolicyExpirationRule aktualisiert werden.
maximumDuration Dauer Die maximal zulässige Dauer für die Berechtigung oder Zuweisung, die nicht dauerhaft ist. Erforderlich, wenn isExpirationRequired ist true.

Kann für den Regeltyp unifiedRoleManagementPolicyExpirationRule aktualisiert werden.
notificationLevel String Die Benachrichtigungsebene. Die möglichen Werte sind None, Critical, . All

Kann für den Regeltyp unifiedRoleManagementPolicyNotificationRule aktualisiert werden.
notificationRecipients String collection Die Liste der Empfänger der E-Mail-Benachrichtigungen.

Kann für den Regeltyp unifiedRoleManagementPolicyNotificationRule aktualisiert werden.
notificationType String Der Benachrichtigungstyp. Nur Email wird unterstützt.

Kann für den Regeltyp unifiedRoleManagementPolicyNotificationRule aktualisiert werden.
recipientType String Der Typ des Empfängers der Benachrichtigung. Die möglichen Werte sind Requestor, Approver, . Admin
Kann für den Regeltyp unifiedRoleManagementPolicyNotificationRule aktualisiert werden.
Einstellung approvalSettings Die Einstellungen für die Genehmigung der Rollenzuweisung.

Kann für den Regeltyp unifiedRoleManagementPolicyApprovalRule aktualisiert werden.
target unifiedRoleManagementPolicyRuleTarget Definiert Details des Bereichs, für den die Rollenverwaltungsrichtlinienregel gilt. Die Details können den Prinzipaltyp, den Rollenzuweisungstyp und Aktionen umfassen, die sich auf eine Rolle auswirken.

Kann für alle Regeltypen aktualisiert werden.

Anmerkung: Die @odata.type Eigenschaft mit einem Wert des bestimmten Regeltyps muss im Text enthalten sein. Beispiel: "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyApprovalRule".

Antwort

Bei erfolgreicher Ausführung gibt die Methode den 200 OK Antwortcode und ein unifiedRoleManagementPolicyRule-Objekt im Antworttext zurück.

Beispiele

Beispiel 1: Aktualisieren einer Regel, die für eine Richtlinie in PIM für Microsoft Entra Rollen definiert ist

Anforderung

Im folgenden Beispiel wird eine Rollenverwaltungsrichtlinienregel vom Typ unifiedRoleManagementPolicyExpirationRule mit der ID Expiration_EndUser_Assignmentaktualisiert.

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/DirectoryRole_84841066-274d-4ec0-a5c1-276be684bdd3_200ec19a-09e7-4e7a-9515-cf1ee64b96f9/rules/Expiration_EndUser_Assignment
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "@odata.type": "microsoft.graph.unifiedRoleManagementPolicyRuleTarget",
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Antwort

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/roleManagementPolicies('DirectoryRole_84841066-274d-4ec0-a5c1-276be684bdd3_200ec19a-09e7-4e7a-9515-cf1ee64b96f9')/rules/$entity",
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Verwandte Inhalte

Beispiel 2: Aktualisieren einer Regel, die für eine Richtlinie in PIM für Gruppen definiert ist

Anforderung

Im folgenden Beispiel wird eine Rollenverwaltungsrichtlinienregel mit der ID Expiration_EndUser_Assignmentaktualisiert.

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/Group_60bba733-f09d-49b7-8445-32369aa066b3_f21b26d9-9ff9-4af1-b1d4-bddf28591369/rules/Expiration_EndUser_Assignment
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Antwort

Das folgende Beispiel zeigt die Antwort.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/roleManagementPolicies('Group_60bba733-f09d-49b7-8445-32369aa066b3_f21b26d9-9ff9-4af1-b1d4-bddf28591369')/rules/$entity",
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyExpirationRule",
    "id": "Expiration_EndUser_Assignment",
    "isExpirationRequired": true,
    "maximumDuration": "PT1H45M",
    "target": {
        "caller": "EndUser",
        "operations": [
            "All"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}