unifiedRolePermission tipo de recurso
Namespace: microsoft.graph
Importante
As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Representa uma coleção de ações de recursos permitidas e as condições que têm de ser cumpridas para que a ação seja eficaz. As ações de recursos são tarefas que podem ser executadas num recurso. Por exemplo, o recurso da aplicação suporta ações de criação, atualização, eliminação e reposição de recursos de palavra-passe.
Propriedades
| Propriedade | Tipo | Descrição |
|---|---|---|
| allowedResourceActions | String collection | Conjunto de tarefas que podem ser executadas num recurso. |
| condição | Cadeia de caracteres | Restrições opcionais que têm de ser cumpridas para que a permissão seja eficaz. Não é suportado para funções personalizadas. |
propriedade allowedResourceActions
Segue-se o esquema para ações de recursos:
{Namespace}/{Entity}/{PropertySet}/{Action}
Por exemplo: microsoft.directory/applications/credentials/update.
-
{Namespace} - Os serviços que expõem a tarefa. Por exemplo, todas as tarefas no Microsoft Entra ID utilizam o espaço de nomes
microsoft.directory. -
{Entity} - As funcionalidades lógicas ou componentes expostos pelo serviço no Microsoft Graph. Por exemplo,
applications,servicePrincipalsougroups. -
{PropertySet} - Opcional. As propriedades ou aspetos específicos da entidade para a qual o acesso está a ser concedido. Por exemplo,
microsoft.directory/applications/authentication/readconcede a capacidade de ler o URL de resposta, o URL de fim de sessão e a propriedade de fluxo implícito no objeto da aplicação no Microsoft Entra ID. Seguem-se nomes reservados para conjuntos de propriedades comuns:-
allProperties- Designa todas as propriedades da entidade, incluindo propriedades privilegiadas. Os exemplos incluemmicrosoft.directory/applications/allProperties/reademicrosoft.directory/applications/allProperties/update. -
basic- Designa propriedades de leitura comuns, mas exclui as que têm privilégios. Por exemplo,microsoft.directory/applications/basic/updateinclui a capacidade de atualizar propriedades padrão, como o nome a apresentar. -
standard- Designa propriedades de atualização comuns, mas exclui as que têm privilégios. Por exemplo,microsoft.directory/applications/standard/read.
-
-
{Actions} - As operações que estão a ser concedidas. Na maioria das circunstâncias, as permissões devem ser expressas em termos de operações CRUD ou
allTasks. Ações incluem:-
create- A capacidade de criar uma nova instância da entidade. -
read- A capacidade de ler um determinado conjunto de propriedades (incluindo allProperties). -
update- A capacidade de atualizar um determinado conjunto de propriedades (incluindo allProperties). -
delete- A capacidade de eliminar uma determinada entidade. -
allTasks- Representa todas as operações CRUD (criar, ler, atualizar e eliminar).
-
propriedade condition
As condições definem restrições que têm de ser cumpridas. Por exemplo, um requisito de que o principal seja um "proprietário" do destino. Seguem-se as condições suportadas:
- Self: "$ResourceIsSelf"
- Proprietário: "$SubjectIsOwner"
Segue-se um exemplo de uma permissão de função com uma condição.
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
],
"condition": "$SubjectIsOwner"
}
]
As condições não são suportadas para funções personalizadas.
Relações
Nenhum
Representação JSON
A representação JSON seguinte mostra o tipo de recurso.
{
"allowedResourceActions": ["String"],
"condition": "String"
}
Conteúdo relacionado
- Permissões de função de administrador no Microsoft Entra – para obter informações sobre permissões para funções de diretório incorporadas.
- Subtipos e permissões de registo de aplicações no Microsoft Entra ID – para obter informações sobre as permissões que estão disponíveis para funções de diretório personalizadas.