unifiedRolePermission-Ressourcentyp

Namespace: microsoft.graph

Stellt eine Auflistung zulässiger Ressourcenaktionen und der Bedingungen dar, die erfüllt sein müssen, damit die Aktion wirksam ist. Ressourcenaktionen sind Aufgaben, die für eine Ressource ausgeführt werden können. Die Anwendungsressource unterstützt beispielsweise Aktionen zum Erstellen, Aktualisieren, Löschen und Zurücksetzen von Kennwortressourcen.

Eigenschaften

allowedResourceActions-Eigenschaft

Es folgt das Schema für Ressourcenaktionen:

{Namespace}/{Entity}/{PropertySet}/{Action}  

Beispiel: microsoft.directory/applications/credentials/update.

• {Namespace} : Die Dienste, die die Aufgabe verfügbar machen. Beispielsweise verwenden alle Aufgaben in Microsoft Entra ID den Namespace microsoft.directory.
• {Entity} – Die logischen Features oder Komponenten, die vom Dienst in Microsoft Graph verfügbar gemacht werden. Beispiel: applications, servicePrincipals oder groups.
• {PropertySet} – Optional. Die spezifischen Eigenschaften oder Aspekte der Entität, für die Zugriff gewährt wird. Gewährt beispielsweise die Möglichkeit, microsoft.directory/applications/authentication/read die Antwort-URL, die Abmelde-URL und die implizite Floweigenschaft für das Anwendungsobjekt in Microsoft Entra ID zu lesen. Es folgen reservierte Namen für allgemeine Eigenschaftssätze:
  • allProperties – Legt alle Eigenschaften der Entität fest, einschließlich der privilegierten Eigenschaften. Beispiele hierfür sind microsoft.directory/applications/allProperties/read und microsoft.directory/applications/allProperties/update.
  • basic – Legt allgemeine Leseeigenschaften fest, schließt jedoch privilegierte Eigenschaften aus. Umfasst beispielsweise die Möglichkeit, microsoft.directory/applications/basic/update Standardeigenschaften wie Anzeigename zu aktualisieren.
  • standard – Legt allgemeine Updateeigenschaften fest, schließt jedoch privilegierte Eigenschaften aus. Beispiel: microsoft.directory/applications/standard/read.
• {Actions} – Die vorgänge, die gewährt werden. In den meisten Fällen sollten Berechtigungen als CRUD-Vorgänge oder allTasksausgedrückt werden. Zu den Aktionen zählen:
  • create – Die Möglichkeit, eine neue Instanz der Entität zu erstellen.
  • read – Die Möglichkeit, einen bestimmten Eigenschaftensatz (einschließlich allProperties) zu lesen.
  • update – Die Möglichkeit, einen bestimmten Eigenschaftensatz (einschließlich allProperties) zu aktualisieren.
  • delete : Die Möglichkeit, eine bestimmte Entität zu löschen.
  • allTasks – Stellt alle CRUD-Vorgänge (Erstellen, Lesen, Aktualisieren und Löschen) dar.

Condition-Eigenschaft

Bedingungen definieren Einschränkungen, die erfüllt werden müssen. Beispielsweise eine Anforderung, dass der Prinzipal ein "Besitzer" des Ziels ist. Die folgenden Bedingungen werden unterstützt:

• Selbst: "$ResourceIsSelf"
• Besitzer: "$SubjectIsOwner"

Es folgt ein Beispiel für eine Rollenberechtigung mit einer Bedingung.

"rolePermissions": [
        {
            "allowedResourceActions": [
                "microsoft.directory/applications/basic/update",
                "microsoft.directory/applications/credentials/update"
            ],
            "condition":  "$SubjectIsOwner"
        }
    ]

Bedingungen werden für benutzerdefinierte Rollen nicht unterstützt.

Beziehungen

Keine.

JSON-Darstellung

Die folgende JSON-Darstellung zeigt den Ressourcentyp.

{
  "allowedResourceActions": ["String"],
  "condition": "String"
}

Verwandte Inhalte

• Administratorrollenberechtigungen in Microsoft Entra : Informationen zu Berechtigungen für integrierte Verzeichnisrollen.
• Untertypen und Berechtigungen für die Anwendungsregistrierung in Microsoft Entra ID : Hier finden Sie Informationen zu Berechtigungen, die für benutzerdefinierte Verzeichnisrollen verfügbar sind.