通过

创建 accessPackageResourceRoleScope

命名空间:microsoft.graph

重要

Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。

创建新的 accessPackageResourceRoleScope ,用于向访问包添加资源角色。 对于组、应用程序或 SharePoint Online 网站,访问包资源必须已存在于访问包目录中,并且从资源角色列表中检索到的资源角色originId。 将资源角色范围添加到访问包后,用户将通过任何当前和将来的访问包分配接收此资源角色。

此 API 可用于以下国家级云部署

全局服务 美国政府 L4 美国政府 L5 (DOD) 由世纪互联运营的中国

权限

为此 API 选择标记为最低特权的权限。 只有在应用需要它时,才使用更高的特权权限。 有关委派权限和应用程序权限的详细信息,请参阅权限类型。 要了解有关这些权限的详细信息,请参阅 权限参考

权限类型 最低特权权限 更高特权权限
委派(工作或学校帐户) EntitlementManagement.ReadWrite.All 不可用。
委派(个人 Microsoft 帐户) 不支持。 不支持。
应用程序 EntitlementManagement.ReadWrite.All 不可用。

提示

在具有工作或学校帐户的委托方案中,还必须通过以下选项之一为已登录用户分配具有支持的角色权限的管理员角色:

在仅限应用的情况下,可为调用应用分配上述受支持的角色之一,而不是 EntitlementManagement.ReadWrite.All 应用程序权限。 访问包管理员角色的特权低于EntitlementManagement.ReadWrite.All应用程序权限。

有关详细信息,请参阅 权利管理中的委派和角色 以及如何 在权利管理中将访问管理委托给访问包管理员

HTTP 请求

POST /identityGovernance/entitlementManagement/accessPackages/{id}/accessPackageResourceRoleScopes

请求标头

名称 说明
Authorization 持有者 {token}。 必填。 详细了解 身份验证和授权
Content-Type application/json. 必需。

请求正文

在请求正文中,提供 accessPackageResourceRoleScope 对象的 JSON 表示形式。 在 对象中包括与 accessPackageResourceRole 对象的关系(可从列出目录中资源的访问包资源角色的请求中获取)和 accessPackageResourceScope 对象(该对象可从具有 列出访问包资源$expand=accessPackageResourceScopes的请求中获取)。

响应

如果成功,此方法在响应正文中返回 200 系列响应代码和新的 accessPackageResourceRoleScope 对象。

示例

示例 1:将组成员身份作为资源角色添加到访问包

请求

以下示例显示了一个请求。 在此请求之前,组b31fe1f1-3651-488f-bd9a-1711887fd4ca的访问包资源1d08498d-72a1-403f-8511-6b1f875746a0必须已添加到包含此访问包的访问包目录中。 可以通过 创建访问包资源请求将资源添加到目录。

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackages/{id}/accessPackageResourceRoleScopes
Content-type: application/json

{
  "accessPackageResourceRole":{
    "originId":"Member_b31fe1f1-3651-488f-bd9a-1711887fd4ca",
    "displayName":"Member",
    "originSystem":"AadGroup",
    "accessPackageResource":{"id":"1d08498d-72a1-403f-8511-6b1f875746a0","resourceType":"O365 Group","originId":"b31fe1f1-3651-488f-bd9a-1711887fd4ca","originSystem":"AadGroup"}
  },
 "accessPackageResourceScope":{
   "originId":"b31fe1f1-3651-488f-bd9a-1711887fd4ca","originSystem":"AadGroup"
 }
}

响应

以下示例显示了相应的响应。

注意:为了提高可读性,可能缩短了此处显示的响应对象。

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#accessPackageResourceRoleScopes/$entity",
    "id": "ad5c7636-e481-4528-991f-198e3b38dd56_ffd4004a-f4a9-4b22-b027-759e55c0d1db",
    "createdBy": "admin@example.com",
    "createdDateTime": "2019-12-11T01:35:26.4754081Z",
    "modifiedBy": "admin@example.com",
    "modifiedDateTime": "2019-12-11T01:35:26.4754081Z"
}

示例 2:向访问包添加 SharePoint Online 网站角色

请求

以下示例显示了对非根范围资源的请求。 站点的访问包资源必须已添加到包含此访问包的访问包目录中。

请求包含 accessPackageResourceRole 对象,该对象可从先前的请求中获取,以 列出目录中资源的访问包资源角色。 每种类型的资源定义资源角色中的 originId 字段的格式。 对于 SharePoint Online 网站,originId 是网站中角色的序列号。

如果从先前请求获取的 accessPackageResourceScope对象将资源作为根范围 (isRootScope 设置为 true) ,请在请求的 accessPackageResourceScope 对象中包含 isRootScope 属性。

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackages/{id}/accessPackageResourceRoleScopes
Content-type: application/json

{
    "accessPackageResourceRole": {
        "originId": "4",
        "originSystem": "SharePointOnline",
        "accessPackageResource": {
            "id": "53c71803-a0a8-4777-aecc-075de8ee3991"
        }
    },
    "accessPackageResourceScope": {
        "id": "5ae0ae7c-d0a5-42aa-ab37-1f15e9a61d33",
        "originId": "https://microsoft.sharepoint.com/portals/Community",
        "originSystem": "SharePointOnline"
    }
}

响应

以下示例显示了相应的响应。

注意:为了提高可读性,可能缩短了此处显示的响应对象。

HTTP/1.1 201 Created
Content-type: application/json

{
   "id": "6646a29e-da03-49f6-bcd9-dec124492de3_5ae0ae7c-d0a5-42aa-ab37-1f15e9a61d33"
}

示例 3:将Microsoft Entra角色添加为访问包中的资源

请求

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackages/{id}/accessPackageResourceRoleScopes
Content-type: application/json

{
    "role": {
        "originId": "Eligible",
        "displayName": "Eligible Member",
        "originSystem": "DirectoryRole",
        "resource": {
            "id": "ea036095-57a6-4c90-a640-013edf151eb1"
        }
    },
    "scope": {
        "description": "Root Scope",
        "displayName": "Root",
        "isRootScope": true,
        "originSystem": "DirectoryRole",
        "originId": "c4e39bd9-1100-46d3-8c65-fb160da0071f"
    }
}

响应

以下示例显示了相应的响应。

注意:为了提高可读性,可能缩短了此处显示的响应对象。

HTTP/1.1 201 Created
Content-type: application/json

{
   "id": "ea036095-57a6-4c90-a640-013edf151eb1_c4e39bd9-1100-46d3-8c65-fb160da0071f",
   "createdDateTime": "2023-06-28T01:19:48.4216782Z"
}

示例 4:将 PIM 托管组作为资源角色添加到访问包

请求

以下示例演示了将 PIM 托管组作为资源角色添加到访问包的请求。 组的成员有资格加入该组。

在此请求之前,必须已将 PIM 托管组bcfae74a-91a6-46e9-99bf-89d6487cc3f3的访问包资源b86a1828-3171-409e-8343-32a224f324a0添加到包含此访问包的访问包目录。 可以通过 创建访问包资源请求将资源添加到目录。

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackages/b86a1828-3171-409e-8343-32a224f324a0/accessPackageResourceRoleScopes
Content-type: application/json

{
  "accessPackageResourceRole":{
    "originId":"EligibleMember_89590e41-f49d-4792-b531-6ed6fe6cfe18",
    "displayName":"Eligible Member",
    "originSystem":"AadGroup",
    "accessPackageResource":{"id":"b86a1828-3171-409e-8343-32a224f324a0","resourceType":"O365 Group","originId":"bcfae74a-91a6-46e9-99bf-89d6487cc3f3","originSystem":"AadGroup"}
  },
 "accessPackageResourceScope":{
   "originId":"bcfae74a-91a6-46e9-99bf-89d6487cc3f3","originSystem":"AadGroup"
 }
}

响应

以下示例显示了相应的响应。

注意:为了提高可读性,可能缩短了此处显示的响应对象。

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#accessPackageResourceRoleScopes/$entity",
    "id": "ad5c7636-e481-4528-991f-198e3b38dd56_ffd4004a-f4a9-4b22-b027-759e55c0d1db",
    "createdBy": "admin@example.com",
    "createdDateTime": "2019-12-11T01:35:26.4754081Z",
    "modifiedBy": "admin@example.com",
    "modifiedDateTime": "2019-12-11T01:35:26.4754081Z"
}
  • Last updated on