命名空间:microsoft.graph
重要
Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
警告
此版本的 Privileged Identity Management (PIM) API for Azure 资源已弃用,将于 2026 年 10 月 28 日停止返回数据。 使用新的用于 Azure 资源角色的 Azure REST PIM API。
表示用户或组对角色的分配。
Privileged Identity Management (PIM) 支持两种类型的分配:
- 活动分配 - 表示对资源的直接/激活访问。
- 合格分配 - 表示在无访问权限和直接访问之间对资源的特权访问的中间阶段。 管理员可以提前将
eligible assignment用户/组分配到 ,每当需要访问时,activation都需要在 上eligible assignment获得对资源的即时访问数小时。 激活后,将为用户/组成员创建 ,active assignment以指示激活状态。
方法
| 方法 | 返回类型 | 说明 |
|---|---|---|
| Get | governanceRoleAssignment | 读取角色分配实体的属性和关系。 |
| List | governanceRoleAssignment 集合 | 列出资源上的角色分配集合。 |
| Export | octet-stream | 下载资源上的角色分配集合,并另存为 .csv 文件。 |
实体POST集不支持roleAssignments任何 、PUT、 PATCH或 DELETE作。 上 governanceRoleAssignment 的任何创建、更新和删除作都由 governanceRoleAssignmentRequest完成。
属性
| 属性 | 类型 | 说明 |
|---|---|---|
| id | String | 角色分配的 ID。 它采用 GUID 格式。 |
| resourceId | String | 必填。 与角色分配关联的资源的 ID。 |
| roleDefinitionId | String | 必填。 与角色分配关联的角色定义 ID。 |
| subjectId | String | 必填。 与角色分配关联的主题的 ID。 |
| linkedEligibleRoleAssignmentId | String | 如果这是 , active assignment 并且由于 在 上 eligible assignment激活而创建,则表示该 eligible assignment的 ID;否则,值为 null。 |
| externalId | String | 用于标识提供程序中角色分配的资源的外部 ID。 |
| startDateTime | DateTimeOffset | 角色分配的开始时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z |
| endDateTime | DateTimeOffset | 对于非永久角色分配,这是角色分配过期的时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z |
| assignmentState | String | 工作分配的状态。 该值可以是 Eligible 符合条件的分配,也可以 Active 是管理员直接分配 Active 的,也可以是用户对符合条件的分配激活的值。 |
| memberType | String | 成员的类型。 该值可以是: Inherited (如果角色分配继承自父资源范围) , Group (如果角色分配不是继承的,而是来自组分配) 的成员身份,或者 User (角色分配未继承或从组分配) 。 |
关系
| 关系 | 类型 | 说明 |
|---|---|---|
| 资源 | governanceResource | 只读。 与角色分配关联的资源。 |
| roleDefinition | governanceRoleDefinition | 只读。 与角色分配关联的角色定义。 |
| subject | governanceSubject | 只读。 与角色分配关联的主题。 |
| linkedEligibleRoleAssignment | governanceRoleAssignment | 只读。 如果这是 , active assignment 并且由于在 上 eligible assignment激活而创建,则表示 的 eligible assignment对象;否则,值为 null。 |
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"id": "String (identifier)",
"resourceId": "String",
"roleDefinitionId": "String",
"subjectId": "String",
"linkedEligibleRoleAssignmentId": "String",
"externalId": "String",
"startDateTime": "String (timestamp)",
"endDateTime": "String (timestamp)",
"assignmentState": "String",
"memberType": "String",
}