Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пространство имен: microsoft.graph
Представляет коллекцию разрешенных действий ресурсов и условий, которые должны быть выполнены, чтобы действие было разрешено. Действия с ресурсами — это задачи, которые могут выполняться с ресурсом. Например, ресурс приложения может поддерживать действия по созданию, обновлению, удалению и сбросу пароля.
Свойства
| Свойство | Тип | Описание |
|---|---|---|
| allowedResourceActions | Коллекция строк | Набор задач, которые можно выполнять с ресурсом. Обязательно. |
| состояние | String | Необязательные ограничения, которые должны быть выполнены для вступления разрешения в силу. Не поддерживается для пользовательских ролей. |
| excludedResourceActions | Коллекция строк | Набор задач, которые могут не выполняться с ресурсом. Пока не поддерживается. |
свойство allowedResourceActions
Ниже приведена схема действий с ресурсами.
{Namespace}/{Entity}/{PropertySet}/{Action}
Пример: microsoft.directory/applications/credentials/update.
-
{Пространство имен} — службы, предоставляющие задачу. Например, все задачи в идентификаторе Microsoft Entra используют пространство
microsoft.directoryимен . -
{Entity} — логические функции или компоненты, предоставляемые службой в Microsoft Graph. Например,
applications,servicePrincipalsилиgroups. -
{PropertySet} — необязательно. Конкретные свойства или аспекты сущности, для которой предоставляется доступ. Например,
microsoft.directory/applications/authentication/readпредоставляет возможность чтения URL-адреса ответа, URL-адреса выхода и свойства неявного потока объекта приложения в идентификаторе Microsoft Entra. Ниже приведены зарезервированные имена для общих наборов свойств.-
allProperties— Обозначает все свойства сущности, включая привилегированные свойства. Примеры:microsoft.directory/applications/allProperties/readиmicrosoft.directory/applications/allProperties/update. -
basic— обозначает общие свойства чтения, но исключает привилегированные свойства. Например, включает возможность обновления стандартных свойств,microsoft.directory/applications/basic/updateтаких как отображаемое имя. -
standard— назначает общие свойства обновления, но исключает привилегированные свойства. Например,microsoft.directory/applications/standard/read.
-
-
{Actions} — предоставляемые операции. В большинстве случаев разрешения должны быть выражены в терминах операций CRUD или
allTasks. Действия:-
create— возможность создания нового экземпляра сущности. -
read— возможность чтения заданного набора свойств (включая все свойства). -
update— возможность обновления заданного набора свойств (включая allProperties). -
delete— возможность удаления заданной сущности. -
allTasks— представляет все операции CRUD (создание, чтение, обновление и удаление).
-
свойство condition
Условия определяют ограничения, которые должны быть выполнены. Например, требование о том, что субъект является владельцем целевого ресурса. Ниже приведены поддерживаемые условия.
-
Self: "@Subject.objectId == @Resource.objectId" -
Owner: "@Subject.objectId Any_of @Resource.owners"
Ниже приведен пример разрешения роли с условием, что субъект является владельцем целевого ресурса.
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
],
"condition": "@Subject.objectId Any_of @Resource.owners"
}
]
Условия для пользовательских ролей не поддерживаются.
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"@odata.type": "#microsoft.graph.unifiedRolePermission",
"allowedResourceActions": ["String"],
"excludedResourceActions": ["String"],
"condition": "String"
}
Связанные материалы
- Разрешения роли администратора в Microsoft Entra — сведения о разрешениях для встроенных ролей каталога.
- Подтипы и разрешения регистрации приложений в идентификаторе Microsoft Entra — сведения о разрешениях, доступных для пользовательских ролей каталога.