Zuweisen von Prüfern zu Ihrer Zugriffsüberprüfung mithilfe des Microsoft-Graph-API

  • Artikel
  • 2 Minuten Lesedauer

Mit der Azure AD-Zugriffsüberprüfungs-API können Sie programmgesteuert den Zugriff von Benutzern, Dienstprinzipalen oder Gruppen auf Ihre Azure AD-Ressourcen überprüfen.

Die primären Prüfer werden in der Eigenschaft reviewers der Access Reviews accessReviewScheduleDefinition-Ressource konfiguriert. Darüber hinaus können Sie Fallbackprüfer mithilfe der fallbackReviewers-Eigenschaft angeben. Diese Eigenschaften sind nicht erforderlich, wenn Sie eine Selbstüberprüfung erstellen (bei der Benutzer ihren eigenen Zugriff überprüfen).

Legen Sie zum Konfigurieren der Prüfer und Fallbackprüfer die Werte der Eigenschaften query, queryRoot und queryType von accessReviewReviewerScope fest. Beschreibungen dieser Eigenschaften finden Sie unter dem Ressourcentyp accessReviewReviewerScope .

Hinweis

Bei der Überprüfung von Gruppen, deren Mitgliedschaft über PIM für Gruppen gesteuert wird, werden nur aktive Besitzer als Prüfer zugewiesen. Berechtigte Besitzer sind nicht enthalten. Mindestens ein Fallbackprüfer ist erforderlich, um diese Gruppen zu überprüfen. Wenn zu Beginn der Überprüfung keine aktiven Besitzer vorhanden sind, werden die Fallbackprüfer der Überprüfung zugewiesen.

Beispiel 1: Eine Selbstüberprüfung

"reviewers": []

Um eine Selbstüberprüfung zu konfigurieren, geben Sie nicht die Reviewers-Eigenschaft an, oder stellen Sie der Eigenschaft ein leeres Objekt bereit.

Wenn der entsprechende Zugriffsüberprüfungsbereich auf B2B Direct Connect-Benutzer und -Teams mit freigegebenen Kanälen abzielt, wird dem Teambesitzer zugewiesen, den Zugriff für die B2B Direct Connect-Benutzer zu überprüfen.

Beispiel 2: Ein bestimmter Benutzer als Prüfer

"reviewers": [
    {
        "query": "/users/{userId}",
        "queryType": "MicrosoftGraph"
    }
]

Beispiel 3: Mitglieder einer Gruppe als Prüfer

"reviewers": [
    {
        "query": "/groups/{groupId}/transitiveMembers",
        "queryType": "MicrosoftGraph"
    }
]

Beispiel 4: Gruppenbesitzer als Prüfer

Wenn die Zugriffsüberprüfung auf eine Gruppe festgelegt ist, z. B. Beispiel 1: Überprüfen aller einer Gruppe zugewiesenen Benutzer, Beispiel 2: Überprüfen aller einer Gruppe zugewiesenen Gastbenutzer und Beispiel 3: Überprüfen aller Benutzer und Gruppen, die einer Gruppe zugewiesen sind.

"reviewers": [
    {
        "query": "/groups/{groupId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

Wenn die Zugriffsüberprüfung auf eine Gruppe festgelegt ist und nur die Gruppenbesitzer aus einem bestimmten Land als Prüfer zugewiesen werden sollen:

"reviewers": [
    {
        "query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
        "type": "MicrosoftGraph”
    }
]

Wenn die Zugriffsüberprüfung auf alle Gruppen festgelegt ist, z. B. Beispiel 4: Überprüfen aller Benutzer, die allen Microsoft 365-Gruppen zugewiesen sind, Beispiel 5: Überprüfen aller Gastbenutzer, die allen Microsoft 365-Gruppen zugewiesen sind, und Beispiel 6: Überprüfen aller Gastbenutzer, die allen Teams zugewiesen sind.

"reviewers": [
    {
        "query": "./owners",
        "queryType": "MicrosoftGraph"
    }
]

Beispiel 5: Personen Manager als Prüfer

"reviewers": [
    {
        "query": "./manager",
        "queryType": "MicrosoftGraph",
        "queryRoot": "decisions"
    }
]

Da ./manager eine relative Abfrage ist, geben Sie die queryRoot-Eigenschaft mit dem Wert decisionsan.

Wenn der entsprechende Zugriffsüberprüfungsbereich auf B2B Direct Connect-Benutzer und -Teams mit freigegebenen Kanälen abzielt, wird dem Teambesitzer zugewiesen, den Zugriff für die B2B Direct Connect-Benutzer zu überprüfen.

Beispiel 6: Anwendungsbesitzer als Prüfer

"reviewers": [
    {
        "query": "/servicePrincipals/{servicePrincipalId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

Nächste Schritte