Zuweisen von Prüfern zu Zugriffsüberprüfungen mithilfe von Zugriffsüberprüfungs-APIs
Mit der Microsoft Entra Zugriffsüberprüfungs-API können Sie programmgesteuert den Zugriff von Benutzern, Dienstprinzipalen oder Gruppen auf Ihre Microsoft Entra Ressourcen überprüfen.
Die primären Prüfer werden in der Eigenschaft reviewers der Access Reviews accessReviewScheduleDefinition-Ressource konfiguriert. Darüber hinaus können Sie Fallbackprüfer mithilfe der fallbackReviewers-Eigenschaft angeben. Diese Eigenschaften sind nicht erforderlich, wenn Sie eine Selbstüberprüfung erstellen (bei der Benutzer ihren eigenen Zugriff überprüfen).
Legen Sie zum Konfigurieren der Prüfer und Fallbackprüfer die Werte der Eigenschaften query, queryRoot und queryType des Ressourcentyps accessReviewReviewerScope fest.
Hinweis
Bei der Überprüfung von Gruppen, deren Mitgliedschaft über PIM für Gruppen gesteuert wird, werden nur aktive Besitzer als Prüfer zugewiesen. Berechtigte Besitzer sind nicht enthalten. Mindestens ein Fallbackprüfer ist erforderlich, um diese Gruppen zu überprüfen. Wenn zu Beginn der Überprüfung keine aktiven Besitzer vorhanden sind, werden die Fallbackprüfer der Überprüfung zugewiesen.
Beispiel 1: Eine Selbstüberprüfung
Um eine Selbstüberprüfung zu konfigurieren, geben Sie nicht die Reviewers-Eigenschaft an, oder geben Sie ein leeres Objekt für die Eigenschaft an.
Wenn der entsprechende Zugriffsüberprüfungsbereich auf B2B Direct Connect-Benutzer und -Teams mit freigegebenen Kanälen abzielt, wird dem Teambesitzer zugewiesen, den Zugriff für die B2B Direct Connect-Benutzer zu überprüfen.
"reviewers": []
Beispiel 2: Ein bestimmter Benutzer als Prüfer
"reviewers": [
{
"query": "/users/{userId}",
"queryType": "MicrosoftGraph"
}
]
Beispiel 3: Mitglieder einer Gruppe als Prüfer
"reviewers": [
{
"query": "/groups/{groupId}/transitiveMembers",
"queryType": "MicrosoftGraph"
}
]
Beispiel 4: Gruppenbesitzer als Prüfer
Wenn die Zugriffsüberprüfung auf eine Gruppe festgelegt ist, z. B. die Beispiele 1 bis 4 zum Konfigurieren eines Zugriffsüberprüfungsbereichs.
"reviewers": [
{
"query": "/groups/{groupId}/owners",
"queryType": "MicrosoftGraph"
}
]
Wenn die Zugriffsüberprüfung auf eine Gruppe festgelegt ist und nur die Gruppenbesitzer aus einem bestimmten Land als Prüfer zugewiesen werden sollen:
"reviewers": [
{
"query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
"type": "MicrosoftGraph"
}
]
Wenn die Zugriffsüberprüfung auf alle Gruppen festgelegt ist, z. B. die Beispiele 5-9 zum Konfigurieren eines Zugriffsüberprüfungsbereichs.
"reviewers": [
{
"query": "./owners",
"queryType": "MicrosoftGraph"
}
]
Beispiel 5: Personen Manager als Prüfer
Da ./manager eine relative Abfrage ist, geben Sie die queryRoot-Eigenschaft mit dem Wert decisionsan.
Wenn der entsprechende Zugriffsüberprüfungsbereich auf B2B Direct Connect-Benutzer und -Teams mit freigegebenen Kanälen abzielt, wird dem Teambesitzer zugewiesen, den Zugriff für die B2B Direct Connect-Benutzer zu überprüfen.
"reviewers": [
{
"query": "./manager",
"queryType": "MicrosoftGraph",
"queryRoot": "decisions"
}
]
Beispiel 6: Anwendungsbesitzer als Prüfer
"reviewers": [
{
"query": "/servicePrincipals/{servicePrincipalId}/owners",
"queryType": "MicrosoftGraph"
}
]
Verwandte Inhalte
- Konfigurieren des Umfangs Ihrer Zugriffsüberprüfungsdefinition
- Probieren Sie Tutorials aus, um zu erfahren, wie Sie die Zugriffsüberprüfungs-API verwenden, um den Zugriff auf Microsoft Entra Ressourcen zu überprüfen.