Arbeiten mit der Microsoft Entra-Berechtigungsverwaltungs-API
Namespace: microsoft.graph
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Die Berechtigungsverwaltung von Microsoft Entra kann Ihnen helfen, den Zugriff auf Gruppen, Anwendungen und SharePoint Online-Websites sowohl für interne Benutzer als auch für Benutzer außerhalb Ihrer Organisation zu verwalten.
Indem Sie Zugriffspakete mit den Rollen erstellen, die Benutzer für diese Ressourcen benötigen, und Richtlinien für die Personen definieren, die ein Zugriffspaket anfordern können und wie lange sie einem Zugriffspaket zugewiesen werden können, können Sie den Lebenszyklus des Zugriffs sowohl für interne als auch für externe Benutzer steuern.
Zu den Ressourcentypen für die Berechtigungsverwaltung gehören:
- accessPackage: Definiert die Sammlungen von Ressourcenrollen und die Richtlinien, wie ein oder mehrere Benutzer Zugriff auf diese Ressourcen erhalten können.
- accessPackageAssignmentPolicy: Gibt die Richtlinie an, mit der Antragsteller über eine Zugriffspaketzuweisung ein Zugriffspaket anfordern oder zugewiesen werden können.
- accessPackageAssignmentRequest: Wird von einem Benutzer erstellt, der eine Zugriffspaketzuweisung erhalten möchte.
- accessPackageAssignment: Eine Zuweisung eines Zugriffspakets zu einem bestimmten Thema für einen bestimmten Zeitraum.
- accessPackageAssignmentResourceRole: Gibt die ressourcenspezifische Rolle an, die einem Antragsteller über eine Zugriffspaketzuweisung zugewiesen wurde.
- accessPackageCatalog: Ein Container für Zugriffspakete.
- accessPackageResource: Ein Verweis auf eine Ressource, die einem Zugriffspaketkatalog zugeordnet ist.
- accessPackageResourceRequest: Eine Anforderung zum Hinzufügen einer Ressource zu einem Zugriffspaketkatalog.
- accessPackageResourceEnvironment: Ein Verweis auf die Geolocation der Ressource. Gilt für Multi-Geo SharePoint Online-Websites.
- connectedOrganization: Eine verbundene Organisation für externe Benutzer, die Zugriff anfordern können.
- entitlementManagementSettings: Mandantenweite Einstellungen für die Microsoft Entra-Berechtigungsverwaltung.
- genehmigung: Stellt die Entscheidungen dar, die einer Zugriffspaketanforderung zugeordnet sind.
Darüber hinaus können Sie Rollenzuweisungen für Benutzer, Benutzergruppen und Dienstprinzipale für berechtigungsverwaltungsspezifische Rollen mithilfe von Rollendefinitionen für die Berechtigungsverwaltung verwalten.
Ein Tutorial, in dem gezeigt wird, wie Sie mithilfe der Berechtigungsverwaltung ein Ressourcenpaket erstellen, das interne Benutzer self-Service anfordern können, finden Sie unter Erstellen eines Zugriffspakets mithilfe von Microsoft Graph-APIs.
Der Mandant, in dem die Berechtigungsverwaltung verwendet wird, muss über ausreichende erworbene oder Testlizenzen verfügen. Weitere Informationen zu lizenzanforderungen für das Berechtigungsverwaltungsfeature finden Sie unter Lizenzanforderungen für die Berechtigungsverwaltung.
Methoden
In der folgenden Tabelle sind die Methoden aufgeführt, die Sie für die Interaktion mit Ressourcen im Zusammenhang mit der Berechtigungsverwaltung verwenden können.
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Get | entitlementManagementSettings | Liest die Eigenschaften eines entitlementManagementSettings-Objekts . |
| Update | entitlementManagementSettings | Aktualisiert die Eigenschaften eines entitlementManagementSettings-Objekts . |
| AccessPackages auflisten | accessPackage-Sammlung | Ruft eine Liste von accessPackage-Objekten ab. |
| AccessPackage erstellen | accessPackage | Erstellen Sie ein neues accessPackage-Objekt . |
| AccessPackage abrufen | accessPackage | Liest Eigenschaften und Beziehungen eines accessPackage-Objekts . |
| Aktualisieren von accessPackage | Keine | Aktualisiert die Eigenschaften eines Accesspackage-Objekts . |
| AccessPackage löschen | Löschen Sie accessPackage. | |
| FilterByCurrentUser | accessPackage-Sammlung | Rufen Sie eine Liste der accessPackage-Objekte ab, die nach dem angemeldeten Benutzer gefiltert sind. |
| accessPackageResourceRoleScopes auflisten | accessPackageResourceRoleScope-Auflistung | Rufen Sie eine Liste der accessPackageResourceRoleScope-Objekte für ein Zugriffspaket ab. |
| Erstellen von accessPackageResourceRoleScope | Erstellen Sie ein neues accessPackageResourceRoleScope-Objekt für ein Zugriffspaket. | |
| InkompatibleAccessPackages auflisten | accessPackage-Sammlung | Ruft eine Liste der inkompatiblen AccessPackage-Objekte für dieses Zugriffspaket ab. |
| Hinzufügen von accessPackage zu "incompatibleAccessPackages" | Keine | Fügen Sie einen Link hinzu, um anzugeben, dass ein anderes AccessPackage mit einem angegebenen Zugriffspaket nicht kompatibel ist. |
| Entfernen von accessPackage aus inkompatibleAccessPackages | Keine | Entfernen Sie einen Link, der angibt, dass ein AccessPackage inkompatibel war. |
| InkompatibleGroups auflisten | group-Sammlung | Ruft eine Liste der inkompatiblen Gruppenobjekte für dieses Zugriffspaket ab. |
| Hinzufügen einer Gruppe zu "incompatibleGroups" | Keine | Fügen Sie einen Link hinzu, um anzugeben, dass die Mitgliedschaft in einer Gruppe mit einem angegebenen Zugriffspaket nicht kompatibel ist. |
| Entfernen einer Gruppe aus inkompatiblen Gruppen | Keine | Entfernen Sie einen Link, der angibt, dass eine Gruppenmitgliedschaft inkompatibel war. |
| accessPackagesIncompatibleWith auflisten | accessPackage-Sammlung | Rufen Sie eine Liste der Accesspackage-Objekte ab , die dieses Zugriffspaket als inkompatibel auflisten. |
| moveToCatalog | Keine | Verschieben eines Zugriffspakets in einen anderen Katalog. |
| accessPackageAssignmentPolicies auflisten | accessPackageAssignmentPolicy-Auflistung | Ruft eine Liste von accessPackageAssignmentPolicy-Objekten ab. |
| Erstellen von accessPackageAssignmentPolicy | accessPackageAssignmentPolicy | Erstellen Sie ein neues accessPackageAssignmentPolicy-Objekt . |
| Get accessPackageAssignmentPolicy | accessPackageAssignmentPolicy | Liest Eigenschaften und Beziehungen eines accessPackageAssignmentPolicy-Objekts . |
| Aktualisieren von accessPackageAssignmentPolicy | accessPackageAssignmentPolicy | Aktualisiert die Eigenschaften eines accessPackageAssignmentPolicy-Objekts . |
| accessPackageAssignmentPolicy löschen | Löschen sie eine accessPackageAssignmentPolicy. | |
| accessPackageAssignmentRequests auflisten | accessPackageAssignmentRequest-Auflistung | Ruft eine Liste von accessPackageAssignmentRequest-Objekten ab. |
| Erstellen von accessPackageAssignmentRequest | accessPackageAssignmentRequest | Erstellen Sie ein neues accessPackageAssignmentRequest.Create a new accessPackageAssignmentRequest. |
| Get accessPackageAssignmentRequest | accessPackageAssignmentRequest | Liest Eigenschaften und Beziehungen eines accessPackageAssignmentRequest-Objekts . |
| accessPackageAssignmentRequest löschen | Keine | Löschen Sie eine accessPackageAssignmentRequest. |
| FilterByCurrentUser | accessPackageAssignmentRequest-Auflistung | Rufen Sie die Liste der accessPackageAssignmentRequest-Objekte ab, die nach dem angemeldeten Benutzer gefiltert wurden. |
| cancel | accessPackageAssignmentRequest-Auflistung | Brechen Sie ein accessPackageAssignmentRequest-Objekt ab, das sich in einem abbruchfähigen Zustand befindet: accepted, pendingApproval, pendingNotBefore, pendingApprovalEscalated. |
| accessPackageAssignments auflisten | accessPackageAssignment-Auflistung | Ruft eine Liste von accessPackageAssignment-Objekten ab . |
| FilterByCurrentUser | accessPackageAssignment-Auflistung | Rufen Sie die Liste der accessPackageAssignment-Objekte ab, die nach dem angemeldeten Benutzer gefiltert wurden. |
| Verarbeiten | Keine | Automatisches Erneutes Auswerten und Erzwingen der Zuweisungen eines Benutzers für ein bestimmtes Zugriffspaket. |
| additionalAccessaccessPackageAssignment-Sammlung | Rufen Sie die Liste der accessPackageAssignment-Objekte für Benutzer ab, die Zuweisungen zu inkompatiblen Zugriffspaketen haben. | |
| accessPackageAssignmentResourceRoles auflisten | accessPackageAssignmentResourceRole-Auflistung | Ruft eine Liste von accessPackageAssignmentResourceRole-Objekten ab. |
| Get accessPackageAssignmentResourceRole | accessPackageAssignmentResourceRole | Rufen Sie ein accessPackageAssignmentResourceRole-Objekt ab. |
| accessPackageCatalogs auflisten | accessPackageCatalog-Sammlung | Rufen Sie eine Liste von accessPackageCatalogs-Objekten ab. |
| Erstellen von accessPackageCatalog | accessPackageCatalog | Erstellen Sie ein neues accessPackageCatalog-Objekt . |
| AccessPackageCatalog abrufen | accessPackageCatalog | Liest Eigenschaften und Beziehungen eines accessPackageCatalog-Objekts . |
| Aktualisieren von accessPackageCatalog | Keine | Aktualisieren sie die Eigenschaften eines accessPackageCatalog-Objekts . |
| accessPackageCatalog löschen | Löschen eines accessPackageCatalogs. | |
| Auflisten von accessPackageCatalog-Ressourcen | accessPackageResource-Auflistung | Rufen Sie eine Liste von accessPackageResource-Objekten ab. |
| Auflisten von accessPackageCatalog-Ressourcenrollen | accessPackageResourceRole-Auflistung | Ruft eine Liste von accessPackageResourceRole-Objekten ab. |
| accessPackageResourceRequests auflisten | accessPackageResourceRequest-Sammlung | Lesen von Eigenschaften und Beziehungen von accessPackageResourceRequest-Objekten . |
| Erstellen von accessPackageResourceRequest | accessPackageCatalog | Erstellen Sie ein neues accessPackageResourceRequest-Objekt . |
| accessPackageResourceEnvironments auflisten | accessPackageResourceEnvironment-Sammlung | Ruft eine Liste von accessPackageResourceEnvironment-Objekten ab. |
| AccessPackageResourceEnvironment abrufen | accessPackageResourceEnvironment | Liest die Eigenschaften und Beziehungen eines accessPackageResourceEnvironment-Objekts . |
| Auflisten von connectedOrganizations | connectedOrganization-Sammlung | Ruft eine Liste der connectedOrganization-Objekte ab . |
| Erstellen von connectedOrganization | connectedOrganization | Erstellen Sie ein neues connectedOrganization-Objekt . |
| Get connectedOrganization | connectedOrganization | Lesen von Eigenschaften und Beziehungen eines connectedOrganization-Objekts . |
| Aktualisieren von connectedOrganization | Keine | Aktualisieren sie eine connectedOrganization. |
| ConnectedOrganization löschen | Keine | Löschen sie eine connectedOrganization.Delete a connectedOrganization. |
| Auflisten von internalSponsors | directoryObject-Sammlung | Ruft eine Liste der internen Sponsoren einer connectedOrganization ab. |
| ExternalSponsors auflisten | directoryObject collection | Ruft eine Liste der externen Sponsoren einer connectedOrganization ab. |
| InternalSponsors hinzufügen | Keine | Fügen Sie einen Benutzer oder eine Gruppe zu den internen Sponsoren einer connectedOrganization hinzu. |
| ExternalSponsors hinzufügen | Keine | Fügen Sie einen Benutzer oder eine Gruppe den externen Sponsoren einer connectedOrganization hinzu. |
| internalSponsors entfernen | Keine | Entfernen Sie einen Benutzer oder eine Gruppe aus den internen Sponsoren einer connectedOrganization.Remove a user or group from a connectedOrganization's internal sponsors. |
| Genehmigung anfordern | Genehmigung | Ruft die Eigenschaften eines Genehmigungsobjekts ab. |
| Genehmigungsschritte auflisten | approvalStep-Sammlung | Listet die einem Genehmigungsobjekt zugeordneten approvalStep-Objekte auf. |
| Genehmigung abrufenSchritt | approvalStep | Ruft die Eigenschaften eines approvalStep-Objekts ab. |
| Genehmigungsschritt aktualisieren | Keine | Anwenden einer Genehmigungs- oder Ablehnungsentscheidung auf ein approvalStep-Objekt . |
Typen
- requestorSettings, approvalSettings, questions and assignmentReviewSettings : Wird in einer accessPackageAssignmentPolicy verwendet, um anzugeben, wer anfordern, wer genehmigt und wer Zugriffspaketzuweisungsanforderungen für diese Richtlinie überprüft.
- approvalStage : Wird in den approvalSettings verwendet, um die primären genehmigenden Personen, die Sicherung und die Eskalation anzugeben.
- approvalStep : Wird in der Genehmigung verwendet, um die verschiedenen Genehmigungsschritte zu unterscheiden.
- userSet-UntertypensingleUser, groupMembers, connectedOrganizationMembers, requestorManager, internalSponsors, externalSponsors und targetUserSponsors : Wird in requestorSettings, approvalStage, approvalStep und assignmentReviewSettings verwendet.
- accessPackageSubject : Wird in accessPackageAssignment als Antragstellerbenutzer verwendet, der über eine Zugriffspaketzuweisung verfügt.
- identitySource : Wird in connectedOrganization verwendet, einem von azureActiveDirectoryTenant, crossCloudAzureActiveDirectoryTenant, domainIdentitySource oder externalDomainFederation.