Überprüfen des Zugriffs auf Sicherheitsgruppen mithilfe von Zugriffsüberprüfungs-APIs

  • Artikel

Die Zugriffsüberprüfungs-API in Microsoft Graph ermöglicht Es Organisationen, den Zugriff zu überwachen und zu bestätigen, dass Identitäten (auch Prinzipale genannt) Ressourcen im organization zugewiesen werden. Sie können Sicherheitsgruppen verwenden, um den Zugriff auf Ressourcen in Ihrem organization effizient zu verwalten. Beispielsweise zugriff auf eine SharePoint-Website, die Marketing-Playbooks enthält. Mithilfe der Zugriffsüberprüfungs-API können Organisationen in regelmäßigen Abständen Prinzipalen, die Zugriff auf solche Gruppen haben, und ressourcen im organization nachweisen.

In diesem Tutorial wird Folgendes vermittelt:

  • Erstellen Sie eine wiederkehrende Zugriffsüberprüfung von Mitgliedschaften in Sicherheitsgruppen.
  • Bestätigen Sie selbst, dass der Zugriff auf eine Gruppe beibehalten werden muss.

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:

  • Ein Funktionierender Microsoft Entra Mandant mit aktivierter Microsoft Entra ID P2- oder Microsoft Entra ID Governance-Lizenz.
  • Zwei Testgäste und eine Testsicherheitsgruppe in Ihrem Mandanten. Die Gäste sollten Mitglieder der Gruppe sein, und die Gruppe sollte mindestens einen Besitzer haben.
  • Melden Sie sich bei einem API-Client wie Graph Explorer an, um Microsoft Graph mit einem Konto aufzurufen, das mindestens über die Rolle Identity Governance-Administrator verfügt.
    • [Optional] Öffnen Sie ein neues Inkognito-, anonymes oder InPrivate-Browserfenster . Sie melden sich später in diesem Tutorial an.
  • Gewähren Sie sich die folgenden delegierten Berechtigungen: AccessReview.ReadWrite.All.

Hinweis

Überprüfung von Gruppen, die von PIM gesteuert werden, weisen nur aktive Besitzer als Prüfer zu. Berechtigte Besitzer sind nicht enthalten. Für die Zugriffsüberprüfung von Gruppen, die von PIM gesteuert werden, ist mindestens ein Fallbackprüfer erforderlich. Wenn zu Beginn der Überprüfung keine aktiven Besitzer vorhanden sind, wird den Fallbackprüfern die Überprüfung zugewiesen.

Schritt 1: Erstellen einer Zugriffsüberprüfung für die Sicherheitsgruppe

Anforderung

Ersetzen Sie in diesem Aufruf die folgenden Werte:

  • eb75ccd2-59ef-48b7-8f76-cc3f33f899f4 mit der ID der Sicherheitsgruppe.
  • Der Wert von startDate mit dem heutigen Datum und dem Wert endDate mit einem Datum fünf Tage nach dem Startdatum.

Die Zugriffsüberprüfung verfügt über die folgenden Einstellungen:

  • Es handelt sich um eine sich selbst bestätigende Überprüfung, die abgeleitet wird, wenn Sie keinen Wert für die Reviewers-Eigenschaft angeben. Daher bestätigt jedes Gruppenmitglied selbst, dass es den Zugriff auf die Gruppe beibehalten muss.
  • Der Umfang der Überprüfung ist sowohl direkte als auch transitive Mitglieder der Gruppe.
  • Der Prüfer muss begründen, warum er Zugriff auf die Gruppe behalten muss.
  • Die Standardentscheidung istDeny, wenn die Prüfer nicht auf die Zugriffsüberprüfungsanforderung reagieren, bevor die instance abläuft. Die Deny Entscheidung entfernt die Gruppenmitglieder aus der Gruppe.
  • Es handelt sich um eine einmalige Zugriffsüberprüfung, die nach fünf Tagen endet. Daher muss sich der Benutzer, sobald der Zugriff gewährt wurde, innerhalb des Zugriffsüberprüfungszeitraums nicht mehr selbst bestätigen.
  • Die Prinzipale, die im Bereich der Überprüfung definiert sind, erhalten E-Mail-Benachrichtigungen und Erinnerungen, in denen sie aufgefordert werden, sich selbst zu bestätigen, dass sie den Zugriff beibehalten müssen.
POST https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions
Content-type: application/json

{
    "displayName": "One-time self-review for members of Building security",
    "descriptionForAdmins": "One-time self-review for members of Building security",
    "descriptionForReviewers": "One-time self-review for members of Building security",
    "scope": {
        "query": "/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4/transitiveMembers",
        "queryType": "MicrosoftGraph"
    },
    "instanceEnumerationScope": {
        "query": "/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
        "queryType": "MicrosoftGraph"
    },
    "settings": {
        "mailNotificationsEnabled": true,
        "reminderNotificationsEnabled": true,
        "justificationRequiredOnApproval": true,
        "defaultDecisionEnabled": true,
        "defaultDecision": "Deny",
        "instanceDurationInDays": 5,
        "autoApplyDecisionsEnabled": true,
        "recommendationsEnabled": true,
        "recurrence": {
            "pattern": null,
            "range": {
                "type": "numbered",
                "numberOfOccurrences": 0,
                "recurrenceTimeZone": null,
                "startDate": "2024-03-21",
                "endDate": "2024-03-30"
            }
        }
    }
}

Antwort

Der status der Zugriffsüberprüfung ist NotStarted. Sie können die Zugriffsüberprüfung (GET https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b) abrufen, um die status zu überwachen. Wenn ihr status InProgress ist, wurden Instanzen für die Zugriffsüberprüfung erstellt, und Entscheidungen können gepostet werden. Sie können auch die Zugriffsüberprüfung abrufen, um die vollständigen Einstellungen anzuzeigen.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/accessReviews/definitions/$entity",
    "id": "2d56c364-0695-4ec6-8b92-4c1db7c80f1b",
    "displayName": "One-time self-review for members of Building security",
    "createdDateTime": null,
    "lastModifiedDateTime": null,
    "status": "NotStarted",
    "descriptionForAdmins": "One-time self-review for members of Building security",
    "descriptionForReviewers": "One-time self-review for members of Building security",
    "scope": {},
    "instanceEnumerationScope": {},
    "reviewers": [],
    "fallbackReviewers": [],
    "settings": {
        "mailNotificationsEnabled": true,
        "reminderNotificationsEnabled": true,
        "justificationRequiredOnApproval": true,
        "defaultDecisionEnabled": true,
        "defaultDecision": "Deny",
        "instanceDurationInDays": 5,
        "autoApplyDecisionsEnabled": true,
        "recommendationsEnabled": true,
        "recommendationLookBackDuration": null,
        "decisionHistoriesForReviewersEnabled": false,
        "recurrence": {
            "pattern": null,
            "range": {
                "type": "numbered",
                "numberOfOccurrences": 0,
                "recurrenceTimeZone": null,
                "startDate": "2024-03-21",
                "endDate": "2024-03-30"
            }
        },
        "applyActions": [],
        "recommendationInsightSettings": []
    },
    "stageSettings": [],
    "additionalNotificationRecipients": []
}

Schritt 2: Auflisten von Instanzen der Zugriffsüberprüfung

Sobald die status der Zugriffsüberprüfung als InProgressgekennzeichnet ist, führen Sie die folgende Abfrage aus, um alle Instanzen der Zugriffsüberprüfungsdefinition aufzulisten. Da Sie im vorherigen Schritt eine einmalige Zugriffsüberprüfung erstellt haben, gibt die Anforderung nur eine instance mit einer ID wie der ID der Zeitplandefinition zurück.

Anforderung

GET https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/instances

Antwort

In dieser Antwort liegt InProgress der status des instance daran, dass startDateTime vorbei und endDateTime in der Zukunft liegt. Wenn startDateTime in der Zukunft liegt, lautet NotStarteddie status . Wenn endDateTime hingegen in der Vergangenheit liegt, ist Completeddie status .

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/accessReviews/definitions('2d56c364-0695-4ec6-8b92-4c1db7c80f1b')/instances",
    "value": [
        {
            "id": "2d56c364-0695-4ec6-8b92-4c1db7c80f1b",
            "startDateTime": "2024-03-21T17:35:25.24Z",
            "endDateTime": "2024-03-30T08:00:00Z",
            "status": "InProgress",
            "scope": {
                "@odata.type": "#microsoft.graph.accessReviewQueryScope",
                "query": "/v1.0/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4/transitiveMembers/microsoft.graph.user",
                "queryType": "MicrosoftGraph",
                "queryRoot": null
            },
            "reviewers": [],
            "fallbackReviewers": []
        }
    ]
}

Schritt 3: Überprüfen, wer für die Überprüfung kontaktiert wurde

Sie können bestätigen, dass alle Mitglieder der Sicherheitsgruppe kontaktiert wurden, um ihre Überprüfungsentscheidungen für diese instance der Zugriffsüberprüfung zu veröffentlichen.

Anforderung

GET https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/instances/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/contactedReviewers

Antwort

Die folgende Antwort zeigt, dass die beiden Mitglieder der Sicherheitsgruppe über ihre ausstehende Überprüfung benachrichtigt wurden.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/accessReviews/definitions('2d56c364-0695-4ec6-8b92-4c1db7c80f1b')/instances('2d56c364-0695-4ec6-8b92-4c1db7c80f1b')/contactedReviewers",
    "@odata.count": 2,
    "value": [
        {
            "id": "3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
            "displayName": "Adele Vance",
            "userPrincipalName": "AdeleV@Contoso.com",
            "createdDateTime": "2024-03-21T17:35:34.4092545Z"
        },
        {
            "id": "bf59c5ba-5304-4c9b-9192-e5a4cb8444e7",
            "displayName": "Alex Wilber",
            "userPrincipalName": "AlexW@Contoso.com",
            "createdDateTime": "2024-03-21T17:35:34.4092545Z"
        }
    ]
}

Schritt 4: Abrufen von Entscheidungen

Sie sind an den Entscheidungen interessiert, die für die instance der Zugriffsüberprüfung getroffen wurden.

Anforderung

GET https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/instances/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/decisions

Antwort

Die folgende Antwort zeigt die Entscheidungen, die am instance der Überprüfung getroffen wurden. Da die Sicherheitsgruppe über zwei Mitglieder verfügt, werden zwei Entscheidungselemente erwartet.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/accessReviews/definitions('2d56c364-0695-4ec6-8b92-4c1db7c80f1b')/instances('2d56c364-0695-4ec6-8b92-4c1db7c80f1b')/decisions",
    "@odata.count": 2,
    "value": [
        {
            "id": "4db68765-472d-4aa2-847a-433ea94bcfaf",
            "accessReviewId": "2d56c364-0695-4ec6-8b92-4c1db7c80f1b",
            "reviewedDateTime": null,
            "decision": "NotReviewed",
            "justification": "",
            "appliedDateTime": null,
            "applyResult": "New",
            "recommendation": "Approve",
            "principalLink": "https://graph.microsoft.com/v1.0/users/bf59c5ba-5304-4c9b-9192-e5a4cb8444e7",
            "resourceLink": "https://graph.microsoft.com/v1.0/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
            "reviewedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "appliedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "resource": {
                "id": "eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
                "displayName": "Building security",
                "type": "group"
            },
            "principal": {
                "@odata.type": "#microsoft.graph.userIdentity",
                "id": "bf59c5ba-5304-4c9b-9192-e5a4cb8444e7",
                "displayName": "Alex Wilber",
                "type": "user",
                "userPrincipalName": "AlexW@Contoso.com",
                "lastUserSignInDateTime": "2/11/2022 5:31:37 PM +00:00"
            }
        },
        {
            "id": "c7de8fba-4d6a-4fab-a659-62ff0c02643d",
            "accessReviewId": "2d56c364-0695-4ec6-8b92-4c1db7c80f1b",
            "reviewedDateTime": null,
            "decision": "NotReviewed",
            "justification": "",
            "appliedDateTime": null,
            "applyResult": "New",
            "recommendation": "Approve",
            "principalLink": "https://graph.microsoft.com/v1.0/users/3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
            "resourceLink": "https://graph.microsoft.com/v1.0/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
            "reviewedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "appliedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "resource": {
                "id": "eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
                "displayName": "Building security",
                "type": "group"
            },
            "principal": {
                "@odata.type": "#microsoft.graph.userIdentity",
                "id": "3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
                "displayName": "Adele Vance",
                "type": "user",
                "userPrincipalName": "AdeleV@Contoso.com",
                "lastUserSignInDateTime": "2/11/2022 4:58:13 PM +00:00"
            }
        }
    ]
}

Aus dem Aufruf weist die decision-Eigenschaft den Wert von NotReviewed auf, da die Gruppenmitglieder ihren Selbstnachweis nicht abgeschlossen haben. Im nächsten Schritt wird gezeigt, wie jedes Mitglied seinen Bedarf an Zugriffsüberprüfung selbst bestätigen kann.

Schritt 5: Selbstbestätigung einer ausstehenden Zugriffsentscheidung

Sie haben die Zugriffsüberprüfung als selbstnachweisend konfiguriert. Diese Konfiguration erfordert, dass beide Mitglieder der Gruppe selbst bestätigen, dass sie ihren Zugriff auf die Gruppe beibehalten müssen.

Hinweis

Führen Sie diesen Schritt als eines der beiden Mitglieder der Sicherheitsgruppe aus.

In diesem Schritt listen Sie Ihre ausstehenden Zugriffsüberprüfungen auf und schließen dann den Selbstnachweisprozess ab. Sie können diesen Schritt auf eine von zwei Arten ausführen, indem Sie die API oder das Portal "Mein Zugriff" verwenden. Der andere Prüfer bestätigt sich nicht selbst, und stattdessen werden die Standardentscheidungen auf seine Zugriffsüberprüfung angewendet.

Starten Sie eine neue Inkognito-, anonyme oder InPrivate-Browsersitzung , und melden Sie sich als eines der beiden Mitglieder der Sicherheitsgruppe an. Dadurch unterbrechen Sie ihre aktuelle Administratorsitzung nicht. Alternativ können Sie Ihre aktuelle Administratorsitzung unterbrechen, indem Sie sich bei Graph Explorer abmelden und sich als eines der beiden Gruppenmitglieder wieder anmelden.

Methode 1: Verwenden der Zugriffsüberprüfungs-API zur Selbstüberprüfung ausstehender Zugriff

Auflisten ihrer Entscheidungselemente für Zugriffsüberprüfungen

Anforderung
GET https://graph.microsoft.com/v1.0/identitygovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/instances/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/decisions/filterByCurrentUser(on='reviewer')
Antwort

In der Antwort haben Sie (Adele Vance) eine ausstehende Zugriffsüberprüfung (Entscheidung ist NotReviewed), die Sie selbst bestätigen können. Die Eigenschaften prinzipal und resource geben den Prinzipal an, für den die Entscheidung gilt, und die Ressource, auf die der Zugriff überprüft wird. In diesem Fall adele Vance bzw. die Sicherheitsgruppe.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(accessReviewInstanceDecisionItem)",
    "@odata.count": 1,
    "value": [
        {
            "@odata.type": "#microsoft.graph.accessReviewInstanceDecisionItem",
            "id": "c7de8fba-4d6a-4fab-a659-62ff0c02643d",
            "accessReviewId": "2d56c364-0695-4ec6-8b92-4c1db7c80f1b",
            "reviewedDateTime": null,
            "decision": "NotReviewed",
            "justification": "",
            "appliedDateTime": null,
            "applyResult": "New",
            "recommendation": "Approve",
            "principalLink": "https://graph.microsoft.com/v1.0/users/3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
            "resourceLink": "https://graph.microsoft.com/v1.0/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
            "reviewedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "appliedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "resource": {
                "id": "eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
                "displayName": "Building security",
                "type": "group"
            },
            "principal": {
                "@odata.type": "#microsoft.graph.userIdentity",
                "id": "3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
                "displayName": "Adele Vance",
                "type": "user",
                "userPrincipalName": "AdeleV@Contoso.com",
                "lastUserSignInDateTime": "2/15/2022 9:35:23 AM +00:00"
            }
        }
    ]
}

Aufzeichnen einer Entscheidung

Um die Zugriffsüberprüfung abzuschließen, bestätigt Adele Vance, dass der Zugriff auf die Sicherheitsgruppe beibehalten werden muss.

Die Anforderung gibt einen 204 No Content Antwortcode zurück.

PATCH https://graph.microsoft.com/v1.0/identitygovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/instances/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/decisions/c7de8fba-4d6a-4fab-a659-62ff0c02643d

{
    "decision": "Approve",
    "justification": "As the assistant security manager, I still need access to the building security group."
}

Überprüfen der Entscheidungen

Um die Entscheidungen zu überprüfen, die Sie für Ihre Zugriffsüberprüfung aufgezeichnet haben, listen Sie Ihre Entscheidungselemente für die Zugriffsüberprüfung auf. Während der Zeitraum für die Zugriffsüberprüfung noch nicht abgelaufen ist und die Entscheidungen angewendet wurden, wird applyResult als New gekennzeichnet, und Sie können die Entscheidung ändern.

Sie können sich jetzt abmelden und die Inkognito-Browsersitzung beenden.

Methode 2: Verwenden des Portals "Mein Zugriff"

Alternativ können Sie Ihre ausstehenden Zugriffsüberprüfungsinstanzen über das Portal "Mein Zugriff" überprüfen.

  • Listet die ausstehenden Zugriffsüberprüfungen auf. Der Benutzer kann eine von zwei Möglichkeiten verwenden, um dorthin zu gelangen:

    • Option 1: Wählen Sie die Schaltfläche Zugriff überprüfen aus der E-Mail-Benachrichtigung aus, die sie in ihrem E-Mail-Posteingang erhalten haben. Die E-Mail-Benachrichtigung ähnelt dem folgenden Screenshot. Diese Schaltfläche ist ein direkter Link zur ausstehenden Zugriffsüberprüfung.

    Email Benachrichtigung, um Ihren Zugriff zu überprüfen.

    • Option 2: Wechseln Sie zum Portal "Mein Zugriff ". Wählen Sie das Menü Zugriffsüberprüfungen und dann die Registerkarte Gruppen und Apps aus.

  • Wählen Sie in der Liste der Zugriffsüberprüfungen die Zugriffsüberprüfung aus, für die Sie die Entscheidung veröffentlichen möchten. Wählen Sie Ja aus, um die Entscheidung zu veröffentlichen, dass Sie weiterhin Zugriff auf Gebäudesicherheit benötigen. Geben Sie einen Grund ein, und wählen Sie dann Absenden aus.

    Bestätigen Sie selbst, dass der Zugriff auf eine Ressource beibehalten werden muss.

Sie können sich jetzt abmelden und die Inkognito-Browsersitzung beenden.

Schritt 6: Bestätigen der Entscheidungen und der status der Zugriffsüberprüfung

Wiederholen Sie in der Standard Browsersitzung, in der Sie noch mit Administratorrechten angemeldet sind, Schritt 4, um festzustellen, dass die Decision-Eigenschaft für Adele Vance jetzt Approveist. Wenn die Zugriffsüberprüfung endet oder abläuft, wird die Standardentscheidung von Deny für Alex Wilber aufgezeichnet. Die Entscheidungen werden dann automatisch angewendet, da autoApplyDecisionsEnabled auf true festgelegt wurde und der Zeitraum der Zugriffsüberprüfung beendet instance. Adele behält zugriff auf die Sicherheitsgruppe, während Alex automatisch aus der Gruppe entfernt wird.

Herzlichen Glückwunsch! Sie haben eine Zugriffsüberprüfung erstellt und ihre Notwendigkeit, den Zugriff aufrechtzuerhalten, selbst bestätigt. Sie haben sich nur einmal selbst bestätigt und behalten Ihren Zugriff, bis er entweder durch eine Entscheidung einer anderen Zugriffsüberprüfung instance oder durch einen Deny anderen internen Prozess entfernt wird.

Schritt 7: Ressourcen bereinigen

In diesem Aufruf löschen Sie die Zugriffsüberprüfungsdefinition. Da die Definition des Zugriffsüberprüfungszeitplans die Blaupause für die Zugriffsüberprüfung ist, werden beim Löschen der Definition die zugehörigen Einstellungen, Instanzen und Entscheidungen entfernt.

Die Anforderung gibt einen 204 No Content Antwortcode zurück.

DELETE https://graph.microsoft.com/beta/identityGovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b

Zusammenfassung

Sie haben eine Zugriffsüberprüfung erstellt, bei der die Prinzipale selbst bestätigt haben, dass sie ihren Zugriff auf eine Ressource beibehalten müssen, in diesem Fall die Sicherheitsgruppe Gebäude .

In diesem Tutorial wurde eines der Szenarien der Microsoft Entra-Zugriffsüberprüfungs-API veranschaulicht. Die Zugriffsüberprüfungs-API unterstützt verschiedene Szenarien durch eine Kombination aus Ressourcen, Prinzipalen und Prüfern, die Ihren Anforderungen an den Zugriffsnachweis entsprechen. Weitere Informationen finden Sie in der Zugriffsüberprüfungs-API.

Verwandte Inhalte