Поделиться через


Назначение рецензентов для проверки доступа с помощью API проверок доступа

API Microsoft Entra проверок доступа позволяет программно проверять доступ пользователей, субъектов-служб или групп к вашим Microsoft Entra ресурсам.

Основные рецензенты настраиваются в свойстве reviewers ресурса accessReviewScheduleDefinition . Кроме того, можно указать резервных рецензентов с помощью свойства fallbackReviewers . Эти свойства не требуются при создании самостоятельной проверки (когда пользователи просматривают собственный доступ).

Чтобы настроить рецензентов и резервных рецензентов, задайте значения свойств query, queryRoot и queryTypeдля типа ресурса accessReviewReviewerScope.

Примечание.

Проверка групп, членство в которых регулируется через PIM для групп, назначает только активных владельцев в качестве рецензентов. Соответствующие владельцы не включены. Для проверки этих групп требуется по крайней мере один резервный рецензент. Если в начале проверки нет активных владельцев, для проверки назначаются резервные рецензенты.

Пример 1. Самостоятельная проверка

Чтобы настроить самостоятельную проверку, не указывайте свойство рецензентов и не указывайте пустой объект в свойство .

Если соответствующая проверка доступа область предназначена для пользователей прямого подключения B2B и команд с общими каналами, владельцу команды назначается проверка доступа для пользователей прямого подключения B2B.

"reviewers": []

Пример 2. Конкретный пользователь в качестве рецензента

"reviewers": [
    {
        "query": "/users/{userId}",
        "queryType": "MicrosoftGraph"
    }
]

Пример 3. Участники группы в качестве рецензентов

"reviewers": [
    {
        "query": "/groups/{groupId}/transitiveMembers",
        "queryType": "MicrosoftGraph"
    }
]

Пример 4. Владельцы групп в качестве рецензентов

Например, если проверка доступа ограничена группой, примеры 1–4 для настройки проверки доступа область.

"reviewers": [
    {
        "query": "/groups/{groupId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

Если проверка доступа ограничена группой и назначает в качестве рецензентов только владельцев групп из определенной страны:

"reviewers": [
    {
        "query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
        "type": "MicrosoftGraph"
    }
]

Например, если проверка доступа ограничена всеми группами, примеры 5–9 для настройки проверки доступа область.

"reviewers": [
    {
        "query": "./owners",
        "queryType": "MicrosoftGraph"
    }
]

Пример 5. Люди руководителей в качестве рецензентов

Так как ./manager является относительным запросом, укажите свойство queryRoot со значением decisions.

Если соответствующая проверка доступа область предназначена для пользователей прямого подключения B2B и команд с общими каналами, владельцу команды назначается проверка доступа для пользователей прямого подключения B2B.

"reviewers": [
    {
        "query": "./manager",
        "queryType": "MicrosoftGraph",
        "queryRoot": "decisions"
    }
]

Пример 6. Владельцы приложений в качестве рецензентов

"reviewers": [
    {
        "query": "/servicePrincipals/{servicePrincipalId}/owners",
        "queryType": "MicrosoftGraph"
    }
]