Назначение рецензентов для проверки доступа с помощью API проверок доступа
API Microsoft Entra проверок доступа позволяет программно проверять доступ пользователей, субъектов-служб или групп к вашим Microsoft Entra ресурсам.
Основные рецензенты настраиваются в свойстве reviewers ресурса accessReviewScheduleDefinition . Кроме того, можно указать резервных рецензентов с помощью свойства fallbackReviewers . Эти свойства не требуются при создании самостоятельной проверки (когда пользователи просматривают собственный доступ).
Чтобы настроить рецензентов и резервных рецензентов, задайте значения свойств query, queryRoot и queryTypeдля типа ресурса accessReviewReviewerScope.
Примечание.
Проверка групп, членство в которых регулируется через PIM для групп, назначает только активных владельцев в качестве рецензентов. Соответствующие владельцы не включены. Для проверки этих групп требуется по крайней мере один резервный рецензент. Если в начале проверки нет активных владельцев, для проверки назначаются резервные рецензенты.
Пример 1. Самостоятельная проверка
Чтобы настроить самостоятельную проверку, не указывайте свойство рецензентов и не указывайте пустой объект в свойство .
Если соответствующая проверка доступа область предназначена для пользователей прямого подключения B2B и команд с общими каналами, владельцу команды назначается проверка доступа для пользователей прямого подключения B2B.
"reviewers": []
Пример 2. Конкретный пользователь в качестве рецензента
"reviewers": [
{
"query": "/users/{userId}",
"queryType": "MicrosoftGraph"
}
]
Пример 3. Участники группы в качестве рецензентов
"reviewers": [
{
"query": "/groups/{groupId}/transitiveMembers",
"queryType": "MicrosoftGraph"
}
]
Пример 4. Владельцы групп в качестве рецензентов
Например, если проверка доступа ограничена группой, примеры 1–4 для настройки проверки доступа область.
"reviewers": [
{
"query": "/groups/{groupId}/owners",
"queryType": "MicrosoftGraph"
}
]
Если проверка доступа ограничена группой и назначает в качестве рецензентов только владельцев групп из определенной страны:
"reviewers": [
{
"query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
"type": "MicrosoftGraph"
}
]
Например, если проверка доступа ограничена всеми группами, примеры 5–9 для настройки проверки доступа область.
"reviewers": [
{
"query": "./owners",
"queryType": "MicrosoftGraph"
}
]
Пример 5. Люди руководителей в качестве рецензентов
Так как ./manager является относительным запросом, укажите свойство queryRoot со значением decisions.
Если соответствующая проверка доступа область предназначена для пользователей прямого подключения B2B и команд с общими каналами, владельцу команды назначается проверка доступа для пользователей прямого подключения B2B.
"reviewers": [
{
"query": "./manager",
"queryType": "MicrosoftGraph",
"queryRoot": "decisions"
}
]
Пример 6. Владельцы приложений в качестве рецензентов
"reviewers": [
{
"query": "/servicePrincipals/{servicePrincipalId}/owners",
"queryType": "MicrosoftGraph"
}
]
Связанные материалы
- Настройка область определения проверки доступа
- Ознакомьтесь с руководствами, чтобы узнать, как использовать API проверок доступа для проверки доступа к Microsoft Entra ресурсам
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по