Назначение рецензентов для проверки доступа с помощью microsoft API Graph

  • Статья

API Azure AD проверок доступа позволяет программными средствами проверять доступ пользователей, субъектов-служб или групп к Azure AD ресурсам.

Основные рецензенты настраиваются в свойстве reviewers ресурса accessReviewScheduleDefinition . Кроме того, можно указать резервных рецензентов с помощью свойства fallbackReviewers . Эти свойства не требуются при создании самостоятельной проверки (когда пользователи просматривают собственный доступ).

Чтобы настроить рецензентов и резервных рецензентов, задайте значения свойств query, queryRoot и queryTypeaccessReviewReviewerScope. Описание этих свойств см. в разделе Тип ресурса accessReviewReviewerScope .

Примечание.

Проверка групп, членство в которых регулируется через PIM для групп, будет назначать только активных владельцев в качестве рецензентов. Соответствующие владельцы не включены. Для проверки этих групп требуется по крайней мере один резервный рецензент. Если в начале проверки нет активных владельцев, в нее будут назначены резервные рецензенты.

Пример 1. Самостоятельная проверка

"reviewers": []

Чтобы настроить самостоятельную проверку, не указывайте свойство рецензентов и не указывайте пустой объект в свойство .

Если соответствующая область проверки доступа предназначена для пользователей прямого подключения B2B и команд с общими каналами, владельцу команды будет назначена проверка доступа для пользователей прямого подключения B2B.

Пример 2. Конкретный пользователь в качестве рецензента

"reviewers": [
    {
        "query": "/users/{userId}",
        "queryType": "MicrosoftGraph"
    }
]

Пример 3. Члены группы в качестве рецензентов

"reviewers": [
    {
        "query": "/groups/{groupId}/transitiveMembers",
        "queryType": "MicrosoftGraph"
    }
]

Пример 4. Владельцы групп в качестве рецензентов

Если проверка доступа ограничена группой, например пример 1. Проверка всех пользователей, назначенных группе, Пример 2. Проверка всех гостевых пользователей, назначенных группе, и Пример 3. Проверка всех пользователей и групп, назначенных группе.

"reviewers": [
    {
        "query": "/groups/{groupId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

Если проверка доступа ограничена группой и назначает в качестве рецензентов только владельцев групп из определенной страны:

"reviewers": [
    {
        "query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
        "type": "MicrosoftGraph”
    }
]

Если проверка доступа ограничена всеми группами, например пример 4. Проверка всех пользователей, назначенных всем группам Microsoft 365, пример 5. Проверка всех гостевых пользователей, назначенных всем группам Microsoft 365, и Пример 6. Проверка всех гостевых пользователей, назначенных всем группам.

"reviewers": [
    {
        "query": "./owners",
        "queryType": "MicrosoftGraph"
    }
]

Пример 5. Люди руководителей в качестве рецензентов

"reviewers": [
    {
        "query": "./manager",
        "queryType": "MicrosoftGraph",
        "queryRoot": "decisions"
    }
]

Так как ./manager является относительным запросом, укажите свойство queryRoot со значением decisions.

Если соответствующая область проверки доступа предназначена для пользователей прямого подключения B2B и команд с общими каналами, владельцу команды будет назначена проверка доступа для пользователей прямого подключения B2B.

Пример 6. Владельцы приложений в качестве рецензентов

"reviewers": [
    {
        "query": "/servicePrincipals/{servicePrincipalId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

Дальнейшие действия