Microsoft Entra проверки доступа (не рекомендуется)
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Предостережение
Эта версия API проверки доступа устарела и перестанет возвращать данные 19 мая 2023 г. Используйте API проверок доступа.
Вы можете использовать Microsoft Entra проверки доступа для настройки однократных или повторяющихся проверок доступа для аттестации прав доступа пользователя.
Типичные сценарии клиентов для проверок доступа для членства в группах и доступа к приложениям:
Клиенты могут просматривать и сертифицировать доступ гостевых пользователей с помощью проверок доступа к приложениям и членства в группах. Рецензенты могут использовать предоставленные аналитические сведения, чтобы эффективно решить, должны ли гости иметь постоянный доступ.
Клиенты могут проверять и сертифицировать доступ сотрудников к приложениям и членства в группах с помощью проверок доступа.
Клиенты могут собирать элементы управления проверкой доступа в программы, относящиеся к вашей организации для отслеживания проверок соответствия требованиям или приложений, чувствительных к риску.
Кроме того, клиенты могут просматривать и сертифицировать назначения ролей администраторов, которым назначены Microsoft Entra роли, такие как глобальный администратор или роли подписки Azure. Эта возможность включена в Microsoft Entra управление привилегированными пользователями.
Клиент, в котором создается проверка доступа или управляется с помощью API, должен иметь достаточно приобретенных или пробных лицензий. Дополнительные сведения о требованиях к лицензиям см. в разделе Требования к лицензиям проверки доступа.
Перед созданием проверки доступа, программы или управления программой администратор должен предварительно подключиться для подготовки ресурсов programControlType и businessFlowTemplate . Организация может подключиться к Microsoft Entra проверки доступа или, в случае проверок доступа Microsoft Entra ролей или ролей подписки Azure, Microsoft Entra PIM.
Методы
В следующей таблице перечислены методы, которые можно использовать для взаимодействия с ресурсами, связанными с проверкой доступа.
| Метод | Тип возвращаемых данных | Описание |
|---|---|---|
| Получение доступаОбзор | accessReview | Получите проверку доступа с определенным идентификатором. |
| Создание accessReview | accessReview | Создайте доступОбзор. |
| Удаление accessReview | Нет. | Удаление accessReview. |
| Обновление accessReview | accessReview | Обновление accessReview. |
| Список accessReviews | коллекция accessReview | Вывод списка accessReviews для объекта businessFlowTemplate. |
| Список доступаОбзор рецензентов | Коллекция userIdentity | Получение рецензентов accessReview. |
| Добавление рецензента accessReview | Нет. | Добавление рецензента в accessReview. |
| Удаление accessОбзор рецензента | Нет. | Удаление рецензента из accessReview. |
| Список доступаОтозвление решений | коллекция accessReviewDecision | Получение решений accessReview. |
| Вывод списка моих решений о доступе | коллекция accessReviewDecision | Как рецензент, получите мои решения accessReview. |
| Отправка напоминания о доступеОбзор | Нет. | Отправьте рецензентам напоминание о accessReview. |
| Остановка доступаОбзор | Нет. | Остановите accessReview. |
| Сброс доступаПросмотр решений | Нет. | Сбросьте решения в выполняется accessReview. |
| Применение доступаРешеть решения о просмотре | Нет. | Примените решения из завершенного доступаReview. |
| Перечисление businessFlowTemplates | Коллекция businessFlowTemplate | Получите шаблоны бизнес-потоков, подходящие для проверок доступа. |
| Создание программы | Программа | Создайте новую программу. |
| Удаление программы | Нет. | Удаление программы. |
| Перечисление программ | коллекция программ | Получите коллекцию всех программ. |
| Вывод списка элементов управления программой | Коллекция programControl | Получение коллекции элементов управления программы. |
| Обновление программы | Программа | Обновление программы. |
| Создание programControl | programControl | Добавьте programControl в программу. |
| Удаление programControl | Нет. | Удалите programControl из программы. |
| Перечисление элементов programControls | Коллекция programControl | Перечисление элементов управления во всех программах в клиенте. |
| Вывод списка programControlTypes | Коллекция programControlType | Вывод списка типов элементов управления программы. |
Проверки авторизации ролей и приложений
Для управления проверками доступа, программами и элементами управления для вызывающего пользователя требуются следующие роли каталога.
| Целевой ресурс | Operation | Разрешения приложений | Требуемая роль каталога вызывающего пользователя |
|---|---|---|---|
| accessОбзор роли Microsoft Entra | Чтение | AccessReview.Read.All или AccessReview.ReadWrite.All | Глобальный администратор, глобальный читатель, администратор безопасности, читатель безопасности или администратор привилегированных ролей |
| accessОбзор роли Microsoft Entra | Создание, обновление или удаление | AccessReview.ReadWrite.All | Глобальный администратор или администратор привилегированных ролей |
| accessОбзор группы или приложения | Чтение | AccessReview.Read.All, AccessReview.ReadWrite.Membership или AccessReview.ReadWrite.All | Глобальный администратор, глобальный читатель, администратор безопасности, читатель безопасности или администратор пользователей |
| accessОбзор группы или приложения | Создание, обновление или удаление | AccessReview.ReadWrite.Membership или AccessReview.ReadWrite.All | Глобальный администратор или администратор пользователей |
| program и programControl | Чтение | ProgramControl.Read.All или ProgramControl.ReadWrite.All | Глобальный администратор, глобальный читатель, администратор безопасности, читатель безопасности или администратор пользователей |
| program и programControl | Создание, обновление или удаление | ProgramControl.ReadWrite.All | Глобальный администратор или администратор пользователей |
Кроме того, пользователь, назначаемый рецензентом проверки доступа, может управлять своими решениями без необходимости быть в роли каталога.
Связанные материалы
- Как администратор может управлять доступом пользователей с помощью Microsoft Entra проверок доступа
- Как администратор может управлять гостевым доступом с помощью проверок доступа Microsoft Entra
- Как администратор может управлять программами и элементами управления для Microsoft Entra проверок доступа
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по