Общие сведения об API-интерфейсах проверки доступа
Пространство имен: microsoft.graph
Используйте Microsoft Entra проверки доступа, чтобы настроить одноразовые или повторяющиеся проверки доступа для подтверждения права субъекта на доступ к Microsoft Entra ресурсам. Субъектами являются пользователи или приложения (субъекты-службы). Ресурсы Microsoft Entra включают группы, приложения (субъекты-службы), пакеты доступа и привилегированные роли. Проверки доступа — это функция Управление Microsoft Entra ID.
Типичные сценарии для клиентов для проверок доступа включают:
- Клиенты могут просматривать и сертифицировать доступ гостевых пользователей к группам через членство в группах. Рецензенты могут использовать предоставленные аналитические сведения, чтобы эффективно решить, должны ли гости иметь постоянный доступ.
- Клиенты могут просматривать и сертифицировать доступ сотрудников к Microsoft Entra ресурсам.
- Клиенты могут просматривать и аудит назначений Microsoft Entra ID привилегированных ролей. Это позволяет организациям управлять привилегированным доступом.
Клиент, в котором создается проверка доступа или управляется с помощью API, должен иметь достаточно приобретенных или пробных лицензий. Дополнительные сведения о требованиях к лицензиям см. в разделе Требования к лицензиям проверки доступа.
Примечание.
В этой статье описывается экспорт персональных данных с устройства или службы. Эти действия можно использовать для поддержки ваших обязательств в соответствии с Общим регламентом по защите данных (GDPR). Авторизованные администраторы клиентов могут использовать Microsoft Graph для исправления, обновления или удаления идентифицируемой информации о конечных пользователях, включая профили пользователей и сотрудников или персональные данные, такие как имя пользователя, должность, адрес или номер телефона, в вашей среде Microsoft Entra ID.
Методы
В следующей таблице перечислены методы, которые можно использовать для взаимодействия с ресурсами, связанными с проверкой доступа.
| Метод | Тип возвращаемых данных | Описание |
|---|---|---|
| Определения расписания | ||
| Определения списков | коллекция accessReviewScheduleDefinition | Получите список объектов accessReviewScheduleDefinition и их свойств. |
| Создание определений | accessReviewScheduleDefinition | Создайте объект accessReviewScheduleDefinition . |
| Получение accessReviewScheduleDefinition | accessReviewScheduleDefinition | Чтение свойств и связей объекта accessReviewScheduleDefinition . |
| Обновление accessReviewScheduleDefinition | accessReviewScheduleDefinition | Обновите свойства объекта accessReviewScheduleDefinition . |
| Удаление accessReviewScheduleDefinition | Нет | Удаляет объект accessReviewScheduleDefinition . |
| filterByCurrentUser | коллекция accessReviewScheduleDefinition | Возвращает все определения, в которых вызывающий пользователь является рецензентом любых экземпляров. |
| Экземпляров | ||
| Перечисление экземпляров | коллекция accessReviewInstance | Получите список объектов accessReviewInstance и их свойств. |
| Получение accessReviewInstance | accessReviewInstance | Чтение свойств и связей объекта accessReviewInstance . |
| stop | Нет | Остановите accessReviewInstance вручную. |
| sendReminder | Нет | Отправьте рецензентам напоминание о accessReviewInstance. |
| resetDecisions | Нет | Сбрасывает все элементы решения для экземпляра в notReviewed |
| applyDecisions | Нет | Примените решение для accessReviewInstance вручную. |
| acceptRecommendations | Нет | Позволяет вызывающему пользователю принять рекомендацию по принятию решения для каждого доступа NotReviewed accessReviewInstanceDecisionItem, в которой он является рецензентом для определенного accessReviewInstance. |
| batchRecordDecisions | Нет | Просмотрите пакеты субъектов или ресурсов в одном вызове. |
| filterByCurrentUser | коллекция accessReviewInstance | Возвращает все объекты экземпляров в определении, для которого вызывающий пользователь является рецензентом. |
| Элементы принятия решений экземпляра | ||
| Список решений | коллекция accessReviewInstanceDecisionItem | Получите список объектов accessReviewInstanceDecisionItem и их свойств. |
| Получение accessReviewInstanceDecisionItem | accessReviewInstanceDecisionItem | Чтение свойств и связей объекта accessReviewInstanceDecisionItem . |
| Обновление accessReviewInstanceDecisionItem | accessReviewInstanceDecisionItem | Обновите свойства объекта accessReviewInstanceDecisionItem . |
| accessReviewInstanceDecisionItem: filterByCurrentUser | коллекция accessReviewInstanceDecisionItem | Возвращает элементы решения, для которых вызывающий пользователь является рецензентом. |
| Определения журнала | ||
| Журнал перечисленияDefinitions | коллекция accessReviewHistoryDefinition | Получите список объектов accessReviewHistoryDefinition и их свойств. |
| Создание журналаDefinitions | accessReviewHistoryDefinition | Создайте объект accessReviewHistoryDefinition . |
| Получение accessReviewHistoryDefinition | accessReviewHistoryDefinition | Чтение свойств и связей объекта accessReviewHistoryDefinition . |
| generateDownloadUri | accessReviewHistoryInstance | Создайте универсальный код ресурса (URI) для экземпляра, который можно использовать для получения данных журнала проверки. |
| Перечисление экземпляров | accessReviewHistoryInstance | Получите список объектов accessReviewHistoryInstance и их свойств. |
Проверки авторизации ролей и приложений
Следующие Microsoft Entra роли необходимы для вызывающего пользователя для управления проверками доступа.
| Operation | Разрешения приложений | Требуемая роль каталога вызывающего пользователя |
|---|---|---|
| Чтение | AccessReview.Read.All или AccessReview.ReadWrite.All | Глобальный администратор, глобальный читатель, администратор безопасности, читатель безопасности или администратор пользователей |
| Создание, обновление или удаление | AccessReview.ReadWrite.All | Глобальный администратор или администратор пользователей |
Кроме того, пользователь, назначаемый рецензентом проверки доступа, может управлять своими решениями без необходимости быть в роли каталога.
Связанные материалы
- Ознакомьтесь с руководствами, чтобы узнать, как использовать API проверок доступа для проверки доступа к Microsoft Entra ресурсам.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по