Общие сведения об API-интерфейсах проверки доступа
Пространство имен: microsoft.graph
Используйте проверки доступа Microsoft Entra , чтобы настроить одноразовые или повторяющиеся проверки доступа для подтверждения права субъекта на доступ к ресурсам Microsoft Entra. Субъектами являются пользователи или приложения (субъекты-службы). Ресурсы Microsoft Entra включают группы, приложения (субъекты-службы), пакеты доступа и привилегированные роли. Проверки доступа — это функция управления идентификаторами Microsoft Entra.
Типичные сценарии для клиентов для проверок доступа включают:
- Клиенты могут просматривать и сертифицировать доступ гостевых пользователей к группам через членство в группах. Рецензенты могут использовать предоставленные аналитические сведения, чтобы эффективно решить, должны ли гости иметь постоянный доступ.
- Клиенты могут просматривать и сертифицировать доступ сотрудников к ресурсам Microsoft Entra.
- Клиенты могут просматривать и аудит назначений привилегированных ролей Microsoft Entra ID. Это позволяет организациям управлять привилегированным доступом.
Клиент, в котором создается проверка доступа или управляется с помощью API, должен иметь достаточно приобретенных или пробных лицензий. Дополнительные сведения о требованиях к лицензиям см. в разделе Требования к лицензиям проверки доступа.
Примечание.
В этой статье описывается экспорт персональных данных с устройства или службы. Эти действия можно использовать для поддержки ваших обязательств в соответствии с Общим регламентом по защите данных (GDPR). Авторизованные администраторы клиентов могут использовать Microsoft Graph для исправления, обновления или удаления идентифицируемой информации о конечных пользователях, включая профили пользователей и сотрудников или персональные данные, такие как имя пользователя, должность, адрес или номер телефона, в среде идентификатора Microsoft Entra .
Методы
В следующей таблице перечислены методы, которые можно использовать для взаимодействия с ресурсами, связанными с проверкой доступа.
| Метод | Тип возвращаемых данных | Описание |
|---|---|---|
| Определения расписания | ||
| Определения списков | коллекция accessReviewScheduleDefinition | Получите список объектов accessReviewScheduleDefinition и их свойств. |
| Создание определений | accessReviewScheduleDefinition | Создайте объект accessReviewScheduleDefinition . |
| Получение accessReviewScheduleDefinition | accessReviewScheduleDefinition | Чтение свойств и связей объекта accessReviewScheduleDefinition . |
| Обновление accessReviewScheduleDefinition | accessReviewScheduleDefinition | Обновите свойства объекта accessReviewScheduleDefinition . |
| Удаление accessReviewScheduleDefinition | Нет | Удаляет объект accessReviewScheduleDefinition . |
| filterByCurrentUser | коллекция accessReviewScheduleDefinition | Возвращает все определения, в которых вызывающий пользователь является рецензентом любых экземпляров. |
| Экземпляров | ||
| Перечисление экземпляров | коллекция accessReviewInstance | Получите список объектов accessReviewInstance и их свойств. |
| Получение accessReviewInstance | accessReviewInstance | Чтение свойств и связей объекта accessReviewInstance . |
| stop | Нет | Остановите accessReviewInstance вручную. |
| sendReminder | Нет | Отправьте рецензентам напоминание о accessReviewInstance. |
| resetDecisions | Нет | Сбрасывает все элементы решения для экземпляра в notReviewed |
| applyDecisions | Нет | Примените решение для accessReviewInstance вручную. |
| acceptRecommendations | Нет | Позволяет вызывающему пользователю принять рекомендацию по принятию решения для каждого доступа NotReviewed accessReviewInstanceDecisionItem, в которой он является рецензентом для определенного accessReviewInstance. |
| batchRecordDecisions | Нет | Просмотрите пакеты субъектов или ресурсов в одном вызове. |
| filterByCurrentUser | коллекция accessReviewInstance | Возвращает все объекты экземпляров в определении, для которого вызывающий пользователь является рецензентом. |
| Элементы принятия решений экземпляра | ||
| Список решений | коллекция accessReviewInstanceDecisionItem | Получите список объектов accessReviewInstanceDecisionItem и их свойств. |
| Получение accessReviewInstanceDecisionItem | accessReviewInstanceDecisionItem | Чтение свойств и связей объекта accessReviewInstanceDecisionItem . |
| Обновление accessReviewInstanceDecisionItem | accessReviewInstanceDecisionItem | Обновите свойства объекта accessReviewInstanceDecisionItem . |
| accessReviewInstanceDecisionItem: filterByCurrentUser | коллекция accessReviewInstanceDecisionItem | Возвращает элементы решения, для которых вызывающий пользователь является рецензентом. |
| Определения журнала | ||
| Журнал перечисленияDefinitions | коллекция accessReviewHistoryDefinition | Получите список объектов accessReviewHistoryDefinition и их свойств. |
| Создание журналаDefinitions | accessReviewHistoryDefinition | Создайте объект accessReviewHistoryDefinition . |
| Получение accessReviewHistoryDefinition | accessReviewHistoryDefinition | Чтение свойств и связей объекта accessReviewHistoryDefinition . |
| generateDownloadUri | accessReviewHistoryInstance | Создайте универсальный код ресурса (URI) для экземпляра, который можно использовать для получения данных журнала проверки. |
| Перечисление экземпляров | accessReviewHistoryInstance | Получите список объектов accessReviewHistoryInstance и их свойств. |
Проверки авторизации ролей и приложений
Для управления проверками доступа вызывающего пользователя требуются следующие роли Microsoft Entra .
| Operation | Разрешения приложений | Роль каталога с наименьшими привилегиями вызывающего пользователя |
|---|---|---|
| Чтение | AccessReview.Read.All или AccessReview.ReadWrite.All | Глобальный читатель, администратор безопасности, читатель безопасности или администратор пользователей |
| Создание, обновление или удаление | AccessReview.ReadWrite.All | Администратор пользователей |
Кроме того, пользователь, назначаемый рецензентом проверки доступа, может управлять своими решениями без необходимости быть в роли каталога.
Связанные материалы
- Ознакомьтесь с руководствами , чтобы узнать, как использовать API проверок доступа для проверки доступа к ресурсам Microsoft Entra.