Общие сведения об API-интерфейсах проверки доступа
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Примечание.
Это рекомендуемый API для проверок доступа. Предыдущая версия API проверки доступа устарела.
Используйте Microsoft Entra проверки доступа, чтобы настроить одноразовые или повторяющиеся проверки доступа для подтверждения права субъекта на доступ к Microsoft Entra ресурсам. Субъектами являются пользователи или приложения (субъекты-службы). Ресурсы Microsoft Entra включают группы, приложения (субъекты-службы), пакеты доступа и привилегированные роли. Проверки доступа — это функция Управление Microsoft Entra ID.
Типичные сценарии для клиентов для проверок доступа включают:
- Клиенты могут просматривать и сертифицировать доступ гостевых пользователей к группам через членство в группах. Рецензенты могут использовать предоставленные аналитические сведения, чтобы эффективно решить, должны ли гости иметь постоянный доступ.
- Клиенты могут просматривать и сертифицировать доступ сотрудников к Microsoft Entra ресурсам.
- Клиенты могут просматривать и аудит назначений Microsoft Entra ID привилегированных ролей. Это позволяет организациям управлять привилегированным доступом.
Клиент, в котором создается проверка доступа или управляется с помощью API, должен иметь достаточно приобретенных или пробных лицензий. Дополнительные сведения о требованиях к лицензиям см. в разделе Требования к лицензиям проверки доступа.
Примечание.
В этой статье описывается экспорт персональных данных с устройства или службы. Эти действия можно использовать для поддержки ваших обязательств в соответствии с Общим регламентом по защите данных (GDPR). Авторизованные администраторы клиентов могут использовать Microsoft Graph для исправления, обновления или удаления идентифицируемой информации о конечных пользователях, включая профили пользователей и сотрудников или персональные данные, такие как имя пользователя, должность, адрес или номер телефона, в вашей среде Microsoft Entra ID.
Методы
В следующей таблице перечислены методы, которые можно использовать для взаимодействия с ресурсами, связанными с проверкой доступа.
| Метод | Тип возвращаемых данных | Описание |
|---|---|---|
| Определения расписания | ||
| Определения списков | коллекция accessReviewScheduleDefinition | Получите список объектов accessReviewScheduleDefinition и их свойств. |
| Получение accessReviewScheduleDefinition | accessReviewScheduleDefinition | Получите объект accessReviewScheduleDefinition и его свойства. |
| определения Create | accessReviewScheduleDefinition | Create новый accessReviewScheduleDefinition. |
| Удаление accessReviewScheduleDefinition | Нет | Удалите accessReviewScheduleDefinition. |
| Обновление accessReviewScheduleDefinition | Нет | Обновите свойства accessReviewScheduleDefinition с помощью указанного идентификатора. |
| filterByCurrentUser | коллекция accessReviewScheduleDefinition | Извлекает все определения, для которых вызывающий пользователь является рецензентом на одном или нескольких экземплярах. |
| Экземпляров | ||
| Перечисление экземпляров | коллекция accessReviewInstance | Получите список объектов accessReviewInstance и их свойств. |
| Получение accessReviewInstance | accessReviewInstance | Чтение свойств и связей объекта accessReviewInstance . |
| sendReminder | Нет | Отправьте рецензентам напоминание о accessReviewInstance. |
| stop | Нет | Остановите accessReviewInstance вручную. |
| acceptRecommendations | Нет | Позволяет вызывающему пользователю принять рекомендацию по принятию решения для каждого доступа NotReviewed accessReviewInstanceDecisionItem, в которой он является рецензентом для определенного accessReviewInstance. |
| applyDecisions | Нет | Вручную примените решения для accessReviewInstance. |
| batchRecordDecisions | Нет | Просмотрите пакеты субъектов или ресурсов в одном вызове. |
| resetDecisions | Нет | Сбрасывает все элементы решения для экземпляра в notReviewed. |
| filterByCurrentUser | коллекция accessReviewInstance | Возвращает все экземпляры в заданном accessReviewScheduleDefinition , для которых вызывающий пользователь является рецензентом одного или нескольких решений. |
| Элементы принятия решений экземпляра | ||
| Список решений | коллекция accessReviewInstanceDecisionItem | Получите список объектов accessReviewInstanceDecisionItem и их свойств. |
| Получение accessReviewInstanceDecisionItem | accessReviewInstanceDecisionItem | Чтение свойств и связей объекта accessReviewInstanceDecisionItem . |
| Обновление accessReviewInstanceDecisionItem | Нет | Для любых accessReviewInstanceDecisionItems, для которых вызывающий пользователь назначен рецензент, вызывающий пользователь может записать решение, исправив объект решения. |
| filterByCurrentUser | коллекция accessReviewInstanceDecisionItem | Извлекает все объекты accessReviewInstanceDecisionItems , где вызывающим используется рецензент для заданного accessReviewInstance. |
| listPendingApproval (не рекомендуется) | коллекция accessReviewInstanceDecisionItem | Получите все accessReviewInstanceDecisionItems, назначенные вызывающему пользователю, для определенного accessReviewInstance. Этот метод устарел и заменяется accessReviewInstanceDecisionItem: filterByCurrentUser. |
| Определения журнала | ||
| Журнал перечисленияDefinitions | коллекция accessReviewHistoryDefinition | Получите список объектов accessReviewHistoryDefinition и их свойств. |
| Create historyDefinitions | accessReviewHistoryDefinition | Create новый объект accessReviewHistoryDefinition. |
| Получение accessReviewHistoryDefinition | accessReviewHistoryDefinition | Чтение свойств и связей объекта accessReviewHistoryDefinition . |
| generateDownloadUri | accessReviewHistoryInstance | Создайте универсальный код ресурса (URI) для экземпляра, который можно использовать для получения данных журнала проверки. |
| Перечисление экземпляров | accessReviewHistoryInstance | Получите список объектов accessReviewHistoryInstance и их свойств. |
| Политика | ||
| Получение accessReviewPolicy | accessReviewPolicy | Чтение свойств и связей объекта accessReviewPolicy . |
| Обновление accessReviewPolicy | accessReviewPolicy | Обновление свойств объекта accessReviewPolicy . |
| Список определений, ожидающих утверждения (не рекомендуется) | коллекция accessReviewScheduleDefinition | Извлекает все определения, для которых вызывающий пользователь является рецензентом на одном или нескольких экземплярах. Этот метод устарел и заменяется accessReviewScheduleDefinition: filterByCurrentUser. |
| Список объектов pendingAccessReviewInstances (не рекомендуется) | коллекция accessReviewInstance | Получите все ожидающие ресурсы accessReviewInstance, назначенные вызывающему пользователю. Этот метод устарел и заменяется accessReviewInstance: filterByCurrentUser. |
Проверки авторизации ролей и приложений
Следующие Microsoft Entra роли необходимы для вызывающего пользователя для управления проверками доступа.
| Operation | Разрешения приложений | Роль каталога с наименьшими привилегиями вызывающего пользователя |
|---|---|---|
| Чтение | AccessReview.Read.All или AccessReview.ReadWrite.All | Глобальный читатель, администратор безопасности, читатель безопасности или администратор пользователей |
| Create, обновление или удаление | AccessReview.ReadWrite.All | Администратор пользователей |
Кроме того, пользователь, назначаемый рецензентом проверки доступа, может управлять своими решениями без необходимости быть в роли каталога.
Связанные материалы
- Ознакомьтесь с руководствами, чтобы узнать, как использовать API проверок доступа для проверки доступа к Microsoft Entra ресурсам.