Поделиться через


Общие сведения об API-интерфейсах проверки доступа

Пространство имен: microsoft.graph

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

Примечание.

Это рекомендуемый API для проверок доступа. Предыдущая версия API проверки доступа устарела.

Используйте Microsoft Entra проверки доступа, чтобы настроить одноразовые или повторяющиеся проверки доступа для подтверждения права субъекта на доступ к Microsoft Entra ресурсам. Субъектами являются пользователи или приложения (субъекты-службы). Ресурсы Microsoft Entra включают группы, приложения (субъекты-службы), пакеты доступа и привилегированные роли. Проверки доступа — это функция Управление Microsoft Entra ID.

Типичные сценарии для клиентов для проверок доступа включают:

  • Клиенты могут просматривать и сертифицировать доступ гостевых пользователей к группам через членство в группах. Рецензенты могут использовать предоставленные аналитические сведения, чтобы эффективно решить, должны ли гости иметь постоянный доступ.
  • Клиенты могут просматривать и сертифицировать доступ сотрудников к Microsoft Entra ресурсам.
  • Клиенты могут просматривать и аудит назначений Microsoft Entra ID привилегированных ролей. Это позволяет организациям управлять привилегированным доступом.

Клиент, в котором создается проверка доступа или управляется с помощью API, должен иметь достаточно приобретенных или пробных лицензий. Дополнительные сведения о требованиях к лицензиям см. в разделе Требования к лицензиям проверки доступа.

Примечание.

В этой статье описывается экспорт персональных данных с устройства или службы. Эти действия можно использовать для поддержки ваших обязательств в соответствии с Общим регламентом по защите данных (GDPR). Авторизованные администраторы клиентов могут использовать Microsoft Graph для исправления, обновления или удаления идентифицируемой информации о конечных пользователях, включая профили пользователей и сотрудников или персональные данные, такие как имя пользователя, должность, адрес или номер телефона, в вашей среде Microsoft Entra ID.

Методы

В следующей таблице перечислены методы, которые можно использовать для взаимодействия с ресурсами, связанными с проверкой доступа.

Метод Тип возвращаемых данных Описание
Определения расписания
Определения списков коллекция accessReviewScheduleDefinition Получите список объектов accessReviewScheduleDefinition и их свойств.
Получение accessReviewScheduleDefinition accessReviewScheduleDefinition Получите объект accessReviewScheduleDefinition и его свойства.
определения Create accessReviewScheduleDefinition Create новый accessReviewScheduleDefinition.
Удаление accessReviewScheduleDefinition Нет Удалите accessReviewScheduleDefinition.
Обновление accessReviewScheduleDefinition Нет Обновите свойства accessReviewScheduleDefinition с помощью указанного идентификатора.
filterByCurrentUser коллекция accessReviewScheduleDefinition Извлекает все определения, для которых вызывающий пользователь является рецензентом на одном или нескольких экземплярах.
Экземпляров
Перечисление экземпляров коллекция accessReviewInstance Получите список объектов accessReviewInstance и их свойств.
Получение accessReviewInstance accessReviewInstance Чтение свойств и связей объекта accessReviewInstance .
sendReminder Нет Отправьте рецензентам напоминание о accessReviewInstance.
stop Нет Остановите accessReviewInstance вручную.
acceptRecommendations Нет Позволяет вызывающему пользователю принять рекомендацию по принятию решения для каждого доступа NotReviewed accessReviewInstanceDecisionItem, в которой он является рецензентом для определенного accessReviewInstance.
applyDecisions Нет Вручную примените решения для accessReviewInstance.
batchRecordDecisions Нет Просмотрите пакеты субъектов или ресурсов в одном вызове.
resetDecisions Нет Сбрасывает все элементы решения для экземпляра в notReviewed.
filterByCurrentUser коллекция accessReviewInstance Возвращает все экземпляры в заданном accessReviewScheduleDefinition , для которых вызывающий пользователь является рецензентом одного или нескольких решений.
Элементы принятия решений экземпляра
Список решений коллекция accessReviewInstanceDecisionItem Получите список объектов accessReviewInstanceDecisionItem и их свойств.
Получение accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem Чтение свойств и связей объекта accessReviewInstanceDecisionItem .
Обновление accessReviewInstanceDecisionItem Нет Для любых accessReviewInstanceDecisionItems, для которых вызывающий пользователь назначен рецензент, вызывающий пользователь может записать решение, исправив объект решения.
filterByCurrentUser коллекция accessReviewInstanceDecisionItem Извлекает все объекты accessReviewInstanceDecisionItems , где вызывающим используется рецензент для заданного accessReviewInstance.
listPendingApproval (не рекомендуется) коллекция accessReviewInstanceDecisionItem Получите все accessReviewInstanceDecisionItems, назначенные вызывающему пользователю, для определенного accessReviewInstance. Этот метод устарел и заменяется accessReviewInstanceDecisionItem: filterByCurrentUser.
Определения журнала
Журнал перечисленияDefinitions коллекция accessReviewHistoryDefinition Получите список объектов accessReviewHistoryDefinition и их свойств.
Create historyDefinitions accessReviewHistoryDefinition Create новый объект accessReviewHistoryDefinition.
Получение accessReviewHistoryDefinition accessReviewHistoryDefinition Чтение свойств и связей объекта accessReviewHistoryDefinition .
generateDownloadUri accessReviewHistoryInstance Создайте универсальный код ресурса (URI) для экземпляра, который можно использовать для получения данных журнала проверки.
Перечисление экземпляров accessReviewHistoryInstance Получите список объектов accessReviewHistoryInstance и их свойств.
Политика
Получение accessReviewPolicy accessReviewPolicy Чтение свойств и связей объекта accessReviewPolicy .
Обновление accessReviewPolicy accessReviewPolicy Обновление свойств объекта accessReviewPolicy .
Список определений, ожидающих утверждения (не рекомендуется) коллекция accessReviewScheduleDefinition Извлекает все определения, для которых вызывающий пользователь является рецензентом на одном или нескольких экземплярах. Этот метод устарел и заменяется accessReviewScheduleDefinition: filterByCurrentUser.
Список объектов pendingAccessReviewInstances (не рекомендуется) коллекция accessReviewInstance Получите все ожидающие ресурсы accessReviewInstance, назначенные вызывающему пользователю. Этот метод устарел и заменяется accessReviewInstance: filterByCurrentUser.

Проверки авторизации ролей и приложений

Следующие Microsoft Entra роли необходимы для вызывающего пользователя для управления проверками доступа.

Operation Разрешения приложений Роль каталога с наименьшими привилегиями вызывающего пользователя
Чтение AccessReview.Read.All или AccessReview.ReadWrite.All Глобальный читатель, администратор безопасности, читатель безопасности или администратор пользователей
Create, обновление или удаление AccessReview.ReadWrite.All Администратор пользователей

Кроме того, пользователь, назначаемый рецензентом проверки доступа, может управлять своими решениями без необходимости быть в роли каталога.