Поделиться через


Общие сведения об API-интерфейсах проверки доступа

Пространство имен: microsoft.graph

Используйте проверки доступа Microsoft Entra , чтобы настроить одноразовые или повторяющиеся проверки доступа для подтверждения права субъекта на доступ к ресурсам Microsoft Entra. Субъектами являются пользователи или приложения (субъекты-службы). Ресурсы Microsoft Entra включают группы, приложения (субъекты-службы), пакеты доступа и привилегированные роли. Проверки доступа — это функция управления идентификаторами Microsoft Entra.

Типичные сценарии для клиентов для проверок доступа включают:

  • Клиенты могут просматривать и сертифицировать доступ гостевых пользователей к группам через членство в группах. Рецензенты могут использовать предоставленные аналитические сведения, чтобы эффективно решить, должны ли гости иметь постоянный доступ.
  • Клиенты могут просматривать и сертифицировать доступ сотрудников к ресурсам Microsoft Entra.
  • Клиенты могут просматривать и аудит назначений привилегированных ролей Microsoft Entra ID. Это позволяет организациям управлять привилегированным доступом.

Клиент, в котором создается проверка доступа или управляется с помощью API, должен иметь достаточно приобретенных или пробных лицензий. Дополнительные сведения о требованиях к лицензиям см. в разделе Требования к лицензиям проверки доступа.

Примечание.

В этой статье описывается экспорт персональных данных с устройства или службы. Эти действия можно использовать для поддержки ваших обязательств в соответствии с Общим регламентом по защите данных (GDPR). Авторизованные администраторы клиентов могут использовать Microsoft Graph для исправления, обновления или удаления идентифицируемой информации о конечных пользователях, включая профили пользователей и сотрудников или персональные данные, такие как имя пользователя, должность, адрес или номер телефона, в среде идентификатора Microsoft Entra .

Методы

В следующей таблице перечислены методы, которые можно использовать для взаимодействия с ресурсами, связанными с проверкой доступа.

Метод Тип возвращаемых данных Описание
Определения расписания
Определения списков коллекция accessReviewScheduleDefinition Получите список объектов accessReviewScheduleDefinition и их свойств.
Создание определений accessReviewScheduleDefinition Создайте объект accessReviewScheduleDefinition .
Получение accessReviewScheduleDefinition accessReviewScheduleDefinition Чтение свойств и связей объекта accessReviewScheduleDefinition .
Обновление accessReviewScheduleDefinition accessReviewScheduleDefinition Обновите свойства объекта accessReviewScheduleDefinition .
Удаление accessReviewScheduleDefinition Нет Удаляет объект accessReviewScheduleDefinition .
filterByCurrentUser коллекция accessReviewScheduleDefinition Возвращает все определения, в которых вызывающий пользователь является рецензентом любых экземпляров.
Экземпляров
Перечисление экземпляров коллекция accessReviewInstance Получите список объектов accessReviewInstance и их свойств.
Получение accessReviewInstance accessReviewInstance Чтение свойств и связей объекта accessReviewInstance .
stop Нет Остановите accessReviewInstance вручную.
sendReminder Нет Отправьте рецензентам напоминание о accessReviewInstance.
resetDecisions Нет Сбрасывает все элементы решения для экземпляра в notReviewed
applyDecisions Нет Примените решение для accessReviewInstance вручную.
acceptRecommendations Нет Позволяет вызывающему пользователю принять рекомендацию по принятию решения для каждого доступа NotReviewed accessReviewInstanceDecisionItem, в которой он является рецензентом для определенного accessReviewInstance.
batchRecordDecisions Нет Просмотрите пакеты субъектов или ресурсов в одном вызове.
filterByCurrentUser коллекция accessReviewInstance Возвращает все объекты экземпляров в определении, для которого вызывающий пользователь является рецензентом.
Элементы принятия решений экземпляра
Список решений коллекция accessReviewInstanceDecisionItem Получите список объектов accessReviewInstanceDecisionItem и их свойств.
Получение accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem Чтение свойств и связей объекта accessReviewInstanceDecisionItem .
Обновление accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem Обновите свойства объекта accessReviewInstanceDecisionItem .
accessReviewInstanceDecisionItem: filterByCurrentUser коллекция accessReviewInstanceDecisionItem Возвращает элементы решения, для которых вызывающий пользователь является рецензентом.
Определения журнала
Журнал перечисленияDefinitions коллекция accessReviewHistoryDefinition Получите список объектов accessReviewHistoryDefinition и их свойств.
Создание журналаDefinitions accessReviewHistoryDefinition Создайте объект accessReviewHistoryDefinition .
Получение accessReviewHistoryDefinition accessReviewHistoryDefinition Чтение свойств и связей объекта accessReviewHistoryDefinition .
generateDownloadUri accessReviewHistoryInstance Создайте универсальный код ресурса (URI) для экземпляра, который можно использовать для получения данных журнала проверки.
Перечисление экземпляров accessReviewHistoryInstance Получите список объектов accessReviewHistoryInstance и их свойств.

Проверки авторизации ролей и приложений

Для управления проверками доступа вызывающего пользователя требуются следующие роли Microsoft Entra .

Operation Разрешения приложений Роль каталога с наименьшими привилегиями вызывающего пользователя
Чтение AccessReview.Read.All или AccessReview.ReadWrite.All Глобальный читатель, администратор безопасности, читатель безопасности или администратор пользователей
Создание, обновление или удаление AccessReview.ReadWrite.All Администратор пользователей

Кроме того, пользователь, назначаемый рецензентом проверки доступа, может управлять своими решениями без необходимости быть в роли каталога.