通过

使用访问评审 API 分配审阅者以访问评审

  • 项目

Microsoft Entra访问评审 API 允许以编程方式查看用户、服务主体或组对Microsoft Entra资源的访问权限。

主要审阅者在访问评审 accessReviewScheduleDefinition 资源的审阅属性中配置。 此外,可以使用 fallbackReviewers 属性指定回退审阅者 。 创建自评 (用户可在其中查看自己的访问权限) 时,不需要这些属性。

若要配置审阅者和回退审阅者,请设置 accessReviewReviewerScope 资源类型的queryqueryRootqueryType 属性的值。

注意

审查其成员身份通过组的 PIM 管理的组,仅将活动所有者分配为审阅者。 不包括符合条件的所有者。 至少需要一个回退审阅者才能评审这些组。 如果在评审开始时没有活动所有者,则会将回退审阅者分配给评审。

示例 1:自我评审

若要配置自我评审,请不要指定 审阅者 属性,也不为属性提供空对象。

如果相应的访问评审 范围 面向 B2B 直连用户和具有共享频道的团队,则会分配团队所有者来评审 B2B 直连用户的访问权限。

"reviewers": []

示例 2:特定用户作为审阅者

"reviewers": [
    {
        "query": "/users/{userId}",
        "queryType": "MicrosoftGraph"
    }
]

示例 3:作为审阅者的组成员

"reviewers": [
    {
        "query": "/groups/{groupId}/transitiveMembers",
        "queryType": "MicrosoftGraph"
    }
]

示例 4:将所有者组为审阅者

当访问评审的范围限定为组时,例如,配置 访问评审范围的示例 1-4。

"reviewers": [
    {
        "query": "/groups/{groupId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

当访问评审的范围限定为组,并且仅将特定国家/地区的组所有者分配为审阅者时:

"reviewers": [
    {
        "query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
        "type": "MicrosoftGraph"
    }
]

当访问评审的范围限定为 所有 组时,例如,配置 访问评审范围的示例 5-9。

"reviewers": [
    {
        "query": "./owners",
        "queryType": "MicrosoftGraph"
    }
]

示例 5:将经理人员为审阅者

由于 ./manager 是相对查询,因此请指定值为 decisionsqueryRoot 属性。

如果相应的访问评审 范围 面向 B2B 直连用户和具有共享频道的团队,则会分配团队所有者来评审 B2B 直连用户的访问权限。

"reviewers": [
    {
        "query": "./manager",
        "queryType": "MicrosoftGraph",
        "queryRoot": "decisions"
    }
]

示例 6:应用程序所有者作为审阅者

"reviewers": [
    {
        "query": "/servicePrincipals/{servicePrincipalId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

相关内容