Microsoft Entra 访问评审 (弃用)
命名空间:microsoft.graph
重要
Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
警告
此版本的访问评审 API 已弃用,将于 2023 年 5 月 19 日停止返回数据。 请使用 访问评审 API。
可以使用 Microsoft Entra 访问评审 来配置一次性或定期访问评审,以证明用户的访问权限。
对组成员身份和应用程序访问进行访问评审的典型客户方案包括:
客户可以使用对应用程序的访问权限和组成员身份的访问评审来评审和认证来宾用户访问权限。 审阅者可以使用提供的见解有效地决定来宾是否应具有持续访问权限。
客户可以通过访问评审来评审和认证员工对应用程序和组成员身份的访问权限。
客户可以将访问评审控制收集到与你的组织相关的计划中,以跟踪合规性或风险敏感应用程序的评审。
客户还可以查看和认证分配给 Microsoft Entra 角色或 Azure 订阅 角色的管理用户的角色分配的相关功能。 此功能包含在 Microsoft Entra Privileged Identity Management 中。
通过 API 创建或管理访问评审的租户必须具有足够的购买许可证或试用许可证。 有关许可证要求的详细信息,请参阅 访问评审许可证要求。
在创建访问评审、程序或程序控制之前,管理员必须事先加入才能准备 程序ControlType 和 businessFlowTemplate 资源。 组织可以加入到Microsoft Entra 访问评审,或者在Microsoft Entra 角色或 Azure 订阅角色的访问评审的情况下,Microsoft Entra PIM。
方法
下表列出了可用于与访问评审相关的资源进行交互的方法。
| 方法 | 返回类型 | 说明 |
|---|---|---|
| 获取 accessReview | accessReview | 获取具有特定 ID 的访问评审。 |
| 创建 accessReview | accessReview | 创建新的 accessReview。 |
| 删除 accessReview | 无。 | 删除 accessReview。 |
| 更新 accessReview | accessReview | 更新 accessReview。 |
| 列出 accessReviews | accessReview 集合 | 列出 businessFlowTemplate 的 accessReviews。 |
| 列出 accessReview 审阅者 | userIdentity 集合 | 获取 accessReview 的审阅者。 |
| 添加 accessReview 审阅者 | 无。 | 将审阅者添加到 accessReview。 |
| 删除 accessReview 审阅者 | 无。 | 从 accessReview 中删除审阅者。 |
| 列出 accessReview 决策 | accessReviewDecision 集合 | 获取 accessReview 的决策。 |
| 列出我的 accessReview 决策 | accessReviewDecision 集合 | 作为审阅者,获取我对 accessReview 的决策。 |
| 发送 accessReview 提醒 | 无。 | 向 accessReview 的审阅者发送提醒。 |
| 停止访问Review | 无。 | 停止 accessReview。 |
| 重置访问查看决策 | 无。 | 在正在进行的 accessReview 中重置决策。 |
| 应用 accessReview 决策 | 无。 | 从已完成的 accessReview 应用决策。 |
| 列出 businessFlowTemplates | businessFlowTemplate 集合 | 获取适合访问评审的业务流程模板。 |
| 创建程序 | 程序 | 创建新程序。 |
| 删除程序 | 无。 | 删除程序。 |
| 列出程序 | 程序 集合 | 获取所有程序的集合。 |
| 列出程序控制程序 | programControl 集合 | 获取程序的控件集合。 |
| 更新程序 | 程序 | 更新程序。 |
| 创建 programControl | programControl | 将 programControl 添加到程序。 |
| 删除程序Control | 无。 | 从程序中删除程序Control。 |
| List programControls | programControl 集合 | 列出租户中所有程序的控件。 |
| 列出程序ControlTypes | programControlType 集合 | 列出程序控件类型。 |
角色和应用程序权限授权检查
调用用户需要以下目录角色来管理访问评审、程序和控制。
| 目标资源 | 操作 | 应用程序权限 | 调用用户的最低特权目录角色 |
|---|---|---|---|
| accessReview Microsoft Entra 角色 | 阅读 | AccessReview.Read.All 或 AccessReview.ReadWrite.All | 全局读取者、安全管理员、安全读取者或特权角色管理员 |
| accessReview Microsoft Entra 角色 | 创建、更新或删除 | AccessReview.ReadWrite.All | 特权角色管理员 |
| accessReview 组或应用 | 阅读 | AccessReview.Read.All、AccessReview.ReadWrite.Membership 或 AccessReview.ReadWrite.All | 全局读取者、安全管理员、安全读取者或用户管理员 |
| accessReview 组或应用 | 创建、更新或删除 | AccessReview.ReadWrite.Membership 或 AccessReview.ReadWrite.All | 用户管理员 |
| program 和 programControl | 阅读 | ProgramControl.Read.All 或 ProgramControl.ReadWrite.All | 全局读取者、安全管理员、安全读取者或用户管理员 |
| program 和 programControl | 创建、更新或删除 | ProgramControl.ReadWrite.All | 用户管理员 |
此外,作为访问评审的已分配审阅者的用户可以管理其决策,而无需担任目录角色。