通过

访问评审 API 概述

  • 项目

命名空间:microsoft.graph

重要

Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。

注意

这是建议用于访问评审的 API。 以前版本的 访问评审 API 已弃用。

使用Microsoft Entra访问评审配置一次性或定期访问评审,以证明主体有权访问Microsoft Entra资源。 主体是) (服务主体的用户或应用程序。 Microsoft Entra资源包括组、应用程序 (服务主体) 、访问包和特权角色。 访问评审是Microsoft Entra ID 治理的一项功能。

访问评审的典型客户方案包括:

  • 客户可以通过组成员身份查看和认证来宾用户对组的访问权限。 审阅者可以使用提供的见解有效地决定来宾是否应具有持续访问权限。
  • 客户可以查看并认证员工对Microsoft Entra资源的访问权限。
  • 客户可以查看和审核分配,以Microsoft Entra ID特权角色。 这支持组织管理特权访问。

通过 API 创建或管理访问评审的租户必须具有足够的购买许可证或试用许可证。 有关许可证要求的详细信息,请参阅 访问评审许可证要求

注意

本文介绍如何从设备或服务导出个人数据。 这些步骤可用于支持一般数据保护条例 (GDPR) 下的义务。 授权租户管理员可以在Microsoft Entra ID环境中使用 Microsoft Graph 来更正、更新或删除最终用户的身份信息,包括客户和员工用户配置文件或个人数据,例如用户名、工作职务、地址或电话号码。

方法

下表列出了可用于与访问评审相关的资源进行交互的方法。

方法 返回类型 说明
计划定义
列表定义 accessReviewScheduleDefinition 集合 获取 accessReviewScheduleDefinition 对象及其属性的列表。
获取 accessReviewScheduleDefinition accessReviewScheduleDefinition 获取 accessReviewScheduleDefinition 对象及其属性。
Create定义 accessReviewScheduleDefinition Create新的 accessReviewScheduleDefinition。
删除 accessReviewScheduleDefinition 删除 accessReviewScheduleDefinition。
更新 accessReviewScheduleDefinition 使用指定的标识符更新 accessReviewScheduleDefinition 的属性。
filterByCurrentUser accessReviewScheduleDefinition 集合 检索调用用户是一个或多个实例的审阅者的所有定义。
实例
列出实例 accessReviewInstance 集合 获取 accessReviewInstance 对象及其属性的列表。
获取 accessReviewInstance accessReviewInstance 读取 accessReviewInstance 对象的属性和关系。
sendReminder 向 accessReviewInstance 的审阅者发送提醒。
stop 手动停止 accessReviewInstance。
acceptRecommendations 允许调用用户接受作为特定 accessReviewInstance 审阅者的每个 NotReviewed accessReviewInstanceDecisionItem 的决策建议。
applyDecisions 手动对 accessReviewInstance 应用决策。
batchRecordDecisions 在一次调用中查看主体或资源的批处理。
resetDecisions 将实例上的所有决策项重置为 notReviewed
filterByCurrentUser accessReviewInstance 集合 返回给定 accessReviewScheduleDefinition 上的所有实例,调用用户是一个或多个决策的审阅者。
实例决策项
列出决策 accessReviewInstanceDecisionItem 集合 获取 accessReviewInstanceDecisionItem 对象及其属性的列表。
获取 accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem 读取 accessReviewInstanceDecisionItem 对象的属性和关系。
更新 accessReviewInstanceDecisionItem 对于为调用用户分配审阅者的任何 accessReviewInstanceDecisionItems,调用用户可以通过修补决策对象来记录决策。
filterByCurrentUser accessReviewInstanceDecisionItem 集合 检索所有 accessReviewInstanceDecisionItems 对象,其中调用使用是给定 accessReviewInstance 的审阅者。
listPendingApproval (已弃用) accessReviewInstanceDecisionItem 集合 为特定 accessReviewInstance 获取分配给调用用户的所有 accessReviewInstanceDecisionItems。 此方法已弃用,替换为 accessReviewInstanceDecisionItem: filterByCurrentUser
历史记录定义
List historyDefinitions accessReviewHistoryDefinition 集合 获取 accessReviewHistoryDefinition 对象及其属性的列表。
Create historyDefinitions accessReviewHistoryDefinition Create新的 accessReviewHistoryDefinition 对象。
获取 accessReviewHistoryDefinition accessReviewHistoryDefinition 读取 accessReviewHistoryDefinition 对象的属性和关系。
generateDownloadUri accessReviewHistoryInstance 为可用于检索查看历史记录数据的实例生成 URI。
列出实例 accessReviewHistoryInstance 检索 accessReviewHistoryInstance 对象及其属性的列表。
策略
获取 accessReviewPolicy accessReviewPolicy 读取 accessReviewPolicy 对象的属性和关系。
更新 accessReviewPolicy accessReviewPolicy 更新 accessReviewPolicy 对象的属性。
列出待审批 (弃用) 的定义 accessReviewScheduleDefinition 集合 检索调用用户是一个或多个实例的审阅者的所有定义。 此方法已弃用,并替换为 accessReviewScheduleDefinition: filterByCurrentUser
列出 pendingAccessReviewInstances (已弃用) accessReviewInstance 集合 获取分配给调用用户的所有挂起 accessReviewInstance 资源。 此方法已弃用,并替换为 accessReviewInstance: filterByCurrentUser

角色和应用程序权限授权检查

调用用户需要以下Microsoft Entra角色来管理访问评审。

操作 应用程序权限 调用用户的最低特权目录角色
阅读 AccessReview.Read.All 或 AccessReview.ReadWrite.All 全局读取者、安全管理员、安全读取者或用户管理员
Create、更新或删除 AccessReview.ReadWrite.All 用户管理员

此外,作为访问评审的已分配审阅者的用户可以管理其决策,而无需担任目录角色。

相关内容

  • 演练引导教程,了解如何使用访问评审 API 来评审对Microsoft Entra资源的访问权限。