Проверки доступа Microsoft Entra (не рекомендуется)
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Предостережение
Эта версия API проверки доступа устарела и перестанет возвращать данные 19 мая 2023 г. Используйте API проверок доступа.
Проверки доступа Microsoft Entra можно использовать для настройки одноразовых или повторяющихся проверок доступа для аттестации прав доступа пользователя.
Типичные сценарии клиентов для проверок доступа для членства в группах и доступа к приложениям:
Клиенты могут просматривать и сертифицировать доступ гостевых пользователей с помощью проверок доступа к приложениям и членства в группах. Рецензенты могут использовать предоставленные аналитические сведения, чтобы эффективно решить, должны ли гости иметь постоянный доступ.
Клиенты могут проверять и сертифицировать доступ сотрудников к приложениям и членства в группах с помощью проверок доступа.
Клиенты могут собирать элементы управления проверкой доступа в программы, относящиеся к вашей организации для отслеживания проверок соответствия требованиям или приложений, чувствительных к риску.
Клиенты также могут просматривать и сертифицировать назначения ролей администраторов, которым назначены роли Microsoft Entra или роли подписки Azure . Эта возможность включена в Microsoft Entra Privileged Identity Management.
Клиент, в котором создается проверка доступа или управляется с помощью API, должен иметь достаточно приобретенных или пробных лицензий. Дополнительные сведения о требованиях к лицензиям см. в разделе Требования к лицензиям проверки доступа.
Перед созданием проверки доступа, программы или управления программой администратор должен предварительно подключиться для подготовки ресурсов programControlType и businessFlowTemplate . Организация может подключиться к проверкам доступа Microsoft Entra или, в случае проверок доступа ролей Microsoft Entra или ролей подписки Azure, Microsoft Entra PIM.
Методы
В следующей таблице перечислены методы, которые можно использовать для взаимодействия с ресурсами, связанными с проверкой доступа.
| Метод | Тип возвращаемых данных | Описание |
|---|---|---|
| Получение доступаОбзор | accessReview | Получите проверку доступа с определенным идентификатором. |
| Создание accessReview | accessReview | Создайте доступОбзор. |
| Удаление accessReview | Нет. | Удаление accessReview. |
| Обновление accessReview | accessReview | Обновление accessReview. |
| Список accessReviews | коллекция accessReview | Вывод списка accessReviews для объекта businessFlowTemplate. |
| Список доступаОбзор рецензентов | Коллекция userIdentity | Получение рецензентов accessReview. |
| Добавление рецензента accessReview | Нет. | Добавление рецензента в accessReview. |
| Удаление accessОбзор рецензента | Нет. | Удаление рецензента из accessReview. |
| Список доступаОтозвление решений | коллекция accessReviewDecision | Получение решений accessReview. |
| Вывод списка моих решений о доступе | коллекция accessReviewDecision | Как рецензент, получите мои решения accessReview. |
| Отправка напоминания о доступеОбзор | Нет. | Отправьте рецензентам напоминание о accessReview. |
| Остановка доступаОбзор | Нет. | Остановите accessReview. |
| Сброс доступаПросмотр решений | Нет. | Сбросьте решения в выполняется accessReview. |
| Применение доступаРешеть решения о просмотре | Нет. | Примените решения из завершенного доступаReview. |
| Перечисление businessFlowTemplates | Коллекция businessFlowTemplate | Получите шаблоны бизнес-потоков, подходящие для проверок доступа. |
| Создание программы | программа | Создайте новую программу. |
| Удаление программы | Нет. | Удаление программы. |
| Перечисление программ | коллекция программ | Получите коллекцию всех программ. |
| Вывод списка элементов управления программой | Коллекция programControl | Получение коллекции элементов управления программы. |
| Обновление программы | программа | Обновление программы. |
| Создание programControl | programControl | Добавьте programControl в программу. |
| Удаление programControl | Нет. | Удалите programControl из программы. |
| Перечисление элементов programControls | Коллекция programControl | Перечисление элементов управления во всех программах в клиенте. |
| Вывод списка programControlTypes | Коллекция programControlType | Вывод списка типов элементов управления программы. |
Проверки авторизации ролей и приложений
Для управления проверками доступа, программами и элементами управления для вызывающего пользователя требуются следующие роли каталога.
| Целевой ресурс | Operation | Разрешения приложений | Роли каталога с наименьшими привилегиями вызывающего пользователя |
|---|---|---|---|
| accessОбзор роли Microsoft Entra | Чтение | AccessReview.Read.All или AccessReview.ReadWrite.All | Глобальный читатель, администратор безопасности, читатель безопасности или администратор привилегированных ролей |
| accessОбзор роли Microsoft Entra | Создание, обновление или удаление | AccessReview.ReadWrite.All | Администратор привилегированных ролей |
| accessОбзор группы или приложения | Чтение | AccessReview.Read.All, AccessReview.ReadWrite.Membership или AccessReview.ReadWrite.All | Глобальный читатель, администратор безопасности, читатель безопасности или администратор пользователей |
| accessОбзор группы или приложения | Создание, обновление или удаление | AccessReview.ReadWrite.Membership или AccessReview.ReadWrite.All | Администратор пользователей |
| program и programControl | Чтение | ProgramControl.Read.All или ProgramControl.ReadWrite.All | Глобальный читатель, администратор безопасности, читатель безопасности или администратор пользователей |
| program и programControl | Создание, обновление или удаление | ProgramControl.ReadWrite.All | Администратор пользователей |
Кроме того, пользователь, назначаемый рецензентом проверки доступа, может управлять своими решениями без необходимости быть в роли каталога.
Связанные материалы
- Как администратор может управлять доступом пользователей с помощью проверок доступа Microsoft Entra
- Как администратор может управлять гостевым доступом с помощью проверок доступа Microsoft Entra
- Как администратор может управлять программами и элементами управления для проверок доступа Microsoft Entra