使用访问评审 API 分配审阅者以访问评审

Microsoft Entra访问评审 API 允许以编程方式查看用户、服务主体或组对Microsoft Entra资源的访问权限。

主要审阅者在访问评审 accessReviewScheduleDefinition 资源的审阅者属性中配置。 此外，可以使用 fallbackReviewers 属性指定回退审阅者 。 创建自评 (用户可在其中查看自己的访问权限) 时，不需要这些属性。

若要配置审阅者和回退审阅者，请设置 accessReviewReviewerScope 资源类型的query、queryRoot 和 queryType 属性的值。

注意

审查其成员身份通过组的 PIM 管理的组，仅将活动所有者分配为审阅者。 不包括符合条件的所有者。 至少需要一个回退审阅者才能评审这些组。 如果在评审开始时没有活动所有者，则会将回退审阅者分配给评审。

示例 1：自我评审

若要配置自我评审，请不要指定 审阅者 属性，也不为属性提供空对象。

如果相应的访问评审 范围 面向 B2B 直连用户和具有共享频道的团队，则会分配团队所有者来评审 B2B 直连用户的访问权限。

"reviewers": []

示例 2：特定用户作为审阅者

"reviewers": [
    {
        "query": "/users/{userId}",
        "queryType": "MicrosoftGraph"
    }
]

示例 3：作为审阅者的组成员

"reviewers": [
    {
        "query": "/groups/{groupId}/transitiveMembers",
        "queryType": "MicrosoftGraph"
    }
]

示例 4：将所有者组为审阅者

当访问评审的范围限定为组时，例如，配置 访问评审范围的示例 1-4。

"reviewers": [
    {
        "query": "/groups/{groupId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

当访问评审的范围限定为组，并且仅将特定国家/地区的组所有者分配为审阅者时：

"reviewers": [
    {
        "query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
        "type": "MicrosoftGraph"
    }
]

当访问评审的范围限定为 所有 组时，例如，配置 访问评审范围的示例 5-9。

"reviewers": [
    {
        "query": "./owners",
        "queryType": "MicrosoftGraph"
    }
]

示例 5：将经理人员为审阅者

由于 ./manager 是相对查询，因此请指定值为 decisions的 queryRoot 属性。

如果相应的访问评审 范围 面向 B2B 直连用户和具有共享频道的团队，则会分配团队所有者来评审 B2B 直连用户的访问权限。

"reviewers": [
    {
        "query": "./manager",
        "queryType": "MicrosoftGraph",
        "queryRoot": "decisions"
    }
]

示例 6：应用程序所有者作为审阅者

"reviewers": [
    {
        "query": "/servicePrincipals/{servicePrincipalId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

相关内容

• 配置访问评审定义的范围
• 试用教程，了解如何使用访问评审 API 来评审对Microsoft Entra资源的访问权限