访问评审 API 概述

命名空间:microsoft.graph

使用 Microsoft Entra 访问评审 配置一次性或定期访问评审,以证明主体有权访问 entra 资源Microsoft。 主体是) (服务主体的用户或应用程序。 Microsoft Entra 资源包括组、应用程序 (服务主体) 、访问包和特权角色。 访问评审是Microsoft Entra ID 治理的一项功能。

访问评审的典型客户方案包括:

  • 客户可以通过组成员身份查看和认证来宾用户对组的访问权限。 审阅者可以使用提供的见解有效地决定来宾是否应具有持续访问权限。
  • 客户可以查看并认证员工对Microsoft Entra 资源的访问权限。
  • 客户可以查看和审核分配,以Microsoft Entra ID 特权角色。 这支持组织管理特权访问。

通过 API 创建或管理访问评审的租户必须具有足够的购买许可证或试用许可证。 有关许可证要求的详细信息,请参阅 访问评审许可证要求

注意

本文介绍如何从设备或服务导出个人数据。 这些步骤可用于支持一般数据保护条例 (GDPR) 下的义务。 授权租户管理员可以使用 Microsoft Graph 更正、更新或删除有关最终用户的可识别信息,包括客户和员工用户配置文件或个人数据,如用户名、工作职务、地址或电话号码,在 Microsoft Entra ID 环境中。

方法

下表列出了可用于与访问评审相关的资源进行交互的方法。

方法 返回类型 说明
计划定义
列表定义 accessReviewScheduleDefinition 集合 获取 accessReviewScheduleDefinition 对象及其属性的列表。
创建定义 accessReviewScheduleDefinition 创建新的 accessReviewScheduleDefinition 对象。
获取 accessReviewScheduleDefinition accessReviewScheduleDefinition 读取 accessReviewScheduleDefinition 对象的属性和关系。
更新 accessReviewScheduleDefinition accessReviewScheduleDefinition 更新 accessReviewScheduleDefinition 对象的属性。
删除 accessReviewScheduleDefinition 删除 accessReviewScheduleDefinition 对象。
filterByCurrentUser accessReviewScheduleDefinition 集合 返回调用用户是任何实例的审阅者的所有定义。
实例
列出实例 accessReviewInstance 集合 获取 accessReviewInstance 对象及其属性的列表。
获取 accessReviewInstance accessReviewInstance 读取 accessReviewInstance 对象的属性和关系。
stop 手动停止 accessReviewInstance。
sendReminder 向 accessReviewInstance 的审阅者发送提醒。
resetDecisions 将实例上的所有决策项重置为 notReviewed
applyDecisions 手动对 accessReviewInstance 应用决策。
acceptRecommendations 允许调用用户接受作为特定 accessReviewInstance 审阅者的每个 NotReviewed accessReviewInstanceDecisionItem 的决策建议。
batchRecordDecisions 在一次调用中查看主体或资源的批处理。
filterByCurrentUser accessReviewInstance 集合 返回调用用户为其审阅者的定义上的所有实例对象。
实例决策项
列出决策 accessReviewInstanceDecisionItem 集合 获取 accessReviewInstanceDecisionItem 对象及其属性的列表。
获取 accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem 读取 accessReviewInstanceDecisionItem 对象的属性和关系。
更新 accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem 更新 accessReviewInstanceDecisionItem 对象的属性。
accessReviewInstanceDecisionItem: filterByCurrentUser accessReviewInstanceDecisionItem 集合 返回调用用户为其审阅者的决策项。
历史记录定义
List historyDefinitions accessReviewHistoryDefinition 集合 获取 accessReviewHistoryDefinition 对象及其属性的列表。
创建 historyDefinitions accessReviewHistoryDefinition 创建新的 accessReviewHistoryDefinition 对象。
获取 accessReviewHistoryDefinition accessReviewHistoryDefinition 读取 accessReviewHistoryDefinition 对象的属性和关系。
generateDownloadUri accessReviewHistoryInstance 为可用于检索查看历史记录数据的实例生成 URI。
列出实例 accessReviewHistoryInstance 检索 accessReviewHistoryInstance 对象及其属性的列表。

角色和应用程序权限授权检查

调用用户需要以下 Microsoft Entra 角色 才能管理访问评审。

操作 应用程序权限 调用用户的最低特权目录角色
阅读 AccessReview.Read.All 或 AccessReview.ReadWrite.All 全局读取者、安全管理员、安全读取者或用户管理员
创建、更新或删除 AccessReview.ReadWrite.All 用户管理员

此外,作为访问评审的已分配审阅者的用户可以管理其决策,而无需担任目录角色。