访问评审 API 概述
命名空间:microsoft.graph
使用 Microsoft Entra 访问评审 配置一次性或定期访问评审,以证明主体有权访问 entra 资源Microsoft。 主体是) (服务主体的用户或应用程序。 Microsoft Entra 资源包括组、应用程序 (服务主体) 、访问包和特权角色。 访问评审是Microsoft Entra ID 治理的一项功能。
访问评审的典型客户方案包括:
- 客户可以通过组成员身份查看和认证来宾用户对组的访问权限。 审阅者可以使用提供的见解有效地决定来宾是否应具有持续访问权限。
- 客户可以查看并认证员工对Microsoft Entra 资源的访问权限。
- 客户可以查看和审核分配,以Microsoft Entra ID 特权角色。 这支持组织管理特权访问。
通过 API 创建或管理访问评审的租户必须具有足够的购买许可证或试用许可证。 有关许可证要求的详细信息,请参阅 访问评审许可证要求。
注意
本文介绍如何从设备或服务导出个人数据。 这些步骤可用于支持一般数据保护条例 (GDPR) 下的义务。 授权租户管理员可以使用 Microsoft Graph 更正、更新或删除有关最终用户的可识别信息,包括客户和员工用户配置文件或个人数据,如用户名、工作职务、地址或电话号码,在 Microsoft Entra ID 环境中。
方法
下表列出了可用于与访问评审相关的资源进行交互的方法。
角色和应用程序权限授权检查
调用用户需要以下 Microsoft Entra 角色 才能管理访问评审。
操作 | 应用程序权限 | 调用用户的最低特权目录角色 |
---|---|---|
阅读 | AccessReview.Read.All 或 AccessReview.ReadWrite.All | 全局读取者、安全管理员、安全读取者或用户管理员 |
创建、更新或删除 | AccessReview.ReadWrite.All | 用户管理员 |
此外,作为访问评审的已分配审阅者的用户可以管理其决策,而无需担任目录角色。
相关内容
- 逐步完成引导教程 ,了解如何使用访问评审 API 查看对 Microsoft Entra 资源的访问权限。