Arbeiten mit der Azure AD-Berechtigungsverwaltungs-API
Namespace: microsoft.graph
Wichtig
APIs unter der /beta Version in Microsoft Graph können geändert werden. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in Version 1.0 verfügbar ist, verwenden Sie die Versionsauswahl .
Azure Active Directory (Azure AD) Berechtigungsverwaltung kann Ihnen dabei helfen, den Zugriff auf Gruppen, Anwendungen und SharePoint Onlinewebsites für interne Benutzer sowie Benutzer außerhalb Ihrer Organisation zu verwalten.
Indem Sie Zugriffspakete mit den Rollen erstellen, über die Benutzer in diesen Ressourcen verfügen müssen, und Richtlinien dafür definieren, wer ein Zugriffspaket anfordern kann und wie lange sie eine Zuweisung zu einem Zugriffspaket haben können, können Sie den Lebenszyklus des Zugriffs für interne und externe Benutzer steuern.
Die Ressourcentypen für die Berechtigungsverwaltung umfassen:
- accessPackage: Definiert die Auflistungen von Ressourcenrollen und die Richtlinien dafür, wie ein oder mehrere Benutzer Zugriff auf diese Ressourcen erhalten können.
- accessPackageAssignmentPolicy: Gibt die Richtlinie an, mit der Subjekte ein Zugriffspaket über eine Zugriffspaketzuweisung anfordern oder zugewiesen werden können.
- accessPackageAssignmentRequest: Erstellt von einem Benutzer, der eine Zugriffspaketzuweisung erhalten möchte.
- accessPackageAssignment: Eine Zuweisung eines Zugriffspakets zu einem bestimmten Thema für einen bestimmten Zeitraum.
- accessPackageAssignmentResourceRole: Gibt die ressourcenspezifische Rolle an, der ein Betreff über eine Zugriffspaketzuordnung zugewiesen wurde.
- accessPackageCatalog: Ein Container für Access-Pakete.
- accessPackageResource: Ein Verweis auf eine Ressource, die einem Zugriffspaketkatalog zugeordnet ist.
- accessPackageResourceRequest: Eine Anforderung zum Hinzufügen einer Ressource zu einem Zugriffspaketkatalog.
- accessPackageResourceEnvironment: Ein Verweis auf die Geolocation der Ressource. Gilt für Multi-Geo-SharePoint Online-Websites.
- connectedOrganization: Eine verbundene Organisation für externe Benutzer, die Zugriff anfordern können.
- entitlementManagementSettings: Mandantenweite Einstellungen für die Azure AD-Berechtigungsverwaltung.
- genehmigung: stellt die Entscheidungen dar, die einer Zugriffspaketanforderung zugeordnet sind.
Darüber hinaus können Rollenzuweisungen für berechtigungsverwaltungsspezifische Rollen über Rollendefinitionen für die Berechtigungsverwaltung verwaltet werden.
Ein Lernprogramm, das Ihnen zeigt, wie Sie mithilfe der Berechtigungsverwaltung ein Ressourcenpaket erstellen, das interne Benutzer selbst anfordern können, finden Sie unter Erstellen eines Zugriffspakets mithilfe von Microsoft Graph-APIs.
Beachten Sie, dass die Berechtigungsverwaltungsfunktion, einschließlich der API, in Azure AD Premium P2 enthalten ist. Der Mandant, in dem die Berechtigungsverwaltung verwendet wird, muss über ein gültiges erworbenes oder testversionsbasiertes Azure AD Premium P2- oder EMS E5-Abonnement verfügen. Weitere Informationen zu den Lizenzanforderungen für das Berechtigungsverwaltungsfeature finden Sie unter Lizenzanforderungen für die Berechtigungsverwaltung.
Methoden
In der folgenden Tabelle sind die Methoden aufgeführt, mit denen Sie mit Ressourcen im Zusammenhang mit der Berechtigungsverwaltung interagieren können.
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Abrufen | entitlementManagementSettings | Lesen der Eigenschaften eines entitlementManagementSettings-Objekts . |
| Update | entitlementManagementSettings | Dient zum Aktualisieren der Eigenschaften eines entitlementManagementSettings-Objekts . |
| accessPackages auflisten | accessPackage-Auflistung | Dient zum Abrufen einer Liste von accessPackage-Objekten . |
| accessPackage erstellen | accessPackage | Erstellen Sie ein neues accessPackage-Objekt . |
| accessPackage abrufen | accessPackage | Liest die Eigenschaften und Beziehungen eines accessPackage-Objekts . |
| accessPackage aktualisieren | None | Dient zum Aktualisieren der Eigenschaften eines accesspackage-Objekts . |
| accessPackage löschen | AccessPackage löschen. | |
| FilterByCurrentUser | accessPackage-Auflistung | Dient zum Abrufen einer Liste der accessPackage-Objekte , die nach dem angemeldeten Benutzer gefiltert wurden. |
| accessPackageResourceRoleScopes auflisten | accessPackageResourceRoleScope-Auflistung | Dient zum Abrufen einer Liste der accessPackageResourceRoleScope-Objekte für ein Zugriffspaket. |
| accessPackageResourceRoleScope erstellen | Erstellen Sie ein neues accessPackageResourceRoleScope-Objekt für ein Zugriffspaket. | |
| InkompatibleAccessPackages auflisten | accessPackage-Auflistung | Dient zum Abrufen einer Liste der inkompatiblen AccessPackage-Objekte für dieses Zugriffspaket. |
| Hinzufügen von "accessPackage" zu "incompatibleAccessPackages" | None | Fügen Sie einen Link hinzu, um anzugeben, dass ein anderes AccessPackage mit einem angegebenen Zugriffspaket nicht kompatibel ist. |
| accessPackage aus inkompatiblenAccessPackages entfernen | None | Entfernen Sie einen Link, der darauf hinwies, dass ein AccessPackage nicht kompatibel war. |
| Inkompatible Gruppen auflisten | group-Sammlung | Dient zum Abrufen einer Liste der inkompatiblen Gruppenobjekte für dieses Zugriffspaket. |
| Hinzufügen einer Gruppe zu inkompatiblen Gruppen | None | Fügen Sie einen Link hinzu, um anzugeben, dass die Mitgliedschaft in einer Gruppe mit einem angegebenen Zugriffspaket nicht kompatibel ist. |
| Gruppe aus inkompatiblen Gruppen entfernen | None | Entfernen Sie einen Link, der darauf hinwies, dass eine Gruppenmitgliedschaft nicht kompatibel war. |
| accessPackagesIncompatibleWith auflisten | accessPackage-Auflistung | Dient zum Abrufen einer Liste der accesspackage-Objekte , die dieses Zugriffspaket als inkompatibel auflisten. |
| accessPackageAssignmentPolicies auflisten | accessPackageAssignmentPolicy-Auflistung | Dient zum Abrufen einer Liste von accessPackageAssignmentPolicy-Objekten . |
| accessPackageAssignmentPolicy erstellen | accessPackageAssignmentPolicy | Erstellen Sie ein neues accessPackageAssignmentPolicy-Objekt . |
| accessPackageAssignmentPolicy abrufen | accessPackageAssignmentPolicy | Liest die Eigenschaften und Beziehungen eines accessPackageAssignmentPolicy-Objekts . |
| accessPackageAssignmentPolicy aktualisieren | accessPackageAssignmentPolicy | Dient zum Aktualisieren der Eigenschaften eines accessPackageAssignmentPolicy-Objekts . |
| accessPackageAssignmentPolicy löschen | Löschen sie eine accessPackageAssignmentPolicy. | |
| accessPackageAssignmentRequests auflisten | accessPackageAssignmentRequest-Auflistung | Dient zum Abrufen einer Liste von accessPackageAssignmentRequest-Objekten . |
| accessPackageAssignmentRequest erstellen | accessPackageAssignmentRequest | Erstellen Sie ein neues accessPackageAssignmentRequest.Create a new accessPackageAssignmentRequest. |
| accessPackageAssignmentRequest abrufen | accessPackageAssignmentRequest | Lesen von Eigenschaften und Beziehungen eines accessPackageAssignmentRequest-Objekts . |
| accessPackageAssignmentRequest löschen | None | Dient zum Löschen eines accessPackageAssignmentRequest-Objekts. |
| FilterByCurrentUser | accessPackageAssignmentRequest-Auflistung | Ruft die Liste der accessPackageAssignmentRequest-Objekte ab, die für den angemeldeten Benutzer gefiltert sind. |
| cancel | accessPackageAssignmentRequest-Auflistung | Abbrechen eines accessPackageAssignmentRequest-Objekts , das sich in einem abbruchfähigen Zustand befindet: accepted, pendingApproval, pendingNotBefore, pendingApprovalEscalated. |
| accessPackageAssignments auflisten | accessPackageAssignment-Auflistung | Dient zum Abrufen einer Liste von accessPackageAssignment-Objekten . |
| FilterByCurrentUser | accessPackageAssignment-Auflistung | Ruft die Liste der accessPackageAssignment-Objekte ab, die für den angemeldeten Benutzer gefiltert wurden. |
| Verarbeiten | None | Automatisches erneutes Auswerten und Erzwingen der Zuweisungen eines Benutzers für ein bestimmtes Zugriffspaket. |
| additionalAccess accessPackageAssignment-Sammlung | Rufen Sie die Liste der accessPackageAssignment-Objekte für Benutzer ab, die Zuweisungen zu inkompatiblen Zugriffspaketen haben. | |
| accessPackageAssignmentResourceRoles auflisten | accessPackageAssignmentResourceRole-Sammlung | Dient zum Abrufen einer Liste der accessPackageAssignmentResourceRole-Objekte . |
| accessPackageAssignmentResourceRole abrufen | accessPackageAssignmentResourceRole | Dient zum Abrufen eines accessPackageAssignmentResourceRole-Objekts . |
| accessPackageCatalogs auflisten | accessPackageCatalog-Auflistung | Dient zum Abrufen einer Liste von accessPackageCatalogs-Objekten . |
| accessPackageCatalog erstellen | accessPackageCatalog | Erstellen Sie ein neues accessPackageCatalog-Objekt . |
| accessPackageCatalog abrufen | accessPackageCatalog | Liest die Eigenschaften und Beziehungen eines accessPackageCatalog-Objekts . |
| accessPackageCatalog aktualisieren | None | Dient zum Aktualisieren der Eigenschaften eines accessPackageCatalog-Objekts . |
| accessPackageCatalog löschen | Löschen eines accessPackageCatalog-Objekts. | |
| accessPackageCatalog-Ressourcen auflisten | accessPackageResource-Sammlung | Dient zum Abrufen einer Liste von accessPackageResource-Objekten . |
| AccessPackageCatalog-Ressourcenrollen auflisten | accessPackageResourceRole-Auflistung | Dient zum Abrufen einer Liste der accessPackageResourceRole-Objekte . |
| accessPackageResourceRequests auflisten | accessPackageResourceRequest-Sammlung | Liest die Eigenschaften und Beziehungen von accessPackageResourceRequest-Objekten . |
| accessPackageResourceRequest erstellen | accessPackageCatalog | Erstellen Sie ein neues accessPackageResourceRequest-Objekt . |
| accessPackageResourceEnvironments auflisten | accessPackageResourceEnvironment-Sammlung | Dient zum Abrufen einer Liste von accessPackageResourceEnvironment-Objekten . |
| accessPackageResourceEnvironment abrufen | accessPackageResourceEnvironment | Lesen sie die Eigenschaften und Beziehungen eines accessPackageResourceEnvironment-Objekts . |
| connectedOrganizations auflisten | connectedOrganization-Sammlung | Dient zum Abrufen einer Liste von connectedOrganization-Objekten . |
| connectedOrganization erstellen | connectedOrganization | Erstellen Sie ein neues connectedOrganization-Objekt . |
| ConnectedOrganization abrufen | connectedOrganization | Dient zum Lesen von Eigenschaften und Beziehungen eines connectedOrganization-Objekts . |
| connectedOrganization aktualisieren | None | Aktualisieren sie eine connectedOrganization. |
| connectedOrganization löschen | None | Löschen einer connectedOrganization. |
| interne Sponsoren auflisten | directoryObject collection | Rufen Sie eine Liste der internen Sponsoren einer connectedOrganization ab. |
| externalSponsors auflisten | directoryObject collection | Rufen Sie eine Liste der externen Sponsoren einer connectedOrganization ab. |
| Hinzufügen von internalSponsors | None | Fügen Sie einen Benutzer oder eine Gruppe zu den internen Sponsoren einer connectedOrganization hinzu. |
| externalSponsors hinzufügen | None | Fügen Sie einen Benutzer oder eine Gruppe zu den externen Sponsoren einer connectedOrganization hinzu. |
| Entfernen interner Sponsoren | None | Entfernen Sie einen Benutzer oder eine Gruppe aus den internen Sponsoren einer connectedOrganization . |
| Genehmigung anfordern | Genehmigung | Dient zum Abrufen der Eigenschaften eines Genehmigungsobjekts. |
| ApprovalSteps auflisten | approvalStep-Sammlung | Auflisten der approvalStep-Objekte , die einem Genehmigungsobjekt zugeordnet sind. |
| ApprovalStep abrufen | approvalStep | Dient zum Abrufen der Eigenschaften eines approvalStep-Objekts . |
| Genehmigungsschritt aktualisieren | None | Anwenden einer Genehmigungs- oder Ablehnungsentscheidung auf ein approvalStep-Objekt . |
Typen
- requestorSettings, approvalSettings, questions and assignmentReviewSettings – Wird in einer accessPackageAssignmentPolicy verwendet, um anzugeben, wer anfordern kann, wer genehmigt und wer Zugriffspaketzuweisungsanforderungen für diese Richtlinie überprüft.
- approvalStage – Wird in den approvalSettings verwendet, um die primären Genehmigenden, Sicherungs- und Eskalationsgenehmigungen anzugeben.
- approvalStep – Wird bei der Genehmigung verwendet, um die verschiedenen Genehmigungsschritte zu unterscheiden.
- userSet-Untertypen singleUser, groupMembers, connectedOrganizationMembers, requestorManager, internalSponsors und externalSponsors – Wird in requestorSettings, approvalStage, approvalStep und assignmentReviewSettings verwendet.
- accessPackageSubject – Wird in accessPackageAssignment als Betreffbenutzer verwendet, der über eine Zugriffspaketzuweisung verfügt.
- identitySource – wird in " connectedOrganization", einem von "azureActiveDirectoryTenant", "crossCloudAzureActiveDirectoryTenant", "domainIdentitySource " oder "externalDomainFederation" verwendet.
Siehe auch
Feedback
Feedback senden und anzeigen für