使用 Microsoft Graph API 将审阅者分配给你的访问评审

Azure AD 访问评审 API 允许你以编程方式查看用户、服务主体或组对 Azure AD 资源的访问权限。

主要审阅者在访问评审 accessReviewScheduleDefinition资源的 reviewers 属性中配置。 此外,可以使用 fallbackReviewers 属性指定回退审阅者。 创建自审阅网站时,不需要 (查看自己的访问权限) 。

配置审阅者

若要配置审阅者和回退审阅者,请设置 accessReviewReviewerScopequery、queryRootqueryType 属性的值。 有关这些属性的说明,请参阅 accessReviewReviewerScope 资源类型。

示例 1:作为审阅者的特定用户

"reviewers": [
    {
        "query": "/users/{user id}",
        "queryType": "MicrosoftGraph"
    }
]

示例 2:作为审阅者的组的成员

"reviewers": [
    {
        "query": "/groups/{group id}}/transitiveMembers",
        "queryType": "MicrosoftGraph"
    }
]

示例 3:作为审阅者的组所有者

"reviewers": [
    {
        "query": "./owners",
        "queryType": "MicrosoftGraph"
    }
]

若要仅将特定国家/地区中的组所有者分配为审阅者,

"reviewers": [
    {
        "query": "/groups/{group id}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
        "type": "MicrosoftGraph”
    }
]

示例 4:作为审阅者的人经理

"reviewers": [
    {
        "query": "./manager",
        "queryType": "MicrosoftGraph",
        "queryRoot": "decisions"
    }
]

由于 ./manager 是相对查询,因此请用值 指定 queryRoot 属性 decisions

示例 5:作为审阅者的应用程序所有者

"reviewers": [
    {
        "query": "/servicePrincipals/{id}/owners",
        "queryType": "MicrosoftGraph"
    }
]

后续步骤