已弃 (Azure AD 访问)

命名空间：microsoft.graph

重要

Microsoft Graph版本下的 /beta API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用，请使用 版本 选择器。

备注

访问评审 API 已弃用，将在 2023 年 5 月 19 日停止返回数据。 请使用 访问评审。

可以使用 Azure AD 访问评审 来配置一次性或定期访问评审，以证明用户的访问权限。

访问组成员身份和应用程序访问评审的典型客户方案包括：

• 客户可以通过使用访问评审来查看和认证来宾用户访问权，访问应用程序和组成员身份。 审阅者可以使用提供的见解来有效决定是否应让来宾继续访问。

• 客户可以通过访问评审查看并认证员工对应用程序和组成员身份的访问权限。

• 客户可以将访问控制收集到与组织相关的程序中，以跟踪合规性或风险敏感型应用程序的相关审查。

客户还可以查看和认证分配给 Azure AD 角色（如全局管理员或 Azure 订阅角色）的管理用户的角色分配的相关功能。 此功能包含在 Azure ADPrivileged Identity Management 中。

请注意，访问评审功能（包括 API）包含在 Azure AD 高级版 P2 中。 创建访问评审的租户必须拥有有效的已购买或试用 Azure AD 高级版 P2 或 EMS E5 订阅。 在创建访问评审、计划或程序控制之前，管理员必须事先已载入才能准备 programControlType 和 businessFlowTemplate 资源。 组织可以载入 Azure AD 访问评审，或者，对于 Azure AD 角色或 Azure 订阅角色的访问评审，为 Azure AD PIM。

方法

下表列出了可用于与访问评审相关资源进行交互的方法。

方法	返回类型	说明
获取 accessReview	accessReview	获取具有特定 ID 的访问评审。
创建 accessReview	accessReview	创建新的 accessReview。
删除 accessReview	无。	删除 accessReview。
更新 accessReview	accessReview	更新 accessReview。
列出 accessReviews	accessReview 集合	列出 businessFlowTemplate 的 accessReviews。
列出 accessReview 审阅者	userIdentity 集合	获取 accessReview 的审阅者。
添加 accessReview 审阅者	无。	将审阅者添加到 accessReview。
删除 accessReview 审阅者	无。	从 accessReview 中删除审阅者。
列出 accessReview 决策	accessReviewDecision 集合	获取 accessReview 的决策。
列出我的 accessReview 决策	accessReviewDecision 集合	作为审阅者，获取我在 accessReview 上的决定。
发送 accessReview 提醒	无。	向 accessReview 的审阅者发送提醒。
Stop accessReview	无。	停止 accessReview。
重置 accessReview 决策	无。	重置进行中的 accessReview 中的决策。
应用 accessReview 决策	无。	从已完成的 accessReview 应用决策。
列出 businessFlowTemplates	businessFlowTemplate 集合	获取适用于访问评论的业务流程模板。
创建程序	程序	创建新程序。
删除程序	无。	删除程序。
列出程序	program 集合	获取所有程序的集合。
列出程序的 programControls	programControl 集合	获取程序控件的集合。
更新程序	程序	更新程序。
创建 programControl	programControl	将 programControl 添加到程序。
删除 programControl	无。	从程序中删除 programControl。
列出 programControls	programControl 集合	列出租户中所有程序控件。
列出 programControlTypes	programControlType 集合	列出程序控件类型。

角色和应用程序权限授权检查

以下目录角色是呼叫用户管理访问评审、程序和控件所需的。

目标资源	Operation	应用程序权限	呼叫用户的必需目录角色
accessReview of an Azure AD role	阅读	AccessReview.Read.All 或 AccessReview.ReadWrite.All	全局管理员、全局读取者、安全管理员、安全读取者或特权角色管理员
accessReview of an Azure AD role	创建、更新或删除	AccessReview.ReadWrite.All	全局管理员或特权角色管理员
accessReview of a group or app	阅读	AccessReview.Read.All、AccessReview.ReadWrite.Membership 或 AccessReview.ReadWrite.All	全局管理员、全局读取者、安全管理员、安全读者或用户管理员
accessReview of a group or app	创建、更新或删除	AccessReview.ReadWrite.Membership 或 AccessReview.ReadWrite.All	全局管理员或用户管理员
program 和 programControl	阅读	ProgramControl.Read.All 或 ProgramControl.ReadWrite.All	全局管理员、全局读取者、安全管理员、安全读者或用户管理员
program 和 programControl	创建、更新或删除	ProgramControl.ReadWrite.All	全局管理员或用户管理员

此外，作为访问评审的分配审阅者的用户可以管理其决策，而无需担任目录角色。

另请参阅

• 管理员如何使用 Azure AD 访问评审管理用户访问
• 管理员如何使用 Azure AD 访问评审管理来宾访问
• 管理员如何管理 Azure AD 访问评审的计划和控制