反馈 编辑

Azure AD 访问审查

  • 项目

命名空间:microsoft.graph

使用 Azure AD 访问评审 配置一次性或定期访问评审,以证明用户访问 Azure AD 资源的权限。 这些 Azure AD 资源包括组、服务主体、访问包和特权角色。

访问评审的典型客户方案包括:

  • 客户可以通过组成员身份查看和认证来宾用户对组的访问权限。 审阅者可以使用提供的见解来有效地确定来宾是否应继续访问。
  • 客户可以查看和认证员工对 Azure AD 资源的访问权限。
  • 客户可以查看和审核 Azure AD 特权角色的分配。 这支持组织管理特权访问。

访问评审功能(包括 API)仅适用于Azure AD Premium P2或 EMS E5 订阅的有效购买或试用许可证。 有关许可证要求的详细信息,请 参阅 Access 评审许可证要求

备注

本文介绍如何从设备或服务导出个人数据。 这些步骤可用于支持根据《一般数据保护条例》 (GDPR) 的义务。 授权的租户管理员可以使用 Microsoft Graph 更正、更新或删除有关最终用户的可识别信息,包括客户和员工用户配置文件或个人数据(如用户的姓名、工作标题、地址或电话号码)在Azure Active Directory (Azure AD) 环境中。

方法

下表列出了可用于与访问评审相关的资源交互的方法。

方法 返回类型 说明
计划定义
列表定义 accessReviewScheduleDefinition 集合 获取 accessReviewScheduleDefinition 对象及其属性的列表。
创建定义 accessReviewScheduleDefinition 创建新的 accessReviewScheduleDefinition 对象。
获取 accessReviewScheduleDefinition accessReviewScheduleDefinition 读取 accessReviewScheduleDefinition 对象的属性和关系。
更新 accessReviewScheduleDefinition accessReviewScheduleDefinition 更新 accessReviewScheduleDefinition 对象的 属性。
删除 accessReviewScheduleDefinition 删除 accessReviewScheduleDefinition 对象。
filterByCurrentUser accessReviewScheduleDefinition 集合 返回调用用户是任何实例的审阅者的所有定义。
实例
列出实例 accessReviewInstance 集合 获取 accessReviewInstance 对象及其属性的列表。
获取 accessReviewInstance accessReviewInstance 读取 accessReviewInstance 对象的属性和关系。
stop 手动停止 accessReviewInstance。
sendReminder 向 accessReviewInstance 的审阅者发送提醒。
resetDecisions 将实例上的所有决策项重置为 notReviewed
applyDecisions 对 accessReviewInstance 手动应用决策。
acceptRecommendations 允许调用用户接受针对每个 NotReviewed accessReviewInstanceDecisionItem 的决策建议,即他们是特定 accessReviewInstance 的审阅者。
batchRecordDecisions 在一次调用中查看主体或资源的批处理。
filterByCurrentUser accessReviewInstance 集合 返回调用用户为审阅者的定义上的所有实例对象。
实例决策项
列出决策 accessReviewInstanceDecisionItem 集合 获取 accessReviewInstanceDecisionItem 对象及其属性的列表。
获取 accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem 读取 accessReviewInstanceDecisionItem 对象的属性和关系。
更新 accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem 更新 accessReviewInstanceDecisionItem 对象的 属性。
accessReviewInstanceDecisionItem: filterByCurrentUser accessReviewInstanceDecisionItem 集合 返回调用用户是其审阅者的决策项。
历史记录定义
列出 historyDefinitions accessReviewHistoryDefinition 集合 获取 accessReviewHistoryDefinition 对象及其属性的列表。
创建 historyDefinitions accessReviewHistoryDefinition 创建新的 accessReviewHistoryDefinition 对象。
获取 accessReviewHistoryDefinition accessReviewHistoryDefinition 读取 accessReviewHistoryDefinition 对象的属性和关系。
generateDownloadUri accessReviewHistoryInstance 为可用于检索审阅历史记录数据的实例生成 URI。
列出实例 accessReviewHistoryInstance 检索 accessReviewHistoryInstance 对象及其属性的列表。

角色和应用程序权限授权检查

调用用户需要以下 Azure AD 角色 来管理访问评审。

操作 应用程序权限 调用用户所需的目录角色
读取 AccessReview.Read.All 或 AccessReview.ReadWrite.All 全局管理员、全局读取者、安全管理员、安全读取者或用户管理员
创建、更新或删除 AccessReview.ReadWrite.All 全局管理员或用户管理员

此外,作为访问评审的分配审阅者用户可以管理其决策,而无需担任目录角色。

另请参阅