Azure AD 访问审查

命名空间：microsoft.graph

重要

Microsoft Graph版本下的 /beta API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用，请使用 版本 选择器。

备注

这是用于访问评审的建议 API。 已弃用以前版本 的访问评审 API 。

使用 Azure AD 访问评审 配置一次性或定期访问评审，以证明用户访问 Azure AD 资源的权限。 这些 Azure AD 资源包括组、服务主体、访问包和特权角色。

访问评审的典型客户方案包括：

• 客户可以通过组成员身份查看和认证来宾用户对组的访问权限。 审阅者可以使用提供的见解来有效地确定来宾是否应继续访问。
• 客户可以查看和认证员工对 Azure AD 资源的访问权限。
• 客户可以查看和审核 Azure AD 特权角色的分配。 这支持组织管理特权访问。

请注意，访问评审功能（包括 API）包含在Azure AD Premium P2中。 创建访问评审的租户必须具有有效的购买或试用Azure AD Premium P2或 EMS E5 订阅。 有关许可证要求的详细信息，请 参阅 Access 评审许可证要求。

备注

本文介绍如何从设备或服务导出个人数据。 这些步骤可用于支持根据《一般数据保护条例》 (GDPR) 的义务。 授权的租户管理员可以使用 Microsoft Graph 更正、更新或删除有关最终用户的可识别信息，包括客户和员工用户配置文件或个人数据（如用户的姓名、工作标题、地址或电话号码）在Azure Active Directory (Azure AD) 环境中。

方法

下表列出了可用于与访问评审相关的资源交互的方法。

方法	返回类型	说明
计划定义
列表定义	accessReviewScheduleDefinition 集合	获取 accessReviewScheduleDefinition 对象及其属性的列表。
获取 accessReviewScheduleDefinition	accessReviewScheduleDefinition	获取 accessReviewScheduleDefinition 对象及其属性。
创建定义	accessReviewScheduleDefinition	创建新的 accessReviewScheduleDefinition。
删除 accessReviewScheduleDefinition	无。	删除 accessReviewScheduleDefinition。
更新 accessReviewScheduleDefinition	无。	使用指定的标识符更新 accessReviewScheduleDefinition 的属性。
filterByCurrentUser	accessReviewScheduleDefinition 集合	检索调用用户是一个或多个实例的审阅者的所有定义。
实例
列出实例	accessReviewInstance 集合	获取 accessReviewInstance 对象及其属性的列表。
获取 accessReviewInstance	accessReviewInstance	读取 accessReviewInstance 对象的属性和关系。
sendReminder	无。	向 accessReviewInstance 的审阅者发送提醒。
stop	无。	手动停止 accessReviewInstance。
acceptRecommendations	无。	允许调用用户接受针对每个 NotReviewed accessReviewInstanceDecisionItem 的决策建议，即他们是特定 accessReviewInstance 的审阅者。
applyDecisions	无。	在 accessReviewInstance 上手动应用决策。
batchRecordDecisions	无	在一次调用中查看主体或资源的批处理。
resetDecisions	无	将实例上的所有决策项重置为 notReviewed。
filterByCurrentUser	accessReviewInstance 集合	返回给定 accessReviewScheduleDefinition 上的所有实例，调用用户是一个或多个决策的审阅者。
实例决策项
列出决策	accessReviewInstanceDecisionItem 集合	获取 accessReviewInstanceDecisionItem 对象及其属性的列表。
获取 accessReviewInstanceDecisionItem	accessReviewInstanceDecisionItem	读取 accessReviewInstanceDecisionItem 对象的属性和关系。
更新 accessReviewInstanceDecisionItem	无。	对于向调用用户分配审阅者的任何 accessReviewInstanceDecisionItems，调用用户可以通过修补决策对象来记录决策。
filterByCurrentUser	accessReviewInstanceDecisionItem 集合	检索所有 accessReviewInstanceDecisionItems 对象，其中调用使用是给定 accessReviewInstance 的审阅者。
listPendingApproval (已弃用)	accessReviewInstanceDecisionItem 集合。	获取分配给调用用户的所有 accessReviewInstanceDecisionItems，以获取特定 accessReviewInstance。 此方法已被弃用，并替换为 accessReviewInstanceDecisionItem：filterByCurrentUser。
历史记录定义
列出 historyDefinitions	accessReviewHistoryDefinition 集合	获取 accessReviewHistoryDefinition 对象及其属性的列表。
创建 historyDefinitions	accessReviewHistoryDefinition	创建新的 accessReviewHistoryDefinition 对象。
获取 accessReviewHistoryDefinition	accessReviewHistoryDefinition	读取 accessReviewHistoryDefinition 对象的属性和关系。
generateDownloadUri	accessReviewHistoryInstance	为可用于检索审阅历史记录数据的实例生成 URI。
列出实例	accessReviewHistoryInstance	检索 accessReviewHistoryInstance 对象及其属性的列表。
策略
获取 accessReviewPolicy	accessReviewPolicy	读取 accessReviewPolicy 对象的属性和关系。
更新 accessReviewPolicy	accessReviewPolicy	更新 accessReviewPolicy 对象的 属性。
列出待批准的定义 (已弃用)	accessReviewScheduleDefinition 集合	检索调用用户是一个或多个实例的审阅者的所有定义。 此方法已被弃用并替换为 accessReviewScheduleDefinition：filterByCurrentUser。
列出挂起的AccessReviewInstances (已弃用)	accessReviewInstance 集合。	获取分配给调用用户的所有挂起的 accessReviewInstance 资源。 此方法已被弃用并替换为 accessReviewInstance：filterByCurrentUser。

角色和应用程序权限授权检查

调用用户需要以下 Azure AD 角色 来管理访问评审。

操作	应用程序权限	调用用户所需的目录角色
读取	AccessReview.Read.All 或 AccessReview.ReadWrite.All	全局管理员、全局读取者、安全管理员、安全读取者或用户管理员
创建、更新或删除	AccessReview.ReadWrite.All	全局管理员或用户管理员

此外，作为访问评审的分配审阅者用户可以管理其决策，而无需担任目录角色。

另请参阅

• 教程 ，了解如何使用访问评审 API 来评审对 Azure AD 资源的访问权限
• 管理员如何使用 Azure AD 访问评审管理用户访问权限
• 管理员如何使用 Azure AD 访问评审管理来宾访问