使用 Azure AD 权利管理 API

命名空间：microsoft.graph

重要

Microsoft Graph版本下的 /beta API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用，请使用 版本 选择器。

Azure Active Directory (Azure AD) 权利管理可以帮助你管理对内部用户以及组织外部用户的组、应用程序和SharePoint Online 网站的访问权限。

通过使用用户在这些资源中需要具有的角色创建访问包，并为谁可以请求访问包以及他们可以分配访问包多长时间定义策略，可以控制内部和外部用户的访问生命周期。

权利管理资源类型包括：

• accessPackage：定义资源角色的集合以及一个或多个用户如何获取对这些资源的访问权限的策略。
• accessPackageAssignmentPolicy：指定通过访问包分配来请求或分配访问包的主题的策略。
• accessPackageAssignmentRequest：由希望获取访问包分配的用户创建。
• accessPackageAssignment：向特定主题分配访问包一段时间。
• accessPackageAssignmentResourceRole：指示通过访问包分配分配主题的特定于资源的角色。
• accessPackageCatalog：用于访问包的容器。
• accessPackageResource：对与访问包目录关联的资源的引用。
• accessPackageResourceRequest：向访问包目录添加资源的请求。
• accessPackageResourceEnvironment：对资源地理位置的引用。 适用于多地理位置SharePoint联机网站。
• connectedOrganization：可请求访问权限的外部用户的已连接组织。
• entitlementManagementSettings：Azure AD 权利管理的租户范围设置。
• 审批：表示与访问包请求关联的决策。

此外，可以通过权利管理角色定义来管理特定于权利管理 的角色的角色分配。

有关演示如何使用权利管理创建内部用户可以自助请求的资源包的教程，请参阅使用 Microsoft Graph API 创建访问包。

请注意，权利管理功能（包括 API）包含在Azure AD Premium P2中。 使用权利管理的租户必须具有有效的购买或试用Azure AD Premium P2或 EMS E5 订阅。 有关权利管理功能的许可证要求的详细信息，请参阅 权利管理许可证要求。

方法

下表列出了可用于与权利管理相关资源交互的方法。

方法	返回类型	说明
获取	entitlementManagementSettings	读取 entitlementManagementSettings 对象的 属性。
更新	entitlementManagementSettings	更新 entitlementManagementSettings 对象的 属性。
列出 accessPackages	accessPackage 集合	检索 accessPackage 对象的列表。
创建 accessPackage	accessPackage	创建新的 accessPackage 对象。
获取 accessPackage	accessPackage	读取 accessPackage 对象的属性和关系。
更新 accessPackage	无	更新 accesspackage 对象的属性。
删除 accessPackage		删除 accessPackage。
FilterByCurrentUser	accessPackage 集合	检索已登录用户上筛选的 accessPackage 对象的列表。
列出 accessPackageResourceRoleScopes	accessPackageResourceRoleScope 集合	检索访问包的 accessPackageResourceRoleScope 对象列表。
创建 accessPackageResourceRoleScope		为访问包创建新的 accessPackageResourceRoleScope 对象。
列出不兼容的AccessPackages	accessPackage 集合	检索此访问包的不兼容 访问包 对象的列表。
将 accessPackage 添加到不兼容的AccessPackages	无	添加一个链接，指示另一 个 accesspackage 与指定的访问包不兼容。
从不兼容的AccessPackages中删除 accessPackage	无	删除指示 访问包 不兼容的链接。
列出不兼容组	group 集合	检索此访问包的不兼容 组 对象的列表。
将组添加到不兼容组	无	添加一个链接以指示 组 的成员身份与指定的访问包不兼容。
从不兼容组中删除组	无	删除指示 组 成员身份不兼容的链接。
列出 accessPackagesIncompatibleWith	accessPackage 集合	检索 Accesspackage 对象的列表，这些对象将此访问包列为不兼容。
列出 accessPackageAssignmentPolicies	accessPackageAssignmentPolicy 集合	检索 accessPackageAssignmentPolicy 对象的列表。
创建 accessPackageAssignmentPolicy	accessPackageAssignmentPolicy	创建新的 accessPackageAssignmentPolicy 对象。
获取 accessPackageAssignmentPolicy	accessPackageAssignmentPolicy	读取 accessPackageAssignmentPolicy 对象的属性和关系。
更新 accessPackageAssignmentPolicy	accessPackageAssignmentPolicy	更新 accessPackageAssignmentPolicy 对象的 属性。
删除 accessPackageAssignmentPolicy		删除 accessPackageAssignmentPolicy。
列出 accessPackageAssignmentRequests	accessPackageAssignmentRequest 集合	检索 accessPackageAssignmentRequest 对象的列表。
创建 accessPackageAssignmentRequest	accessPackageAssignmentRequest	创建新的 accessPackageAssignmentRequest。
获取 accessPackageAssignmentRequest	accessPackageAssignmentRequest	读取 accessPackageAssignmentRequest 对象的属性和关系。
删除 accessPackageAssignmentRequest	无	删除 accessPackageAssignmentRequest。
FilterByCurrentUser	accessPackageAssignmentRequest 集合	检索已登录用户上筛选的 accessPackageAssignmentRequest 对象的列表。
取消	accessPackageAssignmentRequest 集合	取消处于可取消状态 的 accessPackageAssignmentRequest 对象： accepted， ， pendingApproval``pendingNotBefore， . pendingApprovalEscalated
列出 accessPackageAssignments	accessPackageAssignment 集合	检索 accessPackageAssignment 对象的 列表。
FilterByCurrentUser	accessPackageAssignment 集合	检索已登录用户上筛选的 accessPackageAssignment 对象的列表。
重新处理	无	自动重新评估并强制执行特定访问包的用户分配。
additionalAccess accessPackageAssignment 集合	检索分配到不兼容访问包的用户的 accessPackageAssignment 对象列表。
列出 accessPackageAssignmentResourceRoles	accessPackageAssignmentResourceRole 集合	检索 accessPackageAssignmentResourceRole 对象的列表。
获取 accessPackageAssignmentResourceRole	accessPackageAssignmentResourceRole	检索 accessPackageAssignmentResourceRole 对象。
列出 accessPackageCatalogs	accessPackageCatalog 集合	检索 accessPackageCatalogs 对象的 列表。
创建 accessPackageCatalog	accessPackageCatalog	创建新的 accessPackageCatalog 对象。
获取 accessPackageCatalog	accessPackageCatalog	读 取 accessPackageCatalog 对象的属性和关系。
更新 accessPackageCatalog	无	更新 accessPackageCatalog 对象的属性。
删除 accessPackageCatalog		删除 accessPackageCatalog。
列出 accessPackageCatalog 资源	accessPackageResource 集合	检索 accessPackageResource 对象的列表。
列出 accessPackageCatalog 资源角色	accessPackageResourceRole 集合	检索 accessPackageResourceRole 对象的 列表。
列出 accessPackageResourceRequests	accessPackageResourceRequest 集合	读 取 accessPackageResourceRequest 对象的属性和关系。
创建 accessPackageResourceRequest	accessPackageCatalog	创建新的 accessPackageResourceRequest 对象。
列出 accessPackageResourceEnvironments	accessPackageResourceEnvironment 集合	检索 accessPackageResourceEnvironment 对象的 列表。
获取 accessPackageResourceEnvironment	accessPackageResourceEnvironment	读取 accessPackageResourceEnvironment 对象的属性和关系。
列出 connectedOrganizations	connectedOrganization 集合	检索 connectedOrganization 对象的列表。
创建 connectedOrganization	connectedOrganization	创建新的 connectedOrganization 对象。
获取 connectedOrganization	connectedOrganization	读取 connectedOrganization 对象的属性和关系。
更新 connectedOrganization	无	更新 connectedOrganization。
删除 connectedOrganization	无	删除 connectedOrganization。
列出 internalSponsors	directoryObject 集合	检索 connectedOrganization 的 内部发起人的列表。
列出 externalSponsors	directoryObject collection	检索 connectedOrganization 的 外部发起人的列表。
添加 internalSponsors	无	将用户或组添加到 connectedOrganization 的 内部发起人。
添加 externalSponsors	无	将用户或组添加到 connectedOrganization 的 外部发起人。
删除 internalSponsors	无	从 connectedOrganization 的 内部发起人中删除用户或组。
获取批准	“审批”	检索 审批 对象的属性。
List approvalSteps	approvalStep 集合	列出与 审批 对象关联的 approvalStep 对象。
Get approvalStep	approvalStep	检索 approvalStep 对象的属性。
Update approvalStep	无	对 approvalStep 对象应用批准或拒绝决策。

类型

• requestorSettings、 approvalSettings、 questions and assignmentReviewSettings - 在 accessPackageAssignmentPolicy 中使用，用于指定谁可以请求、谁批准以及谁对该策略的访问包分配请求进行评审。
• approvalStage - 在 approvalSettings 中用于指定主要、备份和升级审批者。
• approvalStep - 用于 审批 以区分不同的审批步骤。
• userSet 子类型 singleUser、 groupMembers、 connectedOrganizationMembers、 requestorManager、 internalSponsors 和 externalSponsors - 用于 requestorSettings、 approvalStage、 approvalStep 和 assignmentReviewSettings。
• accessPackageSubject - 在 accessPackageAssignment 中用作具有访问包分配的主题用户。
• identitySource - 用于 connectedOrganization、 azureActiveDirectoryTenant、 crossCloudAzureActiveDirectoryTenant、 domainIdentitySource 或 externalDomainFederation 之一。

另请参阅

• 什么是 Azure AD 权利管理？