使用Microsoft Entra权利管理 API

命名空间：microsoft.graph

重要

Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用，请使用 版本 选择器。

Microsoft Entra权利管理可帮助你管理内部用户以及组织外部用户对组、应用程序和 SharePoint Online 网站的访问权限。

通过创建具有用户在这些资源中需要具有的角色的访问包，并为谁可以请求访问包以及他们可以分配访问包多长时间定义策略，可以控制内部和外部用户访问的生命周期。

权利管理资源类型包括：

• accessPackage：定义资源角色的集合，以及一个或多个用户如何获取对这些资源的访问权限的策略。
• accessPackageAssignmentPolicy：指定主题可以通过访问包分配请求或分配访问包的策略。
• accessPackageAssignmentRequest：由希望获取访问包分配的用户创建。
• accessPackageAssignment：向特定主题分配访问包一段时间。
• accessPackageAssignmentResourceRole：指示已通过访问包分配分配使用者的资源特定角色。
• accessPackageCatalog：用于访问包的容器。
• accessPackageResource：对与访问包目录关联的资源的引用。
• accessPackageResourceRequest：向访问包目录添加资源的请求。
• accessPackageResourceEnvironment：对资源地理位置的引用。 适用于多地理位置 SharePoint Online 网站。
• connectedOrganization：可请求访问权限的外部用户的已连接组织。
• entitlementManagementSettings：用于Microsoft Entra权利管理的租户范围设置。
• 审批：表示与访问包请求关联的决策。

此外，还可以通过权利管理角色定义，管理用户、用户组和服务主体对特定于权利管理的角色 的角色分配。

有关演示如何使用权利管理创建内部用户可以自助请求的资源包的教程，请参阅 使用 Microsoft Graph API 创建访问包。

使用权利管理的租户必须具有足够的已购买或试用许可证。 有关权利管理功能的许可证要求的详细信息，请参阅 权利管理许可证要求。

方法

下表列出了可用于与权利管理相关的资源进行交互的方法。

方法	返回类型	说明
Get	entitlementManagementSettings	读取 entitlementManagementSettings 对象的属性。
更新	entitlementManagementSettings	更新 entitlementManagementSettings 对象的属性。
列出 accessPackages	accessPackage 集合	检索 accessPackage 对象的列表。
创建 accessPackage	accessPackage	创建新的 accessPackage 对象。
获取 accessPackage	accessPackage	读取 accessPackage 对象的属性和关系。
更新 accessPackage	无	更新 accesspackage 对象的属性。
删除 accessPackage		删除 accessPackage。
FilterByCurrentUser	accessPackage 集合	检索已登录用户筛选的 accessPackage 对象列表。
列出 accessPackageResourceRoleScopes	accessPackageResourceRoleScope 集合	检索访问包的 accessPackageResourceRoleScope 对象的列表。
创建 accessPackageResourceRoleScope		为 访问包创建新的 accessPackageResourceRoleScope 对象。
列出不兼容的AccessPackages	accessPackage 集合	检索此 访问包不兼容的 accesspackage 对象列表。
将 accessPackage 添加到 incompatibleAccessPackages	无	添加链接以指示另一个 访问包 与指定的访问包不兼容。
从 incompatibleAccessPackages 中删除 accessPackage	无	删除指示 accesspackage 不兼容的链接。
列出不兼容的组	group 集合	检索此访问包的不兼容 组 对象列表。
将组添加到 incompatibleGroups	无	添加一个链接，指示 组 的成员身份与指定的访问包不兼容。
从 incompatibleGroups 中删除组	无	删除指示 组 成员身份不兼容的链接。
列出 accessPackagesIncompatibleWith	accessPackage 集合	检索 accesspackage 对象的列表，这些对象将此访问包列为不兼容。
moveToCatalog	无	将访问包移动到其他目录。
列出 accessPackageAssignmentPolicies	accessPackageAssignmentPolicy 集合	检索 accessPackageAssignmentPolicy 对象的列表。
创建 accessPackageAssignmentPolicy	accessPackageAssignmentPolicy	创建新的 accessPackageAssignmentPolicy 对象。
获取 accessPackageAssignmentPolicy	accessPackageAssignmentPolicy	读取 accessPackageAssignmentPolicy 对象的属性和关系。
更新 accessPackageAssignmentPolicy	accessPackageAssignmentPolicy	更新 accessPackageAssignmentPolicy 对象的属性。
删除 accessPackageAssignmentPolicy		删除 accessPackageAssignmentPolicy。
列出 accessPackageAssignmentRequests	accessPackageAssignmentRequest 集合	检索 accessPackageAssignmentRequest 对象的列表。
创建 accessPackageAssignmentRequest	accessPackageAssignmentRequest	创建新的 accessPackageAssignmentRequest。
获取 accessPackageAssignmentRequest	accessPackageAssignmentRequest	读取 accessPackageAssignmentRequest 对象的属性和关系。
删除 accessPackageAssignmentRequest	无	删除 accessPackageAssignmentRequest。
FilterByCurrentUser	accessPackageAssignmentRequest 集合	检索在已登录用户上筛选的 accessPackageAssignmentRequest 对象列表。
取消	accessPackageAssignmentRequest 集合	取消处于可取消状态的 accessPackageAssignmentRequest 对象： accepted、 pendingApproval、 pendingNotBefore、 pendingApprovalEscalated。
列出 accessPackageAssignments	accessPackageAssignment 集合	检索 accessPackageAssignment 对象的列表。
FilterByCurrentUser	accessPackageAssignment 集合	检索在已登录用户上筛选的 accessPackageAssignment 对象列表。
reprocess	无	自动重新计算并强制实施特定访问包的用户分配。
additionalAccessaccessPackageAssignment 集合	检索分配了不兼容访问 包的用户的 accessPackageAssignment 对象列表。
列出 accessPackageAssignmentResourceRoles	accessPackageAssignmentResourceRole 集合	检索 accessPackageAssignmentResourceRole 对象的列表。
获取 accessPackageAssignmentResourceRole	accessPackageAssignmentResourceRole	检索 accessPackageAssignmentResourceRole 对象。
列出 accessPackageCatalogs	accessPackageCatalog 集合	检索 accessPackageCatalogs 对象的列表。
创建 accessPackageCatalog	accessPackageCatalog	创建新的 accessPackageCatalog 对象。
获取 accessPackageCatalog	accessPackageCatalog	读取 accessPackageCatalog 对象的属性和关系。
更新 accessPackageCatalog	无	更新 accessPackageCatalog 对象的属性。
删除 accessPackageCatalog		删除 accessPackageCatalog。
列出 accessPackageCatalog 资源	accessPackageResource 集合	检索 accessPackageResource 对象的列表。
列出 accessPackageCatalog 资源角色	accessPackageResourceRole 集合	检索 accessPackageResourceRole 对象的列表。
列出 accessPackageResourceRequests	accessPackageResourceRequest 集合	读取 accessPackageResourceRequest 对象的属性和关系。
创建 accessPackageResourceRequest	accessPackageCatalog	创建新的 accessPackageResourceRequest 对象。
列出 accessPackageResourceEnvironments	accessPackageResourceEnvironment 集合	检索 accessPackageResourceEnvironment 对象的列表。
获取 accessPackageResourceEnvironment	accessPackageResourceEnvironment	读取 accessPackageResourceEnvironment 对象的属性和关系。
列出 connectedOrganizations	connectedOrganization 集合	检索 connectedOrganization 对象的列表。
创建 connectedOrganization	connectedOrganization	创建新的 connectedOrganization 对象。
获取 connectedOrganization	connectedOrganization	读取 connectedOrganization 对象的属性和关系。
更新 connectedOrganization	无	更新 connectedOrganization。
删除 connectedOrganization	无	删除 connectedOrganization。
列出 internalSponsors	directoryObject collection	检索 connectedOrganization 的内部发起人的列表。
列出 externalSponsors	directoryObject collection	检索 connectedOrganization 的外部发起人 的列表。
添加 internalSponsors	无	将用户或组添加到 connectedOrganization 的内部 发起人。
添加 externalSponsors	无	将用户或组添加到 connectedOrganization 的外部 发起人。
删除 internalSponsors	无	从 connectedOrganization 的内部发起人中删除用户或组。
获取审批	“审批”	检索 审批 对象的属性。
列出审批步骤	approvalStep 集合	列出与 审批 对象关联的 approvalStep 对象。
获取审批步骤	approvalStep	检索 approvalStep 对象的属性。
更新审批步骤	无	对 approvalStep 对象应用批准或拒绝决策。

类型

• requestorSettings、 approvalSettings、 questions 和 assignmentReviewSettings - 在 accessPackageAssignmentPolicy 中用于指定谁可以请求、谁批准和审查该策略的访问包分配请求。
• approvalStage - 在 approvalSettings 中使用，用于指定主要审批者、备份审批者和升级审批者。
• approvalStep - 在 审批 中用于区分不同的审批步骤。
• userSet 子类型 singleUser、 groupMembers、 connectedOrganizationMembers、 requestorManager、 internalSponsors、 externalSponsors 和 targetUserSponsors - 用于 requestorSettings、 approvalStage、 approvalStep 和 assignmentReviewSettings。
• accessPackageSubject - 在 accessPackageAssignment 中用作具有访问包分配的主题用户。
• identitySource - 用于 connectedOrganization、 azureActiveDirectoryTenant、 crossCloudAzureActiveDirectoryTenant、 domainIdentitySource 或 externalDomainFederation 之一。

相关内容

• 什么是Microsoft Entra权利管理？