Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
API проверки доступа Microsoft Entra позволяют программно проверять доступ пользователей, субъектов-служб или групп к вашим Microsoft Entra ресурсам. В этой статье объясняется, как настроить все типы рецензентов в Microsoft Entra проверки доступа через Microsoft Graph, что помогает автоматизировать процесс проверки и управления доступом к Microsoft Entra ресурсам.
Основные рецензенты настраиваются в свойстве reviewers ресурса accessReviewScheduleDefinition . Вы также можете указать резервных рецензентов с помощью свойства fallbackReviewers . Эти свойства не требуются при создании самостоятельной проверки, в которой пользователи просматривают собственный доступ.
Чтобы настроить рецензентов и резервных рецензентов, задайте значения свойств query, queryRoot и queryTypeтипа ресурса accessReviewReviewerScope.
Примечание.
Проверка групп, членство в которых регулируется через PIM для групп, назначает только активных владельцев в качестве рецензентов. Соответствующие владельцы не включены. Для проверки этих групп требуется по крайней мере один резервный рецензент. Если в начале проверки нет активных владельцев, для проверки назначаются резервные рецензенты.
Пример 1. Самостоятельная проверка
Чтобы настроить самостоятельную проверку, не указывайте свойство рецензентов и не предоставьте пустой объект свойству.
Если соответствующая проверка доступа область предназначена для пользователей прямого подключения B2B и команд с общими каналами, владельцу команды назначается проверка доступа для пользователей прямого подключения B2B.
"reviewers": []
Пример 2. Конкретный пользователь в качестве рецензента
"reviewers": [
{
"query": "/users/{userId}",
"queryType": "MicrosoftGraph"
}
]
Пример 3. Участники группы в качестве рецензентов
"reviewers": [
{
"query": "/groups/{groupId}/transitiveMembers",
"queryType": "MicrosoftGraph"
}
]
Пример 4. Владельцы групп в качестве рецензентов
Если проверка доступа ограничена группой, см. примеры 1–4 для настройки область проверки доступа.
"reviewers": [
{
"query": "/groups/{groupId}/owners",
"queryType": "MicrosoftGraph"
}
]
Если проверка доступа ограничена группой и назначает в качестве рецензентов только владельцев групп из определенной страны:
"reviewers": [
{
"query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
"type": "MicrosoftGraph"
}
]
Если проверка доступа ограничена всеми группами, см. примеры 5–9 для настройки область проверки доступа.
"reviewers": [
{
"query": "./owners",
"queryType": "MicrosoftGraph"
}
]
Пример 5. Люди руководителей в качестве рецензентов
Так как ./manager является относительным запросом, укажите свойство queryRoot как decisions.
Если соответствующая проверка доступа область предназначена для пользователей прямого подключения B2B и команд с общими каналами, владелец команды проверяет доступ для пользователей прямого подключения B2B.
"reviewers": [
{
"query": "./manager",
"queryType": "MicrosoftGraph",
"queryRoot": "decisions"
}
]
Пример 6. Владельцы приложений в качестве рецензентов
"reviewers": [
{
"query": "/servicePrincipals/{servicePrincipalId}/owners",
"queryType": "MicrosoftGraph"
}
]
Связанные материалы
- Настройте область определения проверки доступа.
- Ознакомьтесь с руководствами, чтобы узнать, как использовать API проверок доступа для проверки доступа к Microsoft Entra ресурсам.