Konfigurieren von Zugriffsprüfern mithilfe von Zugriffsüberprüfungs-APIs
Mit Microsoft Entra Zugriffsüberprüfungs-APIs können Sie den Zugriff von Benutzern, Dienstprinzipalen oder Gruppen auf Ihre Microsoft Entra Ressourcen programmgesteuert überprüfen. In diesem Artikel wird erläutert, wie Sie alle Prüfertypen in Microsoft Entra Zugriffsüberprüfungen über Microsoft Graph konfigurieren, um den Prozess der Überprüfung und Verwaltung des Zugriffs auf Microsoft Entra Ressourcen zu automatisieren.
Die primären Prüfer werden in der Eigenschaft reviewers der Access Reviews accessReviewScheduleDefinition-Ressource konfiguriert. Sie können auch Fallbackprüfer angeben, indem Sie die fallbackReviewers-Eigenschaft verwenden. Diese Eigenschaften sind nicht erforderlich, wenn Sie eine Selbstüberprüfung erstellen, bei der Benutzer ihren eigenen Zugriff überprüfen.
Legen Sie zum Konfigurieren der Prüfer und Fallbackprüfer die Werte der Eigenschaften query, queryRoot und queryType des Ressourcentyps accessReviewReviewerScope fest.
Hinweis
Bei der Überprüfung von Gruppen, deren Mitgliedschaft über PIM für Gruppen gesteuert wird, werden nur aktive Besitzer als Prüfer zugewiesen. Berechtigte Besitzer sind nicht enthalten. Mindestens ein Fallbackprüfer ist erforderlich, um diese Gruppen zu überprüfen. Wenn zu Beginn der Überprüfung keine aktiven Besitzer vorhanden sind, werden die Fallbackprüfer der Überprüfung zugewiesen.
Beispiel 1: Eine Selbstüberprüfung
Um eine Selbstüberprüfung zu konfigurieren, geben Sie nicht die Reviewers-Eigenschaft an, und geben Sie kein leeres Objekt für die Eigenschaft an.
Wenn der entsprechende Zugriffsüberprüfungsbereich auf B2B Direct Connect-Benutzer und -Teams mit freigegebenen Kanälen abzielt, wird dem Teambesitzer zugewiesen, den Zugriff für die B2B Direct Connect-Benutzer zu überprüfen.
"reviewers": []
Beispiel 2: Ein bestimmter Benutzer als Prüfer
"reviewers": [
{
"query": "/users/{userId}",
"queryType": "MicrosoftGraph"
}
]
Beispiel 3: Mitglieder einer Gruppe als Prüfer
"reviewers": [
{
"query": "/groups/{groupId}/transitiveMembers",
"queryType": "MicrosoftGraph"
}
]
Beispiel 4: Gruppenbesitzer als Prüfer
Wenn die Zugriffsüberprüfung auf eine Gruppe festgelegt ist, finden Sie weitere Informationen zum Konfigurieren eines Zugriffsüberprüfungsbereichs in den Beispielen 1 bis 4.
"reviewers": [
{
"query": "/groups/{groupId}/owners",
"queryType": "MicrosoftGraph"
}
]
Wenn die Zugriffsüberprüfung auf eine Gruppe festgelegt ist und nur die Gruppenbesitzer aus einem bestimmten Land als Prüfer zugewiesen werden sollen:
"reviewers": [
{
"query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
"type": "MicrosoftGraph"
}
]
Wenn die Zugriffsüberprüfung auf alle Gruppen festgelegt ist, lesen Sie die Beispiele 5-9 zum Konfigurieren eines Zugriffsüberprüfungsbereichs.
"reviewers": [
{
"query": "./owners",
"queryType": "MicrosoftGraph"
}
]
Beispiel 5: Personen Manager als Prüfer
Da ./manager
eine relative Abfrage ist, geben Sie die queryRoot-Eigenschaft als an decisions
.
Wenn der entsprechende Zugriffsüberprüfungsbereich auf B2B Direct Connect-Benutzer und -Teams mit freigegebenen Kanälen abzielt, überprüft der Teambesitzer den Zugriff für die B2B Direct Connect-Benutzer.
"reviewers": [
{
"query": "./manager",
"queryType": "MicrosoftGraph",
"queryRoot": "decisions"
}
]
Beispiel 6: Anwendungsbesitzer als Prüfer
"reviewers": [
{
"query": "/servicePrincipals/{servicePrincipalId}/owners",
"queryType": "MicrosoftGraph"
}
]
Verwandte Inhalte
- Konfigurieren Sie den Bereich Ihrer Zugriffsüberprüfungsdefinition.
- Probieren Sie Tutorials aus, um zu erfahren, wie Sie die Zugriffsüberprüfungs-API verwenden, um den Zugriff auf Microsoft Entra Ressourcen zu überprüfen.