Я работаю над проектом по аудиту безопасности на платформе Azure. Таким образом, необходимо выполнить итерацию Azure групп AD, чтобы установить прямое и транзитивное членство в группах. Хотя существует маршрут для «получить все группы», нет задокументированного маршрута для «получить всех прямых членов для всех групп». Скорее всего, кажется, что существует только один звонок, который предназначен для непосредственных членов отдельной группы. Таким образом, этот API-интерфейс должен вызываться несколько раз, по одному разу для каждой группы.
Учитывая, что график AD может изменяться между вызовами API, возможно ли получить временный действительный / согласованный набор членства в группах для данной точки во время? Даже параллельный вызов API для каждой группы оставит возможность мутации открытой, хотя и уменьшит вероятность.
Я использую этот маршрут API, где {{variableName}} представляет переменную, переданную во время выполнения :
https://graph.windows.net/{{tenantId}}/groups/{{adGroupId}}/$links/members?api-version=1.6
Документацию, такую как она есть, можно найти здесь: Операции над группами | Справочник по API Graph
Чтобы получить все членство в группах, представляется необходимым вызывать этот API для каждой отдельной группы AD. Основываясь на этом методе, если членство в Группе AD видоизменяется во время обращений к этому API, кажется, что будет невозможно получить точную и надежную картину членства в Группе для данного момента времени во всем Каталоге. Я что-то упустил?