Übersicht über Zugriffsüberprüfungs-APIs
Namespace: microsoft.graph
Verwenden Sie Microsoft Entra-Zugriffsüberprüfungen , um einmalige oder wiederkehrende Zugriffsüberprüfungen für den Nachweis des Rechts eines Prinzipals auf Zugriff auf Microsoft Entra-Ressourcen zu konfigurieren. Die Prinzipale sind Benutzer oder Anwendungen (Dienstprinzipale). Die Microsoft Entra-Ressourcen umfassen Gruppen, Anwendungen (Dienstprinzipale), Zugriffspakete und privilegierte Rollen. Zugriffsüberprüfungen sind ein Feature von Microsoft Entra ID Governance.
Typische Kundenszenarien für Zugriffsüberprüfungen sind:
- Kunden können den Gastbenutzerzugriff auf Gruppen über Gruppenmitgliedschaften überprüfen und zertifizieren. Prüfer können die bereitgestellten Erkenntnisse nutzen, um effizient zu entscheiden, ob Gäste weiterhin Zugriff haben sollen.
- Kunden können den Mitarbeiterzugriff auf Microsoft Entra-Ressourcen überprüfen und zertifizieren.
- Kunden können Zuweisungen zu privilegierten Microsoft Entra ID-Rollen überprüfen und überwachen. Dies unterstützt Organisationen bei der Verwaltung des privilegierten Zugriffs.
Der Mandant, in dem eine Zugriffsüberprüfung über die API erstellt oder verwaltet wird, muss über ausreichende erworbene oder Testlizenzen verfügen. Weitere Informationen zu den Lizenzanforderungen finden Sie unter Lizenzanforderungen für Zugriffsüberprüfungen.
Hinweis
In diesem Artikel wird beschrieben, wie Sie personenbezogene Daten von einem Gerät oder Dienst exportieren. Diese Schritte können verwendet werden, um Ihre Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) zu unterstützen. Autorisierte Mandantenadministratoren können Microsoft Graph verwenden, um identifizierbare Informationen über Endbenutzer zu korrigieren, zu aktualisieren oder zu löschen, einschließlich Benutzerprofilen von Kunden und Mitarbeitern oder personenbezogene Daten wie Name, Arbeitstitel, Adresse oder Telefonnummer eines Benutzers in Ihrer Microsoft Entra ID-Umgebung .
Methoden
In der folgenden Tabelle sind die Methoden aufgeführt, die Sie für die Interaktion mit Ressourcen im Zusammenhang mit der Zugriffsüberprüfung verwenden können.
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Zeitplandefinitionen | ||
| Listendefinitionen | accessReviewScheduleDefinition-Sammlung | Rufen Sie eine Liste der accessReviewScheduleDefinition-Objekte und deren Eigenschaften ab. |
| Erstellen von Definitionen | accessReviewScheduleDefinition | Erstellen Sie ein neues accessReviewScheduleDefinition-Objekt . |
| AccessReviewScheduleDefinition abrufen | accessReviewScheduleDefinition | Liest die Eigenschaften und Beziehungen eines accessReviewScheduleDefinition-Objekts . |
| Aktualisieren von accessReviewScheduleDefinition | accessReviewScheduleDefinition | Aktualisieren sie die Eigenschaften eines accessReviewScheduleDefinition-Objekts . |
| accessReviewScheduleDefinition löschen | Keine | Löscht ein accessReviewScheduleDefinition-Objekt . |
| filterByCurrentUser | accessReviewScheduleDefinition-Sammlung | Gibt alle Definitionen zurück, bei denen der aufrufende Benutzer der Prüfer aller Instanzen ist. |
| Instanzen | ||
| List instances | accessReviewInstance-Sammlung | Ruft eine Liste der accessReviewInstance-Objekte und deren Eigenschaften ab. |
| Get accessReviewInstance | accessReviewInstance | Liest die Eigenschaften und Beziehungen eines accessReviewInstance-Objekts . |
| stop | Keine | Beenden Sie eine accessReviewInstance manuell. |
| sendReminder | Keine | Senden Sie eine Erinnerung an die Prüfer einer accessReviewInstance. |
| resetDecisions | Keine | Setzt alle Entscheidungselemente für eine Instanz auf zurück. notReviewed |
| applyDecisions | Keine | Manuelles Anwenden einer Entscheidung auf eine accessReviewInstance. |
| acceptRecommendations | Keine | Ermöglicht es dem aufrufenden Benutzer, die Entscheidungsempfehlung für jedes NotReviewed accessReviewInstanceDecisionItem zu akzeptieren, für das er der Prüfer für eine bestimmte accessReviewInstance ist. |
| batchRecordDecisions | Keine | Überprüfen Sie Batches von Prinzipalen oder Ressourcen in einem Aufruf. |
| filterByCurrentUser | accessReviewInstance-Sammlung | Gibt alle Instanzobjekte für eine Definition zurück, für die der aufrufende Benutzer der Prüfer ist. |
| Instanzentscheidungselemente | ||
| Entscheidungen auflisten | accessReviewInstanceDecisionItem-Auflistung | Rufen Sie eine Liste der accessReviewInstanceDecisionItem-Objekte und deren Eigenschaften ab. |
| Get accessReviewInstanceDecisionItem | accessReviewInstanceDecisionItem | Liest die Eigenschaften und Beziehungen eines accessReviewInstanceDecisionItem-Objekts . |
| Aktualisieren von accessReviewInstanceDecisionItem | accessReviewInstanceDecisionItem | Aktualisieren sie die Eigenschaften eines accessReviewInstanceDecisionItem-Objekts . |
| accessReviewInstanceDecisionItem: filterByCurrentUser | accessReviewInstanceDecisionItem-Auflistung | Gibt die Entscheidungselemente zurück, für die der aufrufende Benutzer der Prüfer ist. |
| Verlaufsdefinitionen | ||
| HistoryDefinitionen auflisten | accessReviewHistoryDefinition-Auflistung | Rufen Sie eine Liste der accessReviewHistoryDefinition-Objekte und deren Eigenschaften ab. |
| Erstellen von historyDefinitions | accessReviewHistoryDefinition | Erstellen Sie ein neues accessReviewHistoryDefinition-Objekt . |
| Get accessReviewHistoryDefinition | accessReviewHistoryDefinition | Lesen der Eigenschaften und Beziehungen eines accessReviewHistoryDefinition-Objekts . |
| generateDownloadUri | accessReviewHistoryInstance | Generieren Sie einen URI für eine Instanz, die zum Abrufen von Überprüfungsverlaufsdaten verwendet werden kann. |
| List instances | accessReviewHistoryInstance | Rufen Sie eine Liste der accessReviewHistoryInstance-Objekte und deren Eigenschaften ab. |
Autorisierungsprüfungen für Rollen- und Anwendungsberechtigungen
Die folgenden Microsoft Entra-Rollen sind für einen aufrufenden Benutzer erforderlich, um Zugriffsüberprüfungen zu verwalten.
| Vorgang | Anwendungsberechtigungen | Verzeichnisrolle mit den geringsten Berechtigungen des aufrufenden Benutzers |
|---|---|---|
| Lesen | AccessReview.Read.All oder AccessReview.ReadWrite.All | Globaler Leser, Sicherheitsadministrator, Sicherheitsleseberechtigter oder Benutzeradministrator |
| Erstellen, Aktualisieren oder Löschen | AccessReview.ReadWrite.All | Benutzeradministrator |
Darüber hinaus kann ein Benutzer, der ein zugewiesener Prüfer einer Zugriffsüberprüfung ist, seine Entscheidungen verwalten, ohne sich in einer Verzeichnisrolle befinden zu müssen.
Verwandte Inhalte
- Sehen Sie sich die geführten Tutorials an, um zu erfahren, wie Sie die Zugriffsüberprüfungs-API verwenden, um den Zugriff auf Microsoft Entra-Ressourcen zu überprüfen.