Übersicht über Zugriffsüberprüfungs-APIs
Namespace: microsoft.graph
Verwenden Sie Microsoft Entra Zugriffsüberprüfungen, um einmalige oder wiederkehrende Zugriffsüberprüfungen für den Nachweis des Rechts eines Prinzipals auf zugriff auf Microsoft Entra Ressourcen zu konfigurieren. Die Prinzipale sind Benutzer oder Anwendungen (Dienstprinzipale). Die Microsoft Entra Ressourcen umfassen Gruppen, Anwendungen (Dienstprinzipale), Zugriffspakete und privilegierte Rollen. Zugriffsüberprüfungen sind ein Feature von Microsoft Entra ID Governance.
Typische Kundenszenarien für Zugriffsüberprüfungen sind:
- Kunden können den Gastbenutzerzugriff auf Gruppen über Gruppenmitgliedschaften überprüfen und zertifizieren. Prüfer können die bereitgestellten Erkenntnisse nutzen, um effizient zu entscheiden, ob Gäste weiterhin Zugriff haben sollen.
- Kunden können den Mitarbeiterzugriff auf Microsoft Entra Ressourcen überprüfen und zertifizieren.
- Kunden können Zuweisungen zu Microsoft Entra ID privilegierten Rollen überprüfen und überwachen. Dies unterstützt Organisationen bei der Verwaltung des privilegierten Zugriffs.
Der Mandant, in dem eine Zugriffsüberprüfung über die API erstellt oder verwaltet wird, muss über ausreichende erworbene oder Testlizenzen verfügen. Weitere Informationen zu den Lizenzanforderungen finden Sie unter Lizenzanforderungen für Zugriffsüberprüfungen.
Hinweis
In diesem Artikel wird beschrieben, wie Sie personenbezogene Daten von einem Gerät oder Dienst exportieren. Diese Schritte können verwendet werden, um Ihre Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) zu unterstützen. Autorisierte Mandantenadministratoren können Microsoft Graph verwenden, um identifizierbare Informationen über Endbenutzer zu korrigieren, zu aktualisieren oder zu löschen, einschließlich Benutzerprofilen von Kunden und Mitarbeitern oder personenbezogene Daten wie Name, Arbeitstitel, Adresse oder Telefonnummer eines Benutzers in Ihrer Microsoft Entra ID Umgebung.
Methoden
In der folgenden Tabelle sind die Methoden aufgeführt, die Sie für die Interaktion mit Ressourcen im Zusammenhang mit der Zugriffsüberprüfung verwenden können.
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Zeitplandefinitionen | ||
| Listendefinitionen | accessReviewScheduleDefinition-Sammlung | Rufen Sie eine Liste der accessReviewScheduleDefinition-Objekte und deren Eigenschaften ab. |
| Erstellen von Definitionen | accessReviewScheduleDefinition | Erstellen Sie ein neues accessReviewScheduleDefinition-Objekt . |
| AccessReviewScheduleDefinition abrufen | accessReviewScheduleDefinition | Liest die Eigenschaften und Beziehungen eines accessReviewScheduleDefinition-Objekts . |
| Aktualisieren von accessReviewScheduleDefinition | accessReviewScheduleDefinition | Aktualisieren sie die Eigenschaften eines accessReviewScheduleDefinition-Objekts . |
| accessReviewScheduleDefinition löschen | Keine | Löscht ein accessReviewScheduleDefinition-Objekt . |
| filterByCurrentUser | accessReviewScheduleDefinition-Sammlung | Gibt alle Definitionen zurück, bei denen der aufrufende Benutzer der Prüfer aller Instanzen ist. |
| Instanzen | ||
| List instances | accessReviewInstance-Sammlung | Ruft eine Liste der accessReviewInstance-Objekte und deren Eigenschaften ab. |
| Get accessReviewInstance | accessReviewInstance | Liest die Eigenschaften und Beziehungen eines accessReviewInstance-Objekts . |
| stop | Keine | Beenden Sie eine accessReviewInstance manuell. |
| sendReminder | Keine | Senden Sie eine Erinnerung an die Prüfer einer accessReviewInstance. |
| resetDecisions | Keine | Setzt alle Entscheidungselemente auf einem instance auf zurück.notReviewed |
| applyDecisions | Keine | Manuelles Anwenden einer Entscheidung auf eine accessReviewInstance. |
| acceptRecommendations | Keine | Ermöglicht es dem aufrufenden Benutzer, die Entscheidungsempfehlung für jedes NotReviewed accessReviewInstanceDecisionItem zu akzeptieren, für das er der Prüfer für eine bestimmte accessReviewInstance ist. |
| batchRecordDecisions | Keine | Überprüfen Sie Batches von Prinzipalen oder Ressourcen in einem Aufruf. |
| filterByCurrentUser | accessReviewInstance-Sammlung | Gibt alle instance -Objekte für eine Definition zurück, für die der aufrufende Benutzer der Prüfer ist. |
| Instanzentscheidungselemente | ||
| Entscheidungen auflisten | accessReviewInstanceDecisionItem-Auflistung | Rufen Sie eine Liste der accessReviewInstanceDecisionItem-Objekte und deren Eigenschaften ab. |
| Get accessReviewInstanceDecisionItem | accessReviewInstanceDecisionItem | Liest die Eigenschaften und Beziehungen eines accessReviewInstanceDecisionItem-Objekts . |
| Aktualisieren von accessReviewInstanceDecisionItem | accessReviewInstanceDecisionItem | Aktualisieren sie die Eigenschaften eines accessReviewInstanceDecisionItem-Objekts . |
| accessReviewInstanceDecisionItem: filterByCurrentUser | accessReviewInstanceDecisionItem-Auflistung | Gibt die Entscheidungselemente zurück, für die der aufrufende Benutzer der Prüfer ist. |
| Verlaufsdefinitionen | ||
| HistoryDefinitionen auflisten | accessReviewHistoryDefinition-Auflistung | Rufen Sie eine Liste der accessReviewHistoryDefinition-Objekte und deren Eigenschaften ab. |
| Erstellen von historyDefinitions | accessReviewHistoryDefinition | Erstellen Sie ein neues accessReviewHistoryDefinition-Objekt . |
| Get accessReviewHistoryDefinition | accessReviewHistoryDefinition | Lesen der Eigenschaften und Beziehungen eines accessReviewHistoryDefinition-Objekts . |
| generateDownloadUri | accessReviewHistoryInstance | Generieren Sie einen URI für einen instance, der zum Abrufen von Überprüfungsverlaufsdaten verwendet werden kann. |
| List instances | accessReviewHistoryInstance | Rufen Sie eine Liste der accessReviewHistoryInstance-Objekte und deren Eigenschaften ab. |
Autorisierungsprüfungen für Rollen- und Anwendungsberechtigungen
Die folgenden Microsoft Entra Rollen sind für einen aufrufenden Benutzer erforderlich, um Zugriffsüberprüfungen zu verwalten.
| Vorgang | Anwendungsberechtigungen | Erforderliche Verzeichnisrolle des aufrufenden Benutzers |
|---|---|---|
| Lesen | AccessReview.Read.All oder AccessReview.ReadWrite.All | Globaler Administrator, globaler Leser, Sicherheitsadministrator, Sicherheitsleseberechtigter oder Benutzeradministrator |
| Erstellen, Aktualisieren oder Löschen | AccessReview.ReadWrite.All | Globaler Administrator oder Benutzeradministrator |
Darüber hinaus kann ein Benutzer, der ein zugewiesener Prüfer einer Zugriffsüberprüfung ist, seine Entscheidungen verwalten, ohne sich in einer Verzeichnisrolle befinden zu müssen.
Verwandte Inhalte
- Führen Sie die geführten Tutorials durch, um zu erfahren, wie Sie die Zugriffsüberprüfungs-API verwenden, um den Zugriff auf Microsoft Entra Ressourcen zu überprüfen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für