Freigeben über


Übersicht über Zugriffsüberprüfungs-APIs

Namespace: microsoft.graph

Verwenden Sie Microsoft Entra-Zugriffsüberprüfungen , um einmalige oder wiederkehrende Zugriffsüberprüfungen für den Nachweis des Rechts eines Prinzipals auf Zugriff auf Microsoft Entra-Ressourcen zu konfigurieren. Die Prinzipale sind Benutzer oder Anwendungen (Dienstprinzipale). Die Microsoft Entra-Ressourcen umfassen Gruppen, Anwendungen (Dienstprinzipale), Zugriffspakete und privilegierte Rollen. Zugriffsüberprüfungen sind ein Feature von Microsoft Entra ID Governance.

Typische Kundenszenarien für Zugriffsüberprüfungen sind:

  • Kunden können den Gastbenutzerzugriff auf Gruppen über Gruppenmitgliedschaften überprüfen und zertifizieren. Prüfer können die bereitgestellten Erkenntnisse nutzen, um effizient zu entscheiden, ob Gäste weiterhin Zugriff haben sollen.
  • Kunden können den Mitarbeiterzugriff auf Microsoft Entra-Ressourcen überprüfen und zertifizieren.
  • Kunden können Zuweisungen zu privilegierten Microsoft Entra ID-Rollen überprüfen und überwachen. Dies unterstützt Organisationen bei der Verwaltung des privilegierten Zugriffs.

Der Mandant, in dem eine Zugriffsüberprüfung über die API erstellt oder verwaltet wird, muss über ausreichende erworbene oder Testlizenzen verfügen. Weitere Informationen zu den Lizenzanforderungen finden Sie unter Lizenzanforderungen für Zugriffsüberprüfungen.

Hinweis

In diesem Artikel wird beschrieben, wie Sie personenbezogene Daten von einem Gerät oder Dienst exportieren. Diese Schritte können verwendet werden, um Ihre Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) zu unterstützen. Autorisierte Mandantenadministratoren können Microsoft Graph verwenden, um identifizierbare Informationen über Endbenutzer zu korrigieren, zu aktualisieren oder zu löschen, einschließlich Benutzerprofilen von Kunden und Mitarbeitern oder personenbezogene Daten wie Name, Arbeitstitel, Adresse oder Telefonnummer eines Benutzers in Ihrer Microsoft Entra ID-Umgebung .

Methoden

In der folgenden Tabelle sind die Methoden aufgeführt, die Sie für die Interaktion mit Ressourcen im Zusammenhang mit der Zugriffsüberprüfung verwenden können.

Methode Rückgabetyp Beschreibung
Zeitplandefinitionen
Listendefinitionen accessReviewScheduleDefinition-Sammlung Rufen Sie eine Liste der accessReviewScheduleDefinition-Objekte und deren Eigenschaften ab.
Erstellen von Definitionen accessReviewScheduleDefinition Erstellen Sie ein neues accessReviewScheduleDefinition-Objekt .
AccessReviewScheduleDefinition abrufen accessReviewScheduleDefinition Liest die Eigenschaften und Beziehungen eines accessReviewScheduleDefinition-Objekts .
Aktualisieren von accessReviewScheduleDefinition accessReviewScheduleDefinition Aktualisieren sie die Eigenschaften eines accessReviewScheduleDefinition-Objekts .
accessReviewScheduleDefinition löschen Keine Löscht ein accessReviewScheduleDefinition-Objekt .
filterByCurrentUser accessReviewScheduleDefinition-Sammlung Gibt alle Definitionen zurück, bei denen der aufrufende Benutzer der Prüfer aller Instanzen ist.
Instanzen
List instances accessReviewInstance-Sammlung Ruft eine Liste der accessReviewInstance-Objekte und deren Eigenschaften ab.
Get accessReviewInstance accessReviewInstance Liest die Eigenschaften und Beziehungen eines accessReviewInstance-Objekts .
stop Keine Beenden Sie eine accessReviewInstance manuell.
sendReminder Keine Senden Sie eine Erinnerung an die Prüfer einer accessReviewInstance.
resetDecisions Keine Setzt alle Entscheidungselemente für eine Instanz auf zurück. notReviewed
applyDecisions Keine Manuelles Anwenden einer Entscheidung auf eine accessReviewInstance.
acceptRecommendations Keine Ermöglicht es dem aufrufenden Benutzer, die Entscheidungsempfehlung für jedes NotReviewed accessReviewInstanceDecisionItem zu akzeptieren, für das er der Prüfer für eine bestimmte accessReviewInstance ist.
batchRecordDecisions Keine Überprüfen Sie Batches von Prinzipalen oder Ressourcen in einem Aufruf.
filterByCurrentUser accessReviewInstance-Sammlung Gibt alle Instanzobjekte für eine Definition zurück, für die der aufrufende Benutzer der Prüfer ist.
Instanzentscheidungselemente
Entscheidungen auflisten accessReviewInstanceDecisionItem-Auflistung Rufen Sie eine Liste der accessReviewInstanceDecisionItem-Objekte und deren Eigenschaften ab.
Get accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem Liest die Eigenschaften und Beziehungen eines accessReviewInstanceDecisionItem-Objekts .
Aktualisieren von accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem Aktualisieren sie die Eigenschaften eines accessReviewInstanceDecisionItem-Objekts .
accessReviewInstanceDecisionItem: filterByCurrentUser accessReviewInstanceDecisionItem-Auflistung Gibt die Entscheidungselemente zurück, für die der aufrufende Benutzer der Prüfer ist.
Verlaufsdefinitionen
HistoryDefinitionen auflisten accessReviewHistoryDefinition-Auflistung Rufen Sie eine Liste der accessReviewHistoryDefinition-Objekte und deren Eigenschaften ab.
Erstellen von historyDefinitions accessReviewHistoryDefinition Erstellen Sie ein neues accessReviewHistoryDefinition-Objekt .
Get accessReviewHistoryDefinition accessReviewHistoryDefinition Lesen der Eigenschaften und Beziehungen eines accessReviewHistoryDefinition-Objekts .
generateDownloadUri accessReviewHistoryInstance Generieren Sie einen URI für eine Instanz, die zum Abrufen von Überprüfungsverlaufsdaten verwendet werden kann.
List instances accessReviewHistoryInstance Rufen Sie eine Liste der accessReviewHistoryInstance-Objekte und deren Eigenschaften ab.

Autorisierungsprüfungen für Rollen- und Anwendungsberechtigungen

Die folgenden Microsoft Entra-Rollen sind für einen aufrufenden Benutzer erforderlich, um Zugriffsüberprüfungen zu verwalten.

Vorgang Anwendungsberechtigungen Verzeichnisrolle mit den geringsten Berechtigungen des aufrufenden Benutzers
Lesen AccessReview.Read.All oder AccessReview.ReadWrite.All Globaler Leser, Sicherheitsadministrator, Sicherheitsleseberechtigter oder Benutzeradministrator
Erstellen, Aktualisieren oder Löschen AccessReview.ReadWrite.All Benutzeradministrator

Darüber hinaus kann ein Benutzer, der ein zugewiesener Prüfer einer Zugriffsüberprüfung ist, seine Entscheidungen verwalten, ohne sich in einer Verzeichnisrolle befinden zu müssen.