Übersicht über Zugriffsüberprüfungs-APIs
Namespace: microsoft.graph
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Hinweis
Dies ist die empfohlene API für Zugriffsüberprüfungen. Die vorherige Version der Zugriffsüberprüfungs-API ist veraltet.
Verwenden Sie Microsoft Entra Zugriffsüberprüfungen, um einmalige oder wiederkehrende Zugriffsüberprüfungen für den Nachweis des Rechts eines Prinzipals auf zugriff auf Microsoft Entra Ressourcen zu konfigurieren. Die Prinzipale sind Benutzer oder Anwendungen (Dienstprinzipale). Die Microsoft Entra Ressourcen umfassen Gruppen, Anwendungen (Dienstprinzipale), Zugriffspakete und privilegierte Rollen. Zugriffsüberprüfungen sind ein Feature von Microsoft Entra ID Governance.
Typische Kundenszenarien für Zugriffsüberprüfungen sind:
- Kunden können den Gastbenutzerzugriff auf Gruppen über Gruppenmitgliedschaften überprüfen und zertifizieren. Prüfer können die bereitgestellten Erkenntnisse nutzen, um effizient zu entscheiden, ob Gäste weiterhin Zugriff haben sollen.
- Kunden können den Mitarbeiterzugriff auf Microsoft Entra Ressourcen überprüfen und zertifizieren.
- Kunden können Zuweisungen zu Microsoft Entra ID privilegierten Rollen überprüfen und überwachen. Dies unterstützt Organisationen bei der Verwaltung des privilegierten Zugriffs.
Der Mandant, in dem eine Zugriffsüberprüfung über die API erstellt oder verwaltet wird, muss über ausreichende erworbene oder Testlizenzen verfügen. Weitere Informationen zu den Lizenzanforderungen finden Sie unter Lizenzanforderungen für Zugriffsüberprüfungen.
Hinweis
In diesem Artikel wird beschrieben, wie Sie personenbezogene Daten von einem Gerät oder Dienst exportieren. Diese Schritte können verwendet werden, um Ihre Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) zu unterstützen. Autorisierte Mandantenadministratoren können Microsoft Graph verwenden, um identifizierbare Informationen über Endbenutzer zu korrigieren, zu aktualisieren oder zu löschen, einschließlich Benutzerprofilen von Kunden und Mitarbeitern oder personenbezogene Daten wie Name, Arbeitstitel, Adresse oder Telefonnummer eines Benutzers in Ihrer Microsoft Entra ID Umgebung.
Methoden
In der folgenden Tabelle sind die Methoden aufgeführt, die Sie für die Interaktion mit Ressourcen im Zusammenhang mit der Zugriffsüberprüfung verwenden können.
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Zeitplandefinitionen | ||
| Listendefinitionen | accessReviewScheduleDefinition-Sammlung | Rufen Sie eine Liste der accessReviewScheduleDefinition-Objekte und deren Eigenschaften ab. |
| AccessReviewScheduleDefinition abrufen | accessReviewScheduleDefinition | Rufen Sie ein accessReviewScheduleDefinition-Objekt und seine Eigenschaften ab. |
| Create Definitionen | accessReviewScheduleDefinition | Create eine neue accessReviewScheduleDefinition. |
| accessReviewScheduleDefinition löschen | Keine | Löschen sie accessReviewScheduleDefinition. |
| Aktualisieren von accessReviewScheduleDefinition | Keine | Aktualisieren Sie die Eigenschaften einer accessReviewScheduleDefinition mit einem angegebenen Bezeichner. |
| filterByCurrentUser | accessReviewScheduleDefinition-Sammlung | Ruft alle Definitionen ab, für die der aufrufende Benutzer prüfer auf einer oder mehreren instance ist. |
| Instanzen | ||
| List instances | accessReviewInstance-Sammlung | Ruft eine Liste der accessReviewInstance-Objekte und deren Eigenschaften ab. |
| Get accessReviewInstance | accessReviewInstance | Liest die Eigenschaften und Beziehungen eines accessReviewInstance-Objekts . |
| sendReminder | Keine | Senden Sie eine Erinnerung an die Prüfer einer accessReviewInstance. |
| stop | Keine | Beenden Sie eine accessReviewInstance manuell. |
| acceptRecommendations | Keine | Ermöglicht es dem aufrufenden Benutzer, die Entscheidungsempfehlung für jedes NotReviewed accessReviewInstanceDecisionItem zu akzeptieren, für das er der Prüfer für eine bestimmte accessReviewInstance ist. |
| applyDecisions | Keine | Manuelles Anwenden von Entscheidungen auf eine accessReviewInstance. |
| batchRecordDecisions | Keine | Überprüfen Sie Batches von Prinzipalen oder Ressourcen in einem Aufruf. |
| resetDecisions | Keine | Setzt alle Entscheidungselemente eines instance auf zurücknotReviewed. |
| filterByCurrentUser | accessReviewInstance-Sammlung | Gibt alle Instanzen für eine bestimmte accessReviewScheduleDefinition zurück, für die der aufrufende Benutzer der Prüfer einer oder mehrerer Entscheidungen ist. |
| Instanzentscheidungselemente | ||
| Entscheidungen auflisten | accessReviewInstanceDecisionItem-Auflistung | Rufen Sie eine Liste der accessReviewInstanceDecisionItem-Objekte und deren Eigenschaften ab. |
| Get accessReviewInstanceDecisionItem | accessReviewInstanceDecisionItem | Liest die Eigenschaften und Beziehungen eines accessReviewInstanceDecisionItem-Objekts . |
| Aktualisieren von accessReviewInstanceDecisionItem | Keine | Für alle accessReviewInstanceDecisionItems, für die dem aufrufenden Benutzer ein Prüfer zugewiesen ist, kann ein aufrufender Benutzer eine Entscheidung aufzeichnen, indem er das Entscheidungsobjekt patcht. |
| filterByCurrentUser | accessReviewInstanceDecisionItem-Auflistung | Ruft alle accessReviewInstanceDecisionItems-Objekte ab, bei denen die aufrufende Verwendung der Prüfer für eine bestimmte accessReviewInstance ist. |
| listPendingApproval (veraltet) | accessReviewInstanceDecisionItem-Auflistung | Ruft alle accessReviewInstanceDecisionItems ab, die dem aufrufenden Benutzer für eine bestimmte accessReviewInstance zugewiesen sind. Diese Methode wird als veraltet gekennzeichnet und durch accessReviewInstanceDecisionItem ersetzt: filterByCurrentUser. |
| Verlaufsdefinitionen | ||
| HistoryDefinitionen auflisten | accessReviewHistoryDefinition-Auflistung | Rufen Sie eine Liste der accessReviewHistoryDefinition-Objekte und deren Eigenschaften ab. |
| Create historyDefinitions | accessReviewHistoryDefinition | Create ein neues accessReviewHistoryDefinition-Objekt. |
| Get accessReviewHistoryDefinition | accessReviewHistoryDefinition | Lesen der Eigenschaften und Beziehungen eines accessReviewHistoryDefinition-Objekts . |
| generateDownloadUri | accessReviewHistoryInstance | Generieren Sie einen URI für einen instance, der zum Abrufen von Überprüfungsverlaufsdaten verwendet werden kann. |
| List instances | accessReviewHistoryInstance | Rufen Sie eine Liste der accessReviewHistoryInstance-Objekte und deren Eigenschaften ab. |
| Richtlinie | ||
| Get accessReviewPolicy | accessReviewPolicy | Liest die Eigenschaften und Beziehungen eines accessReviewPolicy-Objekts . |
| Aktualisieren von accessReviewPolicy | accessReviewPolicy | Aktualisieren sie die Eigenschaften eines accessReviewPolicy-Objekts . |
| Listendefinitionen mit ausstehender Genehmigung (veraltet) | accessReviewScheduleDefinition-Sammlung | Ruft alle Definitionen ab, für die der aufrufende Benutzer prüfer auf einer oder mehreren instance ist. Diese Methode ist veraltet und wird durch accessReviewScheduleDefinition: filterByCurrentUser ersetzt. |
| List pendingAccessReviewInstances (veraltet) | accessReviewInstance-Sammlung | Ruft alle ausstehenden accessReviewInstance-Ressourcen ab, die dem aufrufenden Benutzer zugewiesen sind. Diese Methode ist veraltet und wird durch accessReviewInstance ersetzt: filterByCurrentUser. |
Autorisierungsprüfungen für Rollen- und Anwendungsberechtigungen
Die folgenden Microsoft Entra Rollen sind für einen aufrufenden Benutzer erforderlich, um Zugriffsüberprüfungen zu verwalten.
| Vorgang | Anwendungsberechtigungen | Verzeichnisrolle mit den geringsten Berechtigungen des aufrufenden Benutzers |
|---|---|---|
| Lesen | AccessReview.Read.All oder AccessReview.ReadWrite.All | Globaler Leser, Sicherheitsadministrator, Sicherheitsleseberechtigter oder Benutzeradministrator |
| Create, Aktualisieren oder Löschen | AccessReview.ReadWrite.All | Benutzeradministrator |
Darüber hinaus kann ein Benutzer, der ein zugewiesener Prüfer einer Zugriffsüberprüfung ist, seine Entscheidungen verwalten, ohne sich in einer Verzeichnisrolle befinden zu müssen.
Verwandte Inhalte
- Führen Sie die geführten Tutorials durch, um zu erfahren, wie Sie die Zugriffsüberprüfungs-API verwenden, um den Zugriff auf Microsoft Entra Ressourcen zu überprüfen.