Freigeben über


Übersicht über Zugriffsüberprüfungs-APIs

Namespace: microsoft.graph

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Hinweis

Dies ist die empfohlene API für Zugriffsüberprüfungen. Die vorherige Version der Zugriffsüberprüfungs-API ist veraltet.

Verwenden Sie Microsoft Entra Zugriffsüberprüfungen, um einmalige oder wiederkehrende Zugriffsüberprüfungen für den Nachweis des Rechts eines Prinzipals auf zugriff auf Microsoft Entra Ressourcen zu konfigurieren. Die Prinzipale sind Benutzer oder Anwendungen (Dienstprinzipale). Die Microsoft Entra Ressourcen umfassen Gruppen, Anwendungen (Dienstprinzipale), Zugriffspakete und privilegierte Rollen. Zugriffsüberprüfungen sind ein Feature von Microsoft Entra ID Governance.

Typische Kundenszenarien für Zugriffsüberprüfungen sind:

  • Kunden können den Gastbenutzerzugriff auf Gruppen über Gruppenmitgliedschaften überprüfen und zertifizieren. Prüfer können die bereitgestellten Erkenntnisse nutzen, um effizient zu entscheiden, ob Gäste weiterhin Zugriff haben sollen.
  • Kunden können den Mitarbeiterzugriff auf Microsoft Entra Ressourcen überprüfen und zertifizieren.
  • Kunden können Zuweisungen zu Microsoft Entra ID privilegierten Rollen überprüfen und überwachen. Dies unterstützt Organisationen bei der Verwaltung des privilegierten Zugriffs.

Der Mandant, in dem eine Zugriffsüberprüfung über die API erstellt oder verwaltet wird, muss über ausreichende erworbene oder Testlizenzen verfügen. Weitere Informationen zu den Lizenzanforderungen finden Sie unter Lizenzanforderungen für Zugriffsüberprüfungen.

Hinweis

In diesem Artikel wird beschrieben, wie Sie personenbezogene Daten von einem Gerät oder Dienst exportieren. Diese Schritte können verwendet werden, um Ihre Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) zu unterstützen. Autorisierte Mandantenadministratoren können Microsoft Graph verwenden, um identifizierbare Informationen über Endbenutzer zu korrigieren, zu aktualisieren oder zu löschen, einschließlich Benutzerprofilen von Kunden und Mitarbeitern oder personenbezogene Daten wie Name, Arbeitstitel, Adresse oder Telefonnummer eines Benutzers in Ihrer Microsoft Entra ID Umgebung.

Methoden

In der folgenden Tabelle sind die Methoden aufgeführt, die Sie für die Interaktion mit Ressourcen im Zusammenhang mit der Zugriffsüberprüfung verwenden können.

Methode Rückgabetyp Beschreibung
Zeitplandefinitionen
Listendefinitionen accessReviewScheduleDefinition-Sammlung Rufen Sie eine Liste der accessReviewScheduleDefinition-Objekte und deren Eigenschaften ab.
AccessReviewScheduleDefinition abrufen accessReviewScheduleDefinition Rufen Sie ein accessReviewScheduleDefinition-Objekt und seine Eigenschaften ab.
Create Definitionen accessReviewScheduleDefinition Create eine neue accessReviewScheduleDefinition.
accessReviewScheduleDefinition löschen Keine Löschen sie accessReviewScheduleDefinition.
Aktualisieren von accessReviewScheduleDefinition Keine Aktualisieren Sie die Eigenschaften einer accessReviewScheduleDefinition mit einem angegebenen Bezeichner.
filterByCurrentUser accessReviewScheduleDefinition-Sammlung Ruft alle Definitionen ab, für die der aufrufende Benutzer prüfer auf einer oder mehreren instance ist.
Instanzen
List instances accessReviewInstance-Sammlung Ruft eine Liste der accessReviewInstance-Objekte und deren Eigenschaften ab.
Get accessReviewInstance accessReviewInstance Liest die Eigenschaften und Beziehungen eines accessReviewInstance-Objekts .
sendReminder Keine Senden Sie eine Erinnerung an die Prüfer einer accessReviewInstance.
stop Keine Beenden Sie eine accessReviewInstance manuell.
acceptRecommendations Keine Ermöglicht es dem aufrufenden Benutzer, die Entscheidungsempfehlung für jedes NotReviewed accessReviewInstanceDecisionItem zu akzeptieren, für das er der Prüfer für eine bestimmte accessReviewInstance ist.
applyDecisions Keine Manuelles Anwenden von Entscheidungen auf eine accessReviewInstance.
batchRecordDecisions Keine Überprüfen Sie Batches von Prinzipalen oder Ressourcen in einem Aufruf.
resetDecisions Keine Setzt alle Entscheidungselemente eines instance auf zurücknotReviewed.
filterByCurrentUser accessReviewInstance-Sammlung Gibt alle Instanzen für eine bestimmte accessReviewScheduleDefinition zurück, für die der aufrufende Benutzer der Prüfer einer oder mehrerer Entscheidungen ist.
Instanzentscheidungselemente
Entscheidungen auflisten accessReviewInstanceDecisionItem-Auflistung Rufen Sie eine Liste der accessReviewInstanceDecisionItem-Objekte und deren Eigenschaften ab.
Get accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem Liest die Eigenschaften und Beziehungen eines accessReviewInstanceDecisionItem-Objekts .
Aktualisieren von accessReviewInstanceDecisionItem Keine Für alle accessReviewInstanceDecisionItems, für die dem aufrufenden Benutzer ein Prüfer zugewiesen ist, kann ein aufrufender Benutzer eine Entscheidung aufzeichnen, indem er das Entscheidungsobjekt patcht.
filterByCurrentUser accessReviewInstanceDecisionItem-Auflistung Ruft alle accessReviewInstanceDecisionItems-Objekte ab, bei denen die aufrufende Verwendung der Prüfer für eine bestimmte accessReviewInstance ist.
listPendingApproval (veraltet) accessReviewInstanceDecisionItem-Auflistung Ruft alle accessReviewInstanceDecisionItems ab, die dem aufrufenden Benutzer für eine bestimmte accessReviewInstance zugewiesen sind. Diese Methode wird als veraltet gekennzeichnet und durch accessReviewInstanceDecisionItem ersetzt: filterByCurrentUser.
Verlaufsdefinitionen
HistoryDefinitionen auflisten accessReviewHistoryDefinition-Auflistung Rufen Sie eine Liste der accessReviewHistoryDefinition-Objekte und deren Eigenschaften ab.
Create historyDefinitions accessReviewHistoryDefinition Create ein neues accessReviewHistoryDefinition-Objekt.
Get accessReviewHistoryDefinition accessReviewHistoryDefinition Lesen der Eigenschaften und Beziehungen eines accessReviewHistoryDefinition-Objekts .
generateDownloadUri accessReviewHistoryInstance Generieren Sie einen URI für einen instance, der zum Abrufen von Überprüfungsverlaufsdaten verwendet werden kann.
List instances accessReviewHistoryInstance Rufen Sie eine Liste der accessReviewHistoryInstance-Objekte und deren Eigenschaften ab.
Richtlinie
Get accessReviewPolicy accessReviewPolicy Liest die Eigenschaften und Beziehungen eines accessReviewPolicy-Objekts .
Aktualisieren von accessReviewPolicy accessReviewPolicy Aktualisieren sie die Eigenschaften eines accessReviewPolicy-Objekts .
Listendefinitionen mit ausstehender Genehmigung (veraltet) accessReviewScheduleDefinition-Sammlung Ruft alle Definitionen ab, für die der aufrufende Benutzer prüfer auf einer oder mehreren instance ist. Diese Methode ist veraltet und wird durch accessReviewScheduleDefinition: filterByCurrentUser ersetzt.
List pendingAccessReviewInstances (veraltet) accessReviewInstance-Sammlung Ruft alle ausstehenden accessReviewInstance-Ressourcen ab, die dem aufrufenden Benutzer zugewiesen sind. Diese Methode ist veraltet und wird durch accessReviewInstance ersetzt: filterByCurrentUser.

Autorisierungsprüfungen für Rollen- und Anwendungsberechtigungen

Die folgenden Microsoft Entra Rollen sind für einen aufrufenden Benutzer erforderlich, um Zugriffsüberprüfungen zu verwalten.

Vorgang Anwendungsberechtigungen Verzeichnisrolle mit den geringsten Berechtigungen des aufrufenden Benutzers
Lesen AccessReview.Read.All oder AccessReview.ReadWrite.All Globaler Leser, Sicherheitsadministrator, Sicherheitsleseberechtigter oder Benutzeradministrator
Create, Aktualisieren oder Löschen AccessReview.ReadWrite.All Benutzeradministrator

Darüber hinaus kann ein Benutzer, der ein zugewiesener Prüfer einer Zugriffsüberprüfung ist, seine Entscheidungen verwalten, ohne sich in einer Verzeichnisrolle befinden zu müssen.