アクセス レビュー API を使用してレビューにアクセスするようにレビュー担当者を割り当てる

Microsoft Entra アクセス レビュー API を使用すると、ユーザー、サービス プリンシパル、またはグループがMicrosoft Entra リソースに対して持つアクセスをプログラムで確認できます。

プライマリ レビューは、アクセス レビュー accessReviewScheduleDefinition リソースの reviewers プロパティで構成されます。 さらに、フォールバック レビュー担当者を指定するには、 fallbackReviewers プロパティを使用します。 これらのプロパティは、(ユーザーが自分のアクセスをレビューする) 自己レビューを作成するときに必要ありません。

レビュー担当者とフォールバック レビュー担当者を構成するには、accessReviewReviewerScope リソースの種類の query、queryRoot、queryType プロパティの値を設定します。

注:

グループの PIM を通じてメンバーシップが管理されるグループのレビューでは、アクティブな所有者のみがレビュー担当者として割り当てられます。 対象となる所有者は含まれません。 これらのグループを確認するには、少なくとも 1 人のフォールバック レビュー担当者が必要です。 レビューの開始時にアクティブな所有者がいない場合は、フォールバック レビュー担当者がレビューに割り当てられます。

例 1: 自己レビュー

自己レビューを構成するには、 reviewers プロパティを指定したり、プロパティに空のオブジェクトを指定したりしないでください。

対応するアクセス レビュー スコープ が B2B 直接接続ユーザーと共有チャネルを持つチームを対象とする場合、チーム所有者は B2B 直接接続ユーザーのアクセスをレビューするように割り当てられます。

"reviewers": []

例 2: レビュー担当者としての特定のユーザー

"reviewers": [
    {
        "query": "/users/{userId}",
        "queryType": "MicrosoftGraph"
    }
]

例 3: レビュー担当者としてのグループのメンバー

"reviewers": [
    {
        "query": "/groups/{groupId}/transitiveMembers",
        "queryType": "MicrosoftGraph"
    }
]

例 4: レビュー担当者としてのグループ所有者

アクセス レビューのスコープがグループに設定されている場合 (たとえば、 アクセス レビュー スコープを構成するための例 1 から 4)。

"reviewers": [
    {
        "query": "/groups/{groupId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

アクセス レビューのスコープをグループに設定し、特定の国のグループ所有者のみをレビュー担当者として割り当てる場合:

"reviewers": [
    {
        "query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
        "type": "MicrosoftGraph"
    }
]

アクセス レビュー がすべての グループにスコープ設定されている場合 (たとえば、 アクセス レビュー スコープを構成するための例 5 から 9)。

"reviewers": [
    {
        "query": "./owners",
        "queryType": "MicrosoftGraph"
    }
]

例 5: レビュー担当者としてマネージャーをPeopleする

は相対クエリであるため./manager、 の値decisionsを使用して queryRoot プロパティを指定します。

対応するアクセス レビュー スコープ が B2B 直接接続ユーザーと共有チャネルを持つチームを対象とする場合、チーム所有者は B2B 直接接続ユーザーのアクセスをレビューするように割り当てられます。

"reviewers": [
    {
        "query": "./manager",
        "queryType": "MicrosoftGraph",
        "queryRoot": "decisions"
    }
]

例 6: レビュー担当者としてのアプリケーション所有者

"reviewers": [
    {
        "query": "/servicePrincipals/{servicePrincipalId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

関連コンテンツ

• アクセス レビュー定義のスコープを構成する
• アクセス レビュー API を使用して、Microsoft Entra リソースへのアクセスを確認する方法については、チュートリアルを参照してください