アクセス レビュー API の概要

  • [アーティクル]

名前空間: microsoft.graph

Microsoft Entraアクセス レビューを使用して、Microsoft Entra リソースにアクセスするプリンシパルの権限の構成証明のために、1 回限りのアクセス レビューまたは定期的なアクセス レビューを構成します。 プリンシパルは、ユーザーまたはアプリケーション (サービス プリンシパル) です。 Microsoft Entra リソースには、グループ、アプリケーション (サービス プリンシパル)、アクセス パッケージ、特権ロールが含まれます。 アクセス レビューは、Microsoft Entra ID ガバナンスの機能です。

アクセス レビューの一般的な顧客シナリオは次のとおりです。

  • お客様は、グループ メンバーシップを通じて、グループへのゲスト ユーザー アクセスを確認および認定できます。 レビュー担当者は、提供された分析情報を使用して、ゲストが引き続きアクセスする必要があるかどうかを効率的に判断できます。
  • お客様は、Microsoft Entra リソースへの従業員のアクセスを確認および認定できます。
  • お客様は、Microsoft Entra ID特権ロールへの割り当てを確認および監査できます。 これにより、特権アクセスの管理における組織がサポートされます。

アクセス レビューが API を介して作成または管理されているテナントには、十分な購入ライセンスまたは試用版ライセンスが必要です。 ライセンス要件の詳細については、「 Access reviews license requirements」を参照してください。

注:

この記事では、デバイスまたはサービスから個人データをエクスポートする方法について説明します。 これらの手順は、一般データ保護規則 (GDPR) に基づく義務をサポートするために使用できます。 承認されたテナント管理者は、Microsoft Graph を使用して、エンド ユーザーに関する識別可能な情報 (顧客と従業員のユーザー プロファイル、ユーザーの名前、仕事のタイトル、住所、電話番号など) をMicrosoft Entra ID環境で修正、更新、または削除できます。

メソッド

次の表に、レビュー関連のリソースへのアクセスに使用できるメソッドの一覧を示します。

メソッド 戻り値の種類 説明
スケジュール定義
リスト定義 accessReviewScheduleDefinition コレクション accessReviewScheduleDefinition オブジェクトとそのプロパティの一覧を取得します。
定義を作成する accessReviewScheduleDefinition 新しい accessReviewScheduleDefinition オブジェクトを作成します。
AccessReviewScheduleDefinition を取得する accessReviewScheduleDefinition accessReviewScheduleDefinition オブジェクトのプロパティとリレーションシップを読み取ります。
accessReviewScheduleDefinition を更新する accessReviewScheduleDefinition accessReviewScheduleDefinition オブジェクトのプロパティを更新します。
accessReviewScheduleDefinition を削除する なし accessReviewScheduleDefinition オブジェクトを削除します。
filterByCurrentUser accessReviewScheduleDefinition コレクション 呼び出し元のユーザーが任意のインスタンスのレビュー担当者であるすべての定義を返します。
インスタンス
インスタンスを一覧表示する accessReviewInstance コレクション accessReviewInstance オブジェクトとそのプロパティの一覧を取得します。
AccessReviewInstance を取得する accessReviewInstance accessReviewInstance オブジェクトのプロパティとリレーションシップを読み取ります。
stop なし accessReviewInstance を手動で停止します。
sendReminder なし accessReviewInstance のレビュー担当者にリマインダーを送信します。
resetDecisions なし インスタンス上のすべてのデシジョン 項目を にリセットします。 notReviewed
applyDecisions なし accessReviewInstance に対する決定を手動で適用します。
acceptRecommendations なし 呼び出し元のユーザーが、特定の accessReviewInstance のレビュー担当者である NotReviewInstanceDecisionItem ごとに決定の推奨事項を受け入れることを許可します。
batchRecordDecisions なし 1 回の呼び出しでプリンシパルまたはリソースのバッチを確認します。
filterByCurrentUser accessReviewInstance コレクション 呼び出し元ユーザーがレビュー担当者である定義上のすべてのインスタンス オブジェクトを返します。
インスタンスの意思決定項目
決定を一覧表示する accessReviewInstanceDecisionItem コレクション accessReviewInstanceDecisionItem オブジェクトとそのプロパティの一覧を取得します。
AccessReviewInstanceDecisionItem を取得する accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem オブジェクトのプロパティとリレーションシップを読み取ります。
accessReviewInstanceDecisionItem を更新する accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem オブジェクトのプロパティを更新します。
accessReviewInstanceDecisionItem: filterByCurrentUser accessReviewInstanceDecisionItem コレクション 呼び出し元ユーザーがレビュー担当者である決定項目を返します。
履歴の定義
履歴の一覧表示Definitions accessReviewHistoryDefinition コレクション accessReviewHistoryDefinition オブジェクトとそのプロパティの一覧を取得します。
historyDefinitions を作成する accessReviewHistoryDefinition 新しい accessReviewHistoryDefinition オブジェクトを 作成します。
AccessReviewHistoryDefinition を取得する accessReviewHistoryDefinition accessReviewHistoryDefinition オブジェクトのプロパティとリレーションシップを読み取ります。
generateDownloadUri accessReviewHistoryInstance レビュー履歴データの取得に使用できるインスタンスの URI を生成します。
インスタンスを一覧表示する accessReviewHistoryInstance accessReviewHistoryInstance オブジェクトとそのプロパティの一覧を取得します。

ロールとアプリケーションのアクセス許可の承認チェック

呼び出し元ユーザーがアクセス レビューを管理するには、次のMicrosoft Entraロールが必要です。

操作 アプリケーションのアクセス許可 呼び出し元ユーザーの必須ディレクトリ ロール
読み取り AccessReview.Read.All または AccessReview.ReadWrite.All グローバル管理者、グローバル リーダー、セキュリティ管理者、セキュリティ 閲覧者、またはユーザー管理者
作成、更新、または削除 AccessReview.ReadWrite.All グローバル管理者またはユーザー管理者

さらに、アクセス レビューの割り当てられたレビュー担当者であるユーザーは、ディレクトリ ロールである必要なく、決定を管理できます。

関連コンテンツ

  • アクセス レビュー API を使用して、Microsoft Entra リソースへのアクセスを確認する方法については、ガイド付きチュートリアルを参照してください。