アクセス レビュー API の概要

  • [アーティクル]

名前空間: microsoft.graph

重要

Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。

注:

これは、アクセス レビューに推奨される API です。 以前のバージョンの アクセス レビュー API は非推奨になりました。

Microsoft Entraアクセス レビューを使用して、Microsoft Entra リソースにアクセスするプリンシパルの権限の構成証明のために、1 回限りのアクセス レビューまたは定期的なアクセス レビューを構成します。 プリンシパルは、ユーザーまたはアプリケーション (サービス プリンシパル) です。 Microsoft Entra リソースには、グループ、アプリケーション (サービス プリンシパル)、アクセス パッケージ、特権ロールが含まれます。 アクセス レビューは、Microsoft Entra ID ガバナンスの機能です。

アクセス レビューの一般的な顧客シナリオは次のとおりです。

  • お客様は、グループ メンバーシップを通じて、グループへのゲスト ユーザー アクセスを確認および認定できます。 レビュー担当者は、提供された分析情報を使用して、ゲストが引き続きアクセスする必要があるかどうかを効率的に判断できます。
  • お客様は、Microsoft Entra リソースへの従業員のアクセスを確認および認定できます。
  • お客様は、Microsoft Entra ID特権ロールへの割り当てを確認および監査できます。 これにより、特権アクセスの管理における組織がサポートされます。

アクセス レビューが API を介して作成または管理されているテナントには、十分な購入ライセンスまたは試用版ライセンスが必要です。 ライセンス要件の詳細については、「 Access reviews license requirements」を参照してください。

注:

この記事では、デバイスまたはサービスから個人データをエクスポートする方法について説明します。 これらの手順は、一般データ保護規則 (GDPR) に基づく義務をサポートするために使用できます。 承認されたテナント管理者は、Microsoft Graph を使用して、エンド ユーザーに関する識別可能な情報 (顧客と従業員のユーザー プロファイル、ユーザーの名前、仕事のタイトル、住所、電話番号など) をMicrosoft Entra ID環境で修正、更新、または削除できます。

メソッド

次の表に、レビュー関連のリソースへのアクセスに使用できるメソッドの一覧を示します。

メソッド 戻り値の種類 説明
スケジュール定義
リスト定義 accessReviewScheduleDefinition コレクション accessReviewScheduleDefinition オブジェクトとそのプロパティの一覧を取得します。
AccessReviewScheduleDefinition を取得する accessReviewScheduleDefinition accessReviewScheduleDefinition オブジェクトとそのプロパティを取得します。
定義を作成する accessReviewScheduleDefinition 新しい accessReviewScheduleDefinition を作成します。
accessReviewScheduleDefinition を削除する なし accessReviewScheduleDefinition を削除します。
accessReviewScheduleDefinition を更新する なし accessReviewScheduleDefinition のプロパティを、指定した識別子で更新します。
filterByCurrentUser accessReviewScheduleDefinition コレクション 呼び出し元ユーザーが 1 つ以上のインスタンスのレビュー担当者であるすべての定義を取得します。
インスタンス
インスタンスを一覧表示する accessReviewInstance コレクション accessReviewInstance オブジェクトとそのプロパティの一覧を取得します。
AccessReviewInstance を取得する accessReviewInstance accessReviewInstance オブジェクトのプロパティとリレーションシップを読み取ります。
sendReminder なし accessReviewInstance のレビュー担当者にリマインダーを送信します。
stop なし accessReviewInstance を手動で停止します。
acceptRecommendations なし 呼び出し元のユーザーが、特定の accessReviewInstance のレビュー担当者である NotReviewInstanceDecisionItem ごとに決定の推奨事項を受け入れることを許可します。
applyDecisions なし accessReviewInstance に関する決定を手動で適用します。
batchRecordDecisions なし 1 回の呼び出しでプリンシパルまたはリソースのバッチを確認します。
resetDecisions なし インスタンス上のすべてのデシジョン 項目を に notReviewedリセットします。
filterByCurrentUser accessReviewInstance コレクション 呼び出し元ユーザーが 1 つ以上の決定のレビュー担当者である特定の accessReviewScheduleDefinition のすべてのインスタンスを返します。
インスタンスの意思決定項目
決定を一覧表示する accessReviewInstanceDecisionItem コレクション accessReviewInstanceDecisionItem オブジェクトとそのプロパティの一覧を取得します。
AccessReviewInstanceDecisionItem を取得する accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem オブジェクトのプロパティとリレーションシップを読み取ります。
accessReviewInstanceDecisionItem を更新する なし 呼び出し元ユーザーにレビュー担当者が割り当てられている accessReviewInstanceDecisionItems の場合、呼び出し元ユーザーはデシジョン オブジェクトに修正プログラムを適用することで決定を記録できます。
filterByCurrentUser accessReviewInstanceDecisionItem コレクション 呼び出し元の使用が特定の accessReviewInstance のレビュー担当者であるすべての accessReviewInstanceDecisionItems オブジェクトを取得 します
listPendingApproval (非推奨) accessReviewInstanceDecisionItem コレクション 特定の accessReviewInstance について、呼び出し元のユーザーに割り当てられているすべての accessReviewInstanceDecisionItems を取得します。 このメソッドは非推奨になり、 accessReviewInstanceDecisionItem: filterByCurrentUser に置き換えられます。
履歴の定義
履歴の一覧表示Definitions accessReviewHistoryDefinition コレクション accessReviewHistoryDefinition オブジェクトとそのプロパティの一覧を取得します。
historyDefinitions を作成する accessReviewHistoryDefinition 新しい accessReviewHistoryDefinition オブジェクトを 作成します。
AccessReviewHistoryDefinition を取得する accessReviewHistoryDefinition accessReviewHistoryDefinition オブジェクトのプロパティとリレーションシップを読み取ります。
generateDownloadUri accessReviewHistoryInstance レビュー履歴データの取得に使用できるインスタンスの URI を生成します。
インスタンスを一覧表示する accessReviewHistoryInstance accessReviewHistoryInstance オブジェクトとそのプロパティの一覧を取得します。
ポリシー
AccessReviewPolicy を取得する accessReviewPolicy accessReviewPolicy オブジェクトのプロパティとリレーションシップを読み取ります。
accessReviewPolicy を更新する accessReviewPolicy accessReviewPolicy オブジェクトのプロパティを更新します。
承認待ちの定義を一覧表示する (非推奨) accessReviewScheduleDefinition コレクション 呼び出し元ユーザーが 1 つ以上のインスタンスのレビュー担当者であるすべての定義を取得します。 このメソッドは非推奨になり、 accessReviewScheduleDefinition: filterByCurrentUser に置き換えられます。
pendingAccessReviewInstances の一覧表示 (非推奨) accessReviewInstance コレクション 保留中のすべての accessReviewInstance リソースを取得し、呼び出し元のユーザーに割り当てます。 このメソッドは非推奨になり、 accessReviewInstance: filterByCurrentUser に置き換えられます。

ロールとアプリケーションのアクセス許可の承認チェック

呼び出し元ユーザーがアクセス レビューを管理するには、次のMicrosoft Entraロールが必要です。

操作 アプリケーションのアクセス許可 呼び出し元ユーザーの必須ディレクトリ ロール
読み取り AccessReview.Read.All または AccessReview.ReadWrite.All グローバル管理者、グローバル 閲覧者、セキュリティ管理者、セキュリティ 閲覧者、またはユーザー管理者
作成、更新、または削除 AccessReview.ReadWrite.All グローバル管理者またはユーザー管理者

さらに、アクセス レビューの割り当てられたレビュー担当者であるユーザーは、ディレクトリ ロールである必要なく、決定を管理できます。

関連コンテンツ

  • アクセス レビュー API を使用して、Microsoft Entra リソースへのアクセスを確認する方法については、ガイド付きチュートリアルを参照してください。