アクセス レビュー API を使用してアクセス レビュー担当者を構成する

Microsoft Entra アクセス レビュー API を使用すると、ユーザー、サービス プリンシパル、またはグループがMicrosoft Entra リソースに対して持つアクセスをプログラムで確認できます。 この記事では、Microsoft Graph を使用してMicrosoft Entraアクセス レビューですべてのレビュー担当者の種類を構成する方法について説明します。これにより、Microsoft Entra リソースへのアクセスを確認および管理するプロセスを自動化できます。

プライマリ レビューは、アクセス レビュー accessReviewScheduleDefinition リソースの reviewers プロパティで構成されます。 フォールバック レビュー担当者は、 fallbackReviewers プロパティを使用して指定することもできます。 これらのプロパティは、ユーザーが自分のアクセス権をレビューする自己レビューを作成するときに必要ありません。

レビュー担当者とフォールバック レビュー担当者を構成するには、accessReviewReviewerScope リソースの種類の query、queryRoot、queryType プロパティの値を設定します。

注:

グループの PIM を通じてメンバーシップが管理されるグループのレビューでは、アクティブな所有者のみがレビュー担当者として割り当てられます。 対象となる所有者は含まれません。 これらのグループを確認するには、少なくとも 1 人のフォールバック レビュー担当者が必要です。 レビューの開始時にアクティブな所有者がいない場合は、フォールバック レビュー担当者がレビューに割り当てられます。

例 1: 自己レビュー

自己レビューを構成するには、 レビュー担当者 プロパティを指定したり、プロパティに空のオブジェクトを指定したりしないでください。

対応するアクセス レビュー スコープ が B2B 直接接続ユーザーと共有チャネルを持つチームを対象とする場合、チーム所有者は B2B 直接接続ユーザーのアクセスをレビューするように割り当てられます。

"reviewers": []

例 2: レビュー担当者としての特定のユーザー

"reviewers": [
    {
        "query": "/users/{userId}",
        "queryType": "MicrosoftGraph"
    }
]

例 3: レビュー担当者としてのグループのメンバー

"reviewers": [
    {
        "query": "/groups/{groupId}/transitiveMembers",
        "queryType": "MicrosoftGraph"
    }
]

例 4: レビュー担当者としてのグループ所有者

アクセス レビューのスコープがグループに設定されている場合は、 アクセス レビュー スコープを構成する例 1 から 4 を参照してください。

"reviewers": [
    {
        "query": "/groups/{groupId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

アクセス レビューのスコープをグループに設定し、特定の国のグループ所有者のみをレビュー担当者として割り当てる場合:

"reviewers": [
    {
        "query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
        "type": "MicrosoftGraph"
    }
]

アクセス レビュー がすべての グループにスコープ設定されている場合は、 アクセス レビュー スコープを構成するための例 5 から 9 を参照してください。

"reviewers": [
    {
        "query": "./owners",
        "queryType": "MicrosoftGraph"
    }
]

例 5: レビュー担当者としてマネージャーをPeopleする

./managerは相対クエリであるため、queryRoot プロパティをdecisionsとして指定します。

対応するアクセス レビュー スコープ が B2B 直接接続ユーザーと共有チャネルを持つチームを対象とする場合、チーム所有者は B2B 直接接続ユーザーのアクセスをレビューします。

"reviewers": [
    {
        "query": "./manager",
        "queryType": "MicrosoftGraph",
        "queryRoot": "decisions"
    }
]

例 6: レビュー担当者としてのアプリケーション所有者

"reviewers": [
    {
        "query": "/servicePrincipals/{servicePrincipalId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

関連コンテンツ

• アクセス レビュー定義のスコープを構成します。
• アクセス レビュー API を使用して、Microsoft Entra リソースへのアクセスを確認する方法については、チュートリアルを参照してください。