次の方法で共有


Microsoft Entra アクセス レビュー (非推奨)

名前空間: microsoft.graph

重要

Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。

注意

このバージョンのアクセス レビュー API は非推奨となり、2023 年 5 月 19 日にデータの返しを停止します。 アクセス レビュー API を使用してください。

Microsoft Entra アクセス レビューを使用して、ユーザーのアクセス権の構成証明に対して 1 回限りのアクセス レビューまたは定期的なアクセス レビューを構成できます。

グループ メンバーシップとアプリケーション アクセスのアクセス レビューの一般的な顧客シナリオは次のとおりです。

  • お客様は、アプリケーションへのアクセスとグループのメンバーシップのアクセス レビューを使用して、ゲスト ユーザーのアクセスを確認および認定できます。 レビュー担当者は、提供された分析情報を使用して、ゲストが引き続きアクセスする必要があるかどうかを効率的に判断できます。

  • お客様は、アクセス レビューを使用して、アプリケーションとグループ メンバーシップへの従業員のアクセスを確認および認定できます。

  • お客様は、コンプライアンスやリスクに敏感なアプリケーションのレビューを追跡するために、組織に関連するプログラムにアクセス レビュー制御を収集できます。

また、 Microsoft Entra ロール または Azure サブスクリプション ロールに割り当てられている管理ユーザーのロールの割り当てを確認して認定する関連機能もあります。 この機能は、 Microsoft Entra Privileged Identity Management に含まれています。

アクセス レビューが API を介して作成または管理されているテナントには、十分な購入ライセンスまたは試用版ライセンスが必要です。 ライセンス要件の詳細については、「 Access reviews license requirements」を参照してください。

アクセス レビュー、プログラム、またはプログラム制御を作成する前に、管理者は、 programControlType リソースと businessFlowTemplate リソースを準備するために、事前にオンボードしておく必要があります。 組織は、Microsoft Entra アクセス レビューにオンボードすることも、Microsoft Entra ロールまたは Azure サブスクリプション ロールのアクセス レビューの場合は Microsoft Entra PIM にオンボードすることもできます。

メソッド

次の表に、レビュー関連のリソースへのアクセスに使用できるメソッドの一覧を示します。

メソッド 戻り値の種類 説明
AccessReview を取得する accessReview 特定の ID を持つアクセス レビューを取得します。
accessReview の作成 accessReview 新しい accessReview を作成します。
accessReview を削除する なし。 accessReview を削除します。
accessReview の更新 accessReview accessReview を更新します。
accessReviews を一覧表示する accessReview コレクション businessFlowTemplate の accessReviews を一覧表示します。
accessReview レビュー担当者を一覧表示する userIdentity コレクション accessReview のレビュー担当者を取得します。
accessReview レビュー担当者を追加する なし。 accessReview にレビュー担当者を追加します。
accessReview レビュー担当者を削除する なし。 accessReview からレビュー担当者を削除します。
accessReview の決定を一覧表示する accessReviewDecision コレクション accessReview の決定を取得します。
accessReview の決定を一覧表示する accessReviewDecision コレクション レビュー担当者として、accessReview の決定を取得します。
AccessReview リマインダーを送信する なし。 accessReview のレビュー担当者にリマインダーを送信します。
アクセスを停止するReview なし。 accessReview を停止します。
accessReview の決定をリセットする なし。 進行中の accessReview で決定をリセットします。
accessReview の決定を適用する なし。 完了した accessReview からの決定を適用します。
businessFlowTemplates を一覧表示する businessFlowTemplate コレクション レビューにアクセスするのに適したビジネス フロー テンプレートを取得します。
プログラムの作成 プログラム 新しいプログラムを作成します。
プログラムの削除 なし。 プログラムを削除します。
プログラムの一覧表示 プログラム コレクション すべてのプログラムのコレクションを取得します。
programControls のプログラムを一覧表示する programControl コレクション プログラムのコントロールのコレクションを取得します。
プログラムの更新 プログラム プログラムを更新します。
programControl の作成 programControl programControl をプログラムに追加します。
programControl の削除 なし。 programControl をプログラムから削除します。
programControls を一覧表示する programControl コレクション テナント内のすべてのプログラムのコントロールを一覧表示します。
programControlTypes を一覧表示する programControlType コレクション プログラムコントロールの種類を一覧表示します。

ロールとアプリケーションのアクセス許可の承認チェック

呼び出し元ユーザーがアクセス レビュー、プログラム、およびコントロールを管理するには、次のディレクトリ ロールが必要です。

ターゲット リソース 操作 アプリケーションのアクセス許可 呼び出し元ユーザーの最小特権ディレクトリ ロール
access Microsoft Entra ロールの確認 読み取り AccessReview.Read.All または AccessReview.ReadWrite.All グローバル閲覧者、セキュリティ管理者、セキュリティ閲覧者、または特権ロール管理者
access Microsoft Entra ロールの確認 作成、更新、または削除 AccessReview.ReadWrite.All 特権ロール管理者
access グループまたはアプリの表示 読み取り AccessReview.Read.All、AccessReview.ReadWrite.Membership、または AccessReview.ReadWrite.All グローバル 閲覧者、セキュリティ管理者、セキュリティ 閲覧者、またはユーザー管理者
access グループまたはアプリの表示 作成、更新、または削除 AccessReview.ReadWrite.Membership または AccessReview.ReadWrite.All ユーザー管理者
program および programControl 読み取り ProgramControl.Read.All または ProgramControl.ReadWrite.All グローバル 閲覧者、セキュリティ管理者、セキュリティ 閲覧者、またはユーザー管理者
program および programControl 作成、更新、または削除 ProgramControl.ReadWrite.All ユーザー管理者

さらに、アクセス レビューの割り当てられたレビュー担当者であるユーザーは、ディレクトリ ロールである必要なく、決定を管理できます。