Zugriffsüberprüfungen in Azure ADAzure AD access reviews

Wichtig

APIs unter der /beta Version in Microsoft Graph können Änderungen unterworfen werden.APIs under the /beta version in Microsoft Graph are subject to change. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt.Use of these APIs in production applications is not supported.

Sie können Azure AD Zugriffs Überprüfungen verwenden, um einmalige oder wiederkehrende Zugriffsüberprüfungen zur Bestätigung der Zugriffsrechte des Benutzers zu konfigurieren.You can use Azure AD access reviews to configure one-time or recurring access reviews for attestation of user's access rights.

Typische Kundenszenarien für Zugriffsüberprüfungen von Gruppenmitgliedschaften und Anwendungszugriff sind:Typical customer scenarios for access reviews of group memberships and application access are:

  • Kunden können den Gastbenutzer Zugriff überprüfen und zertifizieren, indem Sie Zugriffsüberprüfungen Ihres Zugriffs auf Anwendungen und Mitgliedschaften von Gruppen verwenden.Customers can review and certify guest user access by using access reviews of their access to applications and memberships of groups. Bearbeiter können die Einblicke verwenden, die bereitgestellt werden, um effizient zu entscheiden, ob Gäste fortgesetzten Zugriff haben sollten.Reviewers can use the insights that are provided to efficiently decide whether guests should have continued access.

  • Kunden können den Zugriff von Mitarbeitern auf Anwendungen und Gruppenmitgliedschaften mithilfe von Zugriffsüberprüfungen überprüfen und zertifizieren.Customers can review and certify employee access to applications and group memberships with access reviews.

  • Kunden können Zugriffs Überprüfungssteuerelemente in Programmen erfassen, die für Ihre Organisation relevant sind, um Bewertungen für Compliance oder risikosensitive Anwendungen nachzuverfolgen.Customers can collect access review controls into programs that are relevant for your organization to track reviews for compliance or risk-sensitive applications.

Es gibt auch eine verwandte Funktion für Kunden, die die Rollenzuweisungen von Administratoren überprüfen und zertifizieren, die Azure AD Rollen wie globaler Administrator oder Azure-Abonnement Rolle zugewiesen sind.There is also a related capability for customers to review and certify the role assignments of administrative users who are assigned to Azure AD roles such as Global Administrator or Azure subscription roles. Diese Funktion ist in Azure AD privilegierten Identitätsverwaltungenthalten.This capability is included in Azure AD Privileged Identity Management.

Beachten Sie, dass das Feature Zugriffsüberprüfungen, einschließlich der API, in Azure AD Premium P2 enthalten ist.Note that the access reviews feature, including the API, is included in Azure AD Premium P2. Der Mandant, in dem eine Zugriffsüberprüfung erstellt wird, muss über ein gültiges erworbenes oder Test Azure AD Premium P2-oder EMS E5-Abonnement verfügen.The tenant where an access review is being created must have a valid purchased or trial Azure AD Premium P2 or EMS E5 subscription. Vor dem Erstellen einer Zugriffsüberprüfung, eines Programms oder einer Programmsteuerung muss ein Administrator zuvor onboarded sein, um die programControlType -und businessFlowTemplate -Ressourcen vorzubereiten.Prior to creating an access review, program or program control, an administrator must have previously onboarded in order to prepare the programControlType and businessFlowTemplate resources. Die Organisation kann Onboard für Azure AD Zugriffsüberprüfungen oder, im Fall von Zugriffsüberprüfungen Azure AD Rollen oder Azure-Abonnement Rollen, Azure AD PIM.The organization can onboard to Azure AD access reviews or, in the case of access reviews of Azure AD roles or Azure subscription roles, Azure AD PIM.

MethodenMethods

In der folgenden Tabelle sind die Methoden aufgeführt, die Sie für die Interaktion mit Zugriffs Überprüfungs bezogenen Ressourcen verwenden können.The following table lists the methods that you can use to interact with access review-related resources.

MethodeMethod RückgabetypReturn type BeschreibungDescription
AccessReview abrufenGet accessReview accessReviewaccessReview Abrufen einer Zugriffsüberprüfung mit einer bestimmten ID.Get an access review with a specific ID.
AccessReview erstellenCreate accessReview accessReviewaccessReview Erstellen Sie eine neue accessReview.Create a new accessReview.
AccessReview löschenDelete accessReview Keine.None. Löschen eines accessReview.Delete an accessReview.
AccessReview aktualisierenUpdate accessReview accessReviewaccessReview Aktualisieren einer accessReview.Update an accessReview.
AccessReviews auflistenList accessReviews accessReview -SammlungaccessReview collection Auflisten von accessReviews für ein businessFlowTemplate.List accessReviews for a businessFlowTemplate.
AccessReview-Prüfer auflistenList accessReview reviewers User Identity -SammlunguserIdentity collection Abrufen der Bearbeiter eines accessReview.Get the reviewers of an accessReview.
AccessReview-Prüfer hinzufügenAdd accessReview reviewer Keine.None. Fügen Sie einen Prüfer zu einem accessReview hinzu.Add a reviewer to an accessReview.
AccessReview-Prüfer entfernenRemove accessReview reviewer Keine.None. Entfernen Sie einen Prüfer aus einer accessReview.Remove a reviewer from an accessReview.
AccessReview-Entscheidungen auflistenList accessReview decisions accessReviewDecision -SammlungaccessReviewDecision collection Abrufen der Entscheidungen eines accessReview.Get the decisions of an accessReview.
Meine accessReview-Entscheidungen auflistenList my accessReview decisions accessReviewDecision -SammlungaccessReviewDecision collection Als Prüfer erhalten Sie meine Entscheidungen eines accessReview.As a reviewer, get my decisions of an accessReview.
AccessReview-Erinnerung sendenSend accessReview reminder Keine.None. Senden Sie eine Erinnerung an die Bearbeiter eines accessReview.Send a reminder to the reviewers of an accessReview.
AccessReview beendenStop accessReview Keine.None. Beenden eines accessReview.Stop an accessReview.
Zurücksetzen von accessReview-EntscheidungenReset accessReview decisions Keine.None. Zurücksetzen der Entscheidungen in einer laufenden accessReview.Reset the decisions in an in-progress accessReview.
Anwenden von accessReview-EntscheidungenApply accessReview decisions Keine.None. Wenden Sie die Entscheidungen von einem abgeschlossenen accessReview.Apply the decisions from a completed accessReview.
BusinessFlowTemplates auflistenList businessFlowTemplates businessFlowTemplate -SammlungbusinessFlowTemplate collection Abrufen der für den Zugriff auf Besprechungen geeigneten Geschäfts Fluss VorlagenGet the business flow templates appropriate to access reviews.
Programm erstellenCreate program Programmprogram Erstellen Sie ein neues Programm.Create a new program.
Programm löschenDelete program Keine.None. Löschen eines Programms.Delete a program.
Auflisten von ProgrammenList programs Programm Sammlungprogram collection Abrufen einer Auflistung aller Programme.Get a collection of all the programs.
Auflisten der programControls eines ProgrammsList programControls of a program programcontrol -AuflistungprogramControl collection Abrufen einer Auflistung der Steuerelemente eines Programms.Get a collection of the controls of a program.
Update ProgrammUpdate program Programmprogram Aktualisieren eines Programms.Update a program.
Erstellen von programcontrolCreate programControl programcontrolprogramControl Hinzufügen eines programcontrol zu einem Programm.Add a programControl to a program.
Programmcontrol löschenDelete programControl Keine.None. Entfernen Sie ein programcontrol aus einem Programm.Remove a programControl from a program.
ProgramControls auflistenList programControls programcontrol -AuflistungprogramControl collection Listen Sie Steuerelemente für alle Programme im Mandanten auf.List controls across all programs in the tenant.
ProgramControlTypes auflistenList programControlTypes programControlType -SammlungprogramControlType collection Listet Programmsteuerelement Typen auf.List program control types.

Autorisierungsprüfungen für Rollen-und AnwendungsberechtigungenRole and application permission authorization checks

Die folgenden Verzeichnis Rollen sind für einen anrufenden Benutzer erforderlich, um Zugriffsüberprüfungen, Programme und Steuerelemente zu verwalten.The following directory roles are required for a calling user to manage access reviews, programs, and controls.

ZielressourceTarget resource VorgangOperation AnwendungsberechtigungenApplication permissions Erforderliche Verzeichnis Rolle des aufrufenden BenutzersRequired directory role of the calling user
accessReview einer Azure AD RolleaccessReview of an Azure AD role LesenRead AccessReview. Read. all oder AccessReview. ReadWrite. allAccessReview.Read.All or AccessReview.ReadWrite.All Globaler Administrator, Sicherheitsadministrator, Sicherheits Leser oder privilegierter Rollen AdministratorGlobal Administrator, Security Administrator, Security Reader or Privileged Role Administrator
accessReview einer Azure AD RolleaccessReview of an Azure AD role Erstellen, aktualisieren oder löschenCreate, Update or Delete AccessReview.ReadWrite.AllAccessReview.ReadWrite.All Globaler Administrator oder privilegierter Rollen AdministratorGlobal Administrator or Privileged Role Administrator
accessReview einer Gruppe oder AppaccessReview of a group or app LesenRead AccessReview. Read. all, AccessReview. ReadWrite. Membership oder AccessReview. ReadWrite. allAccessReview.Read.All, AccessReview.ReadWrite.Membership or AccessReview.ReadWrite.All Globaler Administrator, Sicherheitsadministrator, Sicherheits Leser oder Benutzer AdministratorGlobal Administrator, Security Administrator, Security Reader or User Administrator
accessReview einer Gruppe oder AppaccessReview of a group or app Erstellen, aktualisieren oder löschenCreate, Update or Delete AccessReview. ReadWrite. Membership oder AccessReview. ReadWrite. allAccessReview.ReadWrite.Membership or AccessReview.ReadWrite.All Globaler Administrator oder Benutzer AdministratorGlobal Administrator or User Administrator
programcontrol und programmcontrolprogram and programControl LesenRead Programcontrol. Read. all oder programcontrol. ReadWrite. allProgramControl.Read.All or ProgramControl.ReadWrite.All Globaler Administrator, Sicherheitsadministrator, Sicherheits Leser oder Benutzer AdministratorGlobal Administrator, Security Administrator, Security Reader or User Administrator
programcontrol und programmcontrolprogram and programControl Erstellen, aktualisieren oder löschenCreate, Update or Delete ProgramControl.ReadWrite.AllProgramControl.ReadWrite.All Globaler Administrator oder Benutzer AdministratorGlobal Administrator or User Administrator

Darüber hinaus können Benutzer, denen ein Bearbeiter einer Zugriffsüberprüfung zugewiesen ist, ihre Entscheidungen verwalten, ohne dass eine Verzeichnis Rolle erforderlich ist.In addition, a user who is an assigned reviewer of an access review can manage their decisions, without needing to be in a directory role.

Siehe auchSee also