Zugriffsüberprüfungen in Azure AD
Namespace: microsoft.graph
Verwenden Sie Azure AD-Zugriffsüberprüfungen , um einmalige oder wiederkehrende Zugriffsüberprüfungen für den Nachweis der Rechte von Benutzern für den Zugriff auf Azure AD-Ressourcen zu konfigurieren. Diese Azure AD-Ressourcen umfassen Gruppen, Dienstprinzipale, Zugriffspakete und privilegierte Rollen.
Typische Kundenszenarien für Zugriffsüberprüfungen sind:
- Kunden können den Gastbenutzerzugriff auf Gruppen über Gruppenmitgliedschaften überprüfen und zertifizieren. Prüfer können die bereitgestellten Erkenntnisse nutzen, um effizient zu entscheiden, ob Gäste weiterhin Zugriff haben sollen.
- Kunden können den Mitarbeiterzugriff auf Azure AD-Ressourcen überprüfen und zertifizieren.
- Kunden können Zuweisungen zu privilegierten Azure AD-Rollen überprüfen und überwachen. Dies unterstützt Organisationen bei der Verwaltung des privilegierten Zugriffs.
Das Feature "Zugriffsüberprüfungen", einschließlich der API, ist nur mit einer gültigen Kauf- oder Testlizenz für Azure AD Premium P2- oder EMS E5-Abonnement verfügbar. Weitere Informationen zu den Lizenzanforderungen finden Sie unter Access überprüft die Lizenzanforderungen.
Hinweis
In diesem Artikel wird beschrieben, wie Sie personenbezogene Daten von einem Gerät oder Dienst exportieren. Diese Schritte können verwendet werden, um Ihre Verpflichtungen aus der Datenschutz-Grundverordnung (DSGVO) zu unterstützen. Autorisierte Mandantenadministratoren können Microsoft Graph verwenden, um identifizierbare Informationen über Endbenutzer zu korrigieren, zu aktualisieren oder zu löschen, einschließlich Kunden- und Mitarbeiterbenutzerprofilen oder personenbezogener Daten, z. B. des Benutzernamens, des Arbeitstitels, der Adresse oder Telefonnummer, in Ihrer Azure Active Directory (Azure AD)-Umgebung.
Methoden
In der folgenden Tabelle sind die Methoden aufgeführt, die Sie für die Interaktion mit Ressourcen im Zusammenhang mit zugriffsüberprüfungen verwenden können.
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Terminplandefinitionen | ||
| Listendefinitionen | accessReviewScheduleDefinition-Sammlung | Dient zum Abrufen einer Liste der accessReviewScheduleDefinition-Objekte und deren Eigenschaften. |
| Erstellen von Definitionen | accessReviewScheduleDefinition | Erstellen Sie ein neues accessReviewScheduleDefinition-Objekt . |
| accessReviewScheduleDefinition abrufen | accessReviewScheduleDefinition | Lesen Sie die Eigenschaften und Beziehungen eines accessReviewScheduleDefinition-Objekts . |
| accessReviewScheduleDefinition aktualisieren | accessReviewScheduleDefinition | Dient zum Aktualisieren der Eigenschaften eines accessReviewScheduleDefinition-Objekts . |
| accessReviewScheduleDefinition löschen | Keinen | Löscht ein accessReviewScheduleDefinition-Objekt . |
| filterByCurrentUser | accessReviewScheduleDefinition-Sammlung | Gibt alle Definitionen zurück, bei denen der aufrufende Benutzer der Prüfer beliebiger Instanzen ist. |
| Instanzen | ||
| List instances | accessReviewInstance-Sammlung | Dient zum Abrufen einer Liste der accessReviewInstance-Objekte und deren Eigenschaften. |
| AccessReviewInstance abrufen | accessReviewInstance | Lesen sie die Eigenschaften und Beziehungen eines accessReviewInstance-Objekts . |
| stop | Keinen | Beenden Sie eine accessReviewInstance manuell. |
| sendReminder | Keinen | Senden Sie eine Erinnerung an die Bearbeiter einer accessReviewInstance. |
| resetDecisions | Keinen | Setzt alle Entscheidungselemente in einer Instanz auf notReviewed |
| applyDecisions | Keinen | Manuelles Anwenden einer Entscheidung für eine accessReviewInstance. |
| acceptRecommendations | Keinen | Ermöglicht dem aufrufenden Benutzer, die Entscheidungsempfehlung für jedes NotReviewed accessReviewInstanceDecisionItem zu akzeptieren, für das er der Prüfer für eine bestimmte accessReviewInstance ist. |
| batchRecordDecisions | Keinen | Überprüfen Sie Batches von Prinzipalen oder Ressourcen in einem Aufruf. |
| filterByCurrentUser | accessReviewInstance-Sammlung | Gibt alle Instanzobjekte einer Definition zurück, für die der aufrufende Benutzer der Prüfer ist. |
| Instanzentscheidungselemente | ||
| Entscheidungen auflisten | accessReviewInstanceDecisionItem-Sammlung | Dient zum Abrufen einer Liste der accessReviewInstanceDecisionItem-Objekte und deren Eigenschaften. |
| accessReviewInstanceDecisionItem abrufen | accessReviewInstanceDecisionItem | Lesen sie die Eigenschaften und Beziehungen eines accessReviewInstanceDecisionItem-Objekts . |
| accessReviewInstanceDecisionItem aktualisieren | accessReviewInstanceDecisionItem | Dient zum Aktualisieren der Eigenschaften eines accessReviewInstanceDecisionItem-Objekts . |
| accessReviewInstanceDecisionItem: filterByCurrentUser | accessReviewInstanceDecisionItem-Sammlung | Gibt die Entscheidungselemente zurück, für die der aufrufende Benutzer der Prüfer ist. |
| Verlaufsdefinitionen | ||
| HistoryDefinitions auflisten | accessReviewHistoryDefinition-Sammlung | Dient zum Abrufen einer Liste der accessReviewHistoryDefinition-Objekte und deren Eigenschaften. |
| HistoryDefinitions erstellen | accessReviewHistoryDefinition | Erstellen Sie ein neues accessReviewHistoryDefinition-Objekt . |
| accessReviewHistoryDefinition abrufen | accessReviewHistoryDefinition | Lesen Sie die Eigenschaften und Beziehungen eines accessReviewHistoryDefinition-Objekts . |
| generateDownloadUri | accessReviewHistoryInstance | Generieren Sie einen URI für eine Instanz, die zum Abrufen von Überprüfungsverlaufsdaten verwendet werden kann. |
| List instances | accessReviewHistoryInstance | Dient zum Abrufen einer Liste der accessReviewHistoryInstance-Objekte und deren Eigenschaften. |
Autorisierungsprüfungen für Rollen- und Anwendungsberechtigungen
Die folgenden Azure AD-Rollen sind für einen aufrufenden Benutzer erforderlich, um Zugriffsüberprüfungen zu verwalten.
| Vorgang | Anwendungsberechtigungen | Erforderliche Verzeichnisrolle des aufrufenden Benutzers |
|---|---|---|
| Lesen | AccessReview.Read.All oder AccessReview.ReadWrite.All | Globaler Administrator, globaler Leser, Sicherheitsadministrator, Sicherheitsleser oder Benutzeradministrator |
| Erstellen, Aktualisieren oder Löschen | AccessReview.ReadWrite.All | Globaler Administrator oder Benutzeradministrator |
Darüber hinaus kann ein Benutzer, der ein zugewiesener Prüfer einer Zugriffsüberprüfung ist, seine Entscheidungen verwalten, ohne sich in einer Verzeichnisrolle befinden zu müssen.
Siehe auch
- Lernprogramme zum Verwenden der Zugriffsüberprüfungs-API zum Überprüfen des Zugriffs auf Azure AD-Ressourcen
- Wie ein Administrator den Benutzerzugriff mit Azure AD-Zugriffsüberprüfungen verwalten kann
- Wie ein Administrator den Gastzugriff mit Azure AD-Zugriffsüberprüfungen verwalten kann
Feedback
Feedback senden und anzeigen für