Zugriffsüberprüfungen in Azure AD
Namespace: microsoft.graph
Wichtig
APIs unter der /beta Version in Microsoft Graph können geändert werden. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in Version 1.0 verfügbar ist, verwenden Sie die Versionsauswahl .
Hinweis
Dies ist die empfohlene API für Zugriffsüberprüfungen. Die vorherige Version der Zugriffsüberprüfungs-API ist veraltet.
Verwenden Sie Azure AD-Zugriffsüberprüfungen , um einmalige oder wiederkehrende Zugriffsüberprüfungen für den Nachweis der Rechte von Benutzern für den Zugriff auf Azure AD-Ressourcen zu konfigurieren. Diese Azure AD-Ressourcen umfassen Gruppen, Dienstprinzipale, Zugriffspakete und privilegierte Rollen.
Typische Kundenszenarien für Zugriffsüberprüfungen sind:
- Kunden können den Gastbenutzerzugriff auf Gruppen über Gruppenmitgliedschaften überprüfen und zertifizieren. Prüfer können die bereitgestellten Erkenntnisse nutzen, um effizient zu entscheiden, ob Gäste weiterhin Zugriff haben sollen.
- Kunden können den Mitarbeiterzugriff auf Azure AD-Ressourcen überprüfen und zertifizieren.
- Kunden können Zuweisungen zu privilegierten Azure AD-Rollen überprüfen und überwachen. Dies unterstützt Organisationen bei der Verwaltung des privilegierten Zugriffs.
Beachten Sie, dass das Feature "Zugriffsüberprüfungen", einschließlich der API, in Azure AD Premium P2 enthalten ist. Der Mandant, in dem eine Zugriffsüberprüfung erstellt wird, muss über ein gültiges erworbenes oder testversionsbasiertes Azure AD Premium P2- oder EMS E5-Abonnement verfügen. Weitere Informationen zu den Lizenzanforderungen finden Sie unter Access überprüft die Lizenzanforderungen.
Hinweis
In diesem Artikel wird beschrieben, wie Sie personenbezogene Daten von einem Gerät oder Dienst exportieren. Diese Schritte können verwendet werden, um Ihre Verpflichtungen aus der Datenschutz-Grundverordnung (DSGVO) zu unterstützen. Autorisierte Mandantenadministratoren können Microsoft Graph verwenden, um identifizierbare Informationen über Endbenutzer zu korrigieren, zu aktualisieren oder zu löschen, einschließlich Kunden- und Mitarbeiterbenutzerprofilen oder personenbezogener Daten, z. B. des Benutzernamens, des Arbeitstitels, der Adresse oder Telefonnummer, in Ihrer Azure Active Directory (Azure AD)-Umgebung.
Methoden
In der folgenden Tabelle sind die Methoden aufgeführt, die Sie für die Interaktion mit Ressourcen im Zusammenhang mit zugriffsüberprüfungen verwenden können.
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Terminplandefinitionen | ||
| Listendefinitionen | accessReviewScheduleDefinition-Sammlung | Dient zum Abrufen einer Liste der accessReviewScheduleDefinition-Objekte und deren Eigenschaften. |
| accessReviewScheduleDefinition abrufen | accessReviewScheduleDefinition | Dient zum Abrufen eines accessReviewScheduleDefinition-Objekts und seiner Eigenschaften. |
| Erstellen von Definitionen | accessReviewScheduleDefinition | Erstellen Sie eine neue accessReviewScheduleDefinition. |
| accessReviewScheduleDefinition löschen | Keine. | Dient zum Löschen eines accessReviewScheduleDefinition-Objekts. |
| accessReviewScheduleDefinition aktualisieren | Keine. | Dient zum Aktualisieren der Eigenschaften eines accessReviewScheduleDefinition-Objekts mit einem angegebenen Bezeichner. |
| filterByCurrentUser | accessReviewScheduleDefinition-Sammlung | Ruft alle Definitionen ab, für die der aufrufende Benutzer ein Prüfer für eine oder mehrere Instanzen ist. |
| Instanzen | ||
| List instances | accessReviewInstance-Sammlung | Dient zum Abrufen einer Liste der accessReviewInstance-Objekte und deren Eigenschaften. |
| AccessReviewInstance abrufen | accessReviewInstance | Lesen sie die Eigenschaften und Beziehungen eines accessReviewInstance-Objekts . |
| sendReminder | Keine. | Senden Sie eine Erinnerung an die Bearbeiter einer accessReviewInstance. |
| stop | Keine. | Beenden Sie eine accessReviewInstance manuell. |
| acceptRecommendations | Keine. | Ermöglicht dem aufrufenden Benutzer, die Entscheidungsempfehlung für jedes NotReviewed accessReviewInstanceDecisionItem zu akzeptieren, für das er der Prüfer für eine bestimmte accessReviewInstance ist. |
| applyDecisions | Keine. | Manuelles Anwenden von Entscheidungen für eine accessReviewInstance. |
| batchRecordDecisions | Keinen | Überprüfen Sie Batches von Prinzipalen oder Ressourcen in einem Aufruf. |
| resetDecisions | Keinen | Setzt alle Entscheidungselemente einer Instanz auf notReviewedzurück. |
| filterByCurrentUser | accessReviewInstance-Sammlung | Gibt alle Instanzen für eine bestimmte accessReviewScheduleDefinition zurück, für die der aufrufende Benutzer der Prüfer einer oder mehrerer Entscheidungen ist. |
| Instanzentscheidungselemente | ||
| Entscheidungen auflisten | accessReviewInstanceDecisionItem-Sammlung | Dient zum Abrufen einer Liste der accessReviewInstanceDecisionItem-Objekte und deren Eigenschaften. |
| accessReviewInstanceDecisionItem abrufen | accessReviewInstanceDecisionItem | Lesen sie die Eigenschaften und Beziehungen eines accessReviewInstanceDecisionItem-Objekts . |
| accessReviewInstanceDecisionItem aktualisieren | Keine. | Für alle accessReviewInstanceDecisionItems, denen der aufrufende Benutzer einen Prüfer zugewiesen hat, kann der aufrufende Benutzer eine Entscheidung aufzeichnen, indem er das Entscheidungsobjekt patcht. |
| filterByCurrentUser | accessReviewInstanceDecisionItem-Sammlung | Ruft alle accessReviewInstanceDecisionItems-Objekte ab, bei denen die aufrufende Verwendung der Prüfer für eine bestimmte accessReviewInstance ist. |
| listPendingApproval (veraltet) | accessReviewInstanceDecisionItem-Auflistung . | Rufen Sie alle accessReviewInstanceDecisionItems ab, die dem aufrufenden Benutzer für eine bestimmte accessReviewInstance zugewiesen sind. Diese Methode wird veraltet und durch accessReviewInstanceDecisionItem: filterByCurrentUser ersetzt. |
| Verlaufsdefinitionen | ||
| HistoryDefinitions auflisten | accessReviewHistoryDefinition-Sammlung | Dient zum Abrufen einer Liste der accessReviewHistoryDefinition-Objekte und deren Eigenschaften. |
| HistoryDefinitions erstellen | accessReviewHistoryDefinition | Erstellen Sie ein neues accessReviewHistoryDefinition-Objekt . |
| accessReviewHistoryDefinition abrufen | accessReviewHistoryDefinition | Lesen Sie die Eigenschaften und Beziehungen eines accessReviewHistoryDefinition-Objekts . |
| generateDownloadUri | accessReviewHistoryInstance | Generieren Sie einen URI für eine Instanz, die zum Abrufen von Überprüfungsverlaufsdaten verwendet werden kann. |
| List instances | accessReviewHistoryInstance | Dient zum Abrufen einer Liste der accessReviewHistoryInstance-Objekte und deren Eigenschaften. |
| Richtlinie | ||
| AccessReviewPolicy abrufen | accessReviewPolicy | Lesen Sie die Eigenschaften und Beziehungen eines accessReviewPolicy-Objekts . |
| accessReviewPolicy aktualisieren | accessReviewPolicy | Dient zum Aktualisieren der Eigenschaften eines accessReviewPolicy-Objekts . |
| Listendefinitionen ausstehend (veraltet) | accessReviewScheduleDefinition-Sammlung | Ruft alle Definitionen ab, für die der aufrufende Benutzer ein Prüfer für eine oder mehrere Instanzen ist. Diese Methode wird veraltet und durch accessReviewScheduleDefinition: filterByCurrentUser ersetzt. |
| Auflisten von pendingAccessReviewInstances (veraltet) | accessReviewInstance-Auflistung . | Ruft alle ausstehenden accessReviewInstance-Ressourcen ab, die dem aufrufenden Benutzer zugewiesen sind. Diese Methode wird veraltet und durch accessReviewInstance: filterByCurrentUser ersetzt. |
Autorisierungsprüfungen für Rollen- und Anwendungsberechtigungen
Die folgenden Azure AD-Rollen sind für einen aufrufenden Benutzer erforderlich, um Zugriffsüberprüfungen zu verwalten.
| Vorgang | Anwendungsberechtigungen | Erforderliche Verzeichnisrolle des aufrufenden Benutzers |
|---|---|---|
| Lesen | AccessReview.Read.All oder AccessReview.ReadWrite.All | Globaler Administrator, globaler Leser, Sicherheitsadministrator, Sicherheitsleser oder Benutzeradministrator |
| Erstellen, Aktualisieren oder Löschen | AccessReview.ReadWrite.All | Globaler Administrator oder Benutzeradministrator |
Darüber hinaus kann ein Benutzer, der ein zugewiesener Prüfer einer Zugriffsüberprüfung ist, seine Entscheidungen verwalten, ohne sich in einer Verzeichnisrolle befinden zu müssen.
Siehe auch
- Lernprogramme zum Verwenden der Zugriffsüberprüfungs-API zum Überprüfen des Zugriffs auf Azure AD-Ressourcen
- Wie ein Administrator den Benutzerzugriff mit Azure AD-Zugriffsüberprüfungen verwalten kann
- Wie ein Administrator den Gastzugriff mit Azure AD-Zugriffsüberprüfungen verwalten kann
Feedback
Feedback senden und anzeigen für