Azure AD アクセス レビューAzure AD access reviews

重要

Microsoft Graph の/betaバージョンの api は変更される可能性があります。APIs under the /beta version in Microsoft Graph are subject to change. 実稼働アプリケーションでは、これらの API の使用はサポートされていません。Use of these APIs in production applications is not supported.

AZURE AD access レビューを使用して、ユーザーのアクセス権の構成に対して1回限りまたは定期的なアクセスレビューを構成できます。You can use Azure AD access reviews to configure one-time or recurring access reviews for attestation of user's access rights.

グループメンバーシップとアプリケーションアクセスのアクセスレビューに関する一般的なお客様のシナリオは、次のとおりです。Typical customer scenarios for access reviews of group memberships and application access are:

  • お客様は、アクセスレビューを使用して、アプリケーションおよびグループのメンバーシップへのアクセスに関するレビューを使用して、ゲストユーザーのアクセスを確認し、証明できます。Customers can review and certify guest user access by using access reviews of their access to applications and memberships of groups. レビュー担当者は、提供された洞察を使用して、ゲストのアクセスを継続する必要があるかどうかを効率的に決定できます。Reviewers can use the insights that are provided to efficiently decide whether guests should have continued access.

  • お客様は、アクセスレビューを使用して、アプリケーションおよびグループメンバーシップへの従業員のアクセスを確認し、証明することができます。Customers can review and certify employee access to applications and group memberships with access reviews.

  • お客様は、コンプライアンスまたはリスクに敏感なアプリケーションのレビューを追跡するために、組織が関連するプログラムにアクセスレビューコントロールを収集できます。Customers can collect access review controls into programs that are relevant for your organization to track reviews for compliance or risk-sensitive applications.

また、グローバル管理者または Azure サブスクリプションの役割などの Azure AD の役割に割り当てられている管理ユーザーの役割割り当てを確認し、証明するための関連機能もあります。There is also a related capability for customers to review and certify the role assignments of administrative users who are assigned to Azure AD roles such as Global Administrator or Azure subscription roles. この機能は、 AZURE AD Privileged Identity Managementに含まれています。This capability is included in Azure AD Privileged Identity Management.

アクセスレビュー機能 (API を含む) は Azure AD Premium P2 に含まれていることに注意してください。Note that the access reviews feature, including the API, is included in Azure AD Premium P2. アクセスレビューを作成するテナントには、有効な、購入済みまたは試用版の Azure AD プレミアム P2 または EMS E5 サブスクリプションが必要です。The tenant where an access review is being created must have a valid purchased or trial Azure AD Premium P2 or EMS E5 subscription. アクセスレビュー、プログラム、またはプログラムの制御を作成する前に、管理者は、利用を事前に設定しておく必要があります。Prior to creating an access review, program or program control, an administrator must have previously onboarded in order to prepare the programControlType and businessFlowTemplate resources. Azure ad のアクセスレビューに、または azure ad の役割または azure サブスクリプションの役割のアクセスレビューの場合は azure ad PIM に、組織をオンボードにすることができます。The organization can onboard to Azure AD access reviews or, in the case of access reviews of Azure AD roles or Azure subscription roles, Azure AD PIM.

メソッドMethods

次の表に、アクセスレビュー関連のリソースを操作するために使用できるメソッドを示します。The following table lists the methods that you can use to interact with access review-related resources.

メソッドMethod 戻り値の型Return type 説明Description
AccessReview を取得するGet accessReview accessReviewaccessReview 特定の ID を持つアクセスレビューを取得します。Get an access review with a specific ID.
AccessReview を作成するCreate accessReview accessReviewaccessReview 新しい accessReview を作成します。Create a new accessReview.
AccessReview の削除Delete accessReview なし。None. AccessReview を削除します。Delete an accessReview.
AccessReview を更新するUpdate accessReview accessReviewaccessReview AccessReview を更新します。Update an accessReview.
AccessReview レビュー担当者のリストList accessReview reviewers UseridentityコレクションuserIdentity collection AccessReview のレビュー担当者を取得します。Get the reviewers of an accessReview.
AccessReview レビュー担当者を追加するAdd accessReview reviewer なし。None. 閲覧者を accessReview に追加します。Add a reviewer to an accessReview.
AccessReview レビュー担当者を削除するRemove accessReview reviewer なし。None. AccessReview からレビュー担当者を削除します。Remove a reviewer from an accessReview.
AccessReview に関する決定事項を一覧表示するList accessReview decisions accessReviewDecisionコレクションaccessReviewDecision collection AccessReview の決定事項を取得します。Get the decisions of an accessReview.
自分の accessReview の決定事項を一覧表示するList my accessReview decisions accessReviewDecisionコレクションaccessReviewDecision collection レビュー担当者として、accessReview の決定事項を取得します。As a reviewer, get my decisions of an accessReview.
Access レビュー通知の送信Send accessReview reminder なし。None. AccessReview のレビュー担当者に通知を送信します。Send a reminder to the reviewers of an accessReview.
AccessReview を停止するStop accessReview なし。None. AccessReview を停止します。Stop an accessReview.
AccessReview の決定をリセットするReset accessReview decisions なし。None. 進行中の accessReview で意思決定をリセットします。Reset the decisions in an in-progress accessReview.
AccessReview の決定を適用するApply accessReview decisions なし。None. 完了した accessReview から決定を適用します。Apply the decisions from a completed accessReview.
BusinessFlowTemplates を一覧表示するList businessFlowTemplates BusinessflowtemplateコレクションbusinessFlowTemplate collection レビューにアクセスするための適切なビジネスフローテンプレートを取得します。Get the business flow templates appropriate to access reviews.
プログラムを作成するCreate program アプリケーションprogram 新しいプログラムを作成します。Create a new program.
プログラムの削除Delete program なし。None. プログラムを削除します。Delete a program.
プログラムの一覧表示List programs プログラムコレクションprogram collection すべてのプログラムのコレクションを取得します。Get a collection of all the programs.
プログラムの programControls を一覧表示するList programControls of a program ProgramcontrolコレクションprogramControl collection プログラムのコントロールのコレクションを取得します。Get a collection of the controls of a program.
プログラムの更新Update program アプリケーションprogram プログラムを更新します。Update a program.
ProgramControl を作成するCreate programControl programControlprogramControl プログラムに programControl を追加します。Add a programControl to a program.
ProgramControl の削除Delete programControl なし。None. プログラムから programControl を削除します。Remove a programControl from a program.
ProgramControls のリストList programControls ProgramcontrolコレクションprogramControl collection テナント内のすべてのプログラムでコントロールを一覧表示します。List controls across all programs in the tenant.
ProgramControlTypes のリストList programControlTypes ProgramcontroltypeコレクションprogramControlType collection プログラムコントロールの種類を一覧表示します。List program control types.

役割とアプリケーションのアクセス許可の承認チェックRole and application permission authorization checks

呼び出し元ユーザーがアクセスレビュー、プログラム、および制御を管理するには、次のディレクトリの役割が必要です。The following directory roles are required for a calling user to manage access reviews, programs, and controls.

ターゲットリソースTarget resource OperationOperation アプリケーションのアクセス許可Application permissions 呼び出し元ユーザーの必要なディレクトリの役割Required directory role of the calling user
Azure AD ロールのAccessreviewaccessReview of an Azure AD role 読み取りRead AccessReview を参照してください。すべてのまたは AccessReview.AccessReview.Read.All or AccessReview.ReadWrite.All 全体管理者、セキュリティ管理者、セキュリティリーダ、または特権ロール管理者Global Administrator, Security Administrator, Security Reader or Privileged Role Administrator
Azure AD ロールのAccessreviewaccessReview of an Azure AD role 作成、更新、または削除Create, Update or Delete AccessReview.ReadWrite.AllAccessReview.ReadWrite.All グローバル管理者または特権ロール管理者Global Administrator or Privileged Role Administrator
グループまたはアプリのAccessreviewaccessReview of a group or app 読み取りRead AccessReview を参照してください。すべてのまたは AccessReview.AccessReview.Read.All or AccessReview.ReadWrite.All グローバル管理者、セキュリティ管理者、セキュリティリーダ、またはユーザー管理者Global Administrator, Security Administrator, Security Reader or User Administrator
グループまたはアプリのAccessreviewaccessReview of a group or app 作成、更新、または削除Create, Update or Delete AccessReview.ReadWrite.AllAccessReview.ReadWrite.All 全体管理者またはユーザー管理者Global Administrator or User Administrator
プログラムおよびprogramcontrolprogram and programControl 読み取りRead ProgramControl. すべてのまたはすべてのプログラムを読み取ることができます。ProgramControl.Read.All or ProgramControl.ReadWrite.All グローバル管理者、セキュリティ管理者、セキュリティリーダ、またはユーザー管理者Global Administrator, Security Administrator, Security Reader or User Administrator
プログラムおよびprogramcontrolprogram and programControl 作成、更新、または削除Create, Update or Delete ProgramControl.ReadWrite.AllProgramControl.ReadWrite.All 全体管理者またはユーザー管理者Global Administrator or User Administrator

また、アクセスレビューの担当者に割り当てられているユーザーは、ディレクトリロールに存在しなくても、決定を管理できます。In addition, a user who is an assigned reviewer of an access review can manage their decisions, without needing to be in a directory role.

関連項目See also