Azure AD アクセス レビュー (非推奨)
名前空間: microsoft.graph
重要
Microsoft Graph のバージョンの /beta API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 API が v1.0 で使用できるかどうかを確認するには、 バージョン セレクターを使用します。
注意
アクセス レビュー API は廃止され、2023 年 5 月 19 日にデータの返しを停止します。 Access レビュー を使用してください。
Azure AD アクセス レビューを使用して、ユーザーのアクセス権の構成証明のために 1 回または定期的なアクセス レビューを構成できます。
グループ メンバーシップとアプリケーション アクセスのアクセス レビューの一般的な顧客シナリオは次のとおりです。
お客様は、アプリケーションへのアクセスとグループのメンバーシップに対するアクセス レビューを使用して、ゲスト ユーザー アクセスを確認および認定できます。 レビュー担当者は、提供されている分析情報を使用して、ゲストが継続的にアクセスする必要があるかどうかを効率的に判断できます。
お客様は、アクセス レビューを使用して、アプリケーションおよびグループ メンバーシップへの従業員アクセスを確認および認定できます。
お客様は、コンプライアンスまたはリスクに敏感なアプリケーションのレビューを追跡するために、組織に関連するプログラムにアクセス レビューコントロールを収集できます。
また、お客様が Azure AD ロール (グローバル管理者や Azure サブスクリプション ロールなど) に割り当てられている管理ユーザーの役割割り当てを確認および認定する関連機能も用意されています。 この機能は Azure AD Privileged Identity Managementに含まれています。
API を含むアクセス レビュー機能は Azure AD プレミアム P2 に含まれています。 アクセス レビューが作成されるテナントには、有効な購入または試用版の Azure サブスクリプションが P2 または EMS E5 AD プレミアム必要があります。 アクセス レビュー、プログラム、またはプログラムコントロールを作成する前に、管理者が programControlType リソースと businessFlowTemplate リソースを準備するために、以前にオンボードされている必要があります。 組織は Azure AD アクセス レビューにオンボードするか、Azure AD ロールまたは Azure サブスクリプション ロールのアクセス レビューの場合は Azure AD PIM にADできます。
メソッド
次の表に、アクセス レビュー関連のリソースを操作するために使用できるメソッドを示します。
| メソッド | 戻り値の種類 | 説明 |
|---|---|---|
| Get accessReview | accessReview | 特定の ID でアクセス レビューを取得します。 |
| AccessReview の作成 | accessReview | 新しい accessReview を作成します。 |
| AccessReview の削除 | なし。 | accessReview を削除します。 |
| AccessReview の更新 | accessReview | accessReview を更新します。 |
| リスト accessReviews | accessReview コレクション | businessFlowTemplate の accessReviews を一覧表示します。 |
| リスト accessReview レビュー担当者 | userIdentity コレクション | accessReview のレビュー担当者を取得します。 |
| AccessReview レビューアーの追加 | なし。 | accessReview にレビューアーを追加します。 |
| AccessReview レビューアーを削除する | なし。 | accessReview からレビューアーを削除します。 |
| accessReview の決定を一覧表示する | accessReviewDecision コレクション | accessReview の決定を取得します。 |
| 自分の accessReview の決定を一覧表示する | accessReviewDecision コレクション | レビューアとして、accessReview の決定を取得します。 |
| AccessReview アラームの送信 | なし。 | accessReview のレビュー担当者にリマインダーを送信します。 |
| Stop accessReview | なし。 | accessReview を停止します。 |
| accessReview の決定をリセットする | なし。 | 進行中の accessReview の決定をリセットします。 |
| accessReview の決定を適用する | なし。 | 完了した accessReview から決定を適用します。 |
| リスト businessFlowTemplates | businessFlowTemplate コレクション | レビューにアクセスするために適切なビジネス フロー テンプレートを取得します。 |
| プログラムの作成 | program | 新しいプログラムを作成します。 |
| プログラムの削除 | なし。 | プログラムを削除します。 |
| プログラムの一覧 | program コレクション | すべてのプログラムのコレクションを取得します。 |
| list programControls of a program | programControl コレクション | プログラムのコントロールのコレクションを取得します。 |
| プログラムの更新 | program | プログラムを更新します。 |
| programControl の作成 | programControl | programControl をプログラムに追加します。 |
| programControl の削除 | なし。 | programControl をプログラムから削除します。 |
| list programControls | programControl コレクション | テナント内のすべてのプログラムのコントロールを一覧表示します。 |
| List programControlTypes | programControlType コレクション | プログラムコントロールの種類を一覧表示します。 |
役割とアプリケーションのアクセス許可の承認チェック
呼び出し元のユーザーがアクセス レビュー、プログラム、およびコントロールを管理するには、次のディレクトリ ロールが必要です。
| ターゲット リソース | Operation | アプリケーションのアクセス許可 | 呼び出し元ユーザーの必須ディレクトリロール |
|---|---|---|---|
| accessReview の Azure ADロール | Read | AccessReview.Read.All または AccessReview.ReadWrite.All | グローバル管理者、グローバル リーダー、セキュリティ管理者、セキュリティ リーダー、または特権ロール管理者 |
| accessReview の Azure ADロール | 作成、更新、または削除 | AccessReview.ReadWrite.All | グローバル管理者または特権ロール管理者 |
| グループまたはアプリの accessReview | Read | AccessReview.Read.All、AccessReview.ReadWrite.Membership または AccessReview.ReadWrite.All | グローバル管理者、グローバル リーダー、セキュリティ管理者、セキュリティ リーダー、またはユーザー管理者 |
| グループまたはアプリの accessReview | 作成、更新、または削除 | AccessReview.ReadWrite.Membership または AccessReview.ReadWrite.All | グローバル管理者またはユーザー管理者 |
| program and programControl | Read | ProgramControl.Read.All または ProgramControl.ReadWrite.All | グローバル管理者、グローバル リーダー、セキュリティ管理者、セキュリティ リーダー、またはユーザー管理者 |
| program and programControl | 作成、更新、または削除 | ProgramControl.ReadWrite.All | グローバル管理者またはユーザー管理者 |
さらに、アクセス レビューの割り当てられたレビューアーであるユーザーは、ディレクトリ ロールにいなくても、決定を管理できます。
関連項目
フィードバック
フィードバックの送信と表示