Azure AD アクセス レビュー

名前空間: microsoft.graph

Azure AD アクセス レビューを使用して、ユーザーが Azure AD リソースにアクセスする権限を構成するために、1 回限りのアクセス レビューまたは定期的なアクセス レビューを構成します。 これらの Azure AD リソースには、グループ、サービス プリンシパル、アクセス パッケージ、特権ロールが含まれます。

アクセス レビューの一般的な顧客シナリオは次のとおりです。

• 顧客は、グループ メンバーシップを通じてグループへのゲスト ユーザー アクセスを確認し、認定できます。 レビュー担当者は、提供された分析情報を使用して、ゲストが継続的なアクセス権を持つ必要があるかどうかを効率的に判断できます。
• お客様は、Azure AD リソースへの従業員のアクセスを確認し、認定することができます。
• お客様は、Azure AD 特権ロールに対する割り当てを確認および監査できます。 これにより、特権アクセスの管理における組織がサポートされます。

API を含むアクセス レビュー機能は、Azure AD Premium P2または EMS E5 サブスクリプションの有効な購入ライセンスまたは試用版ライセンスでのみ使用できます。 ライセンス要件の詳細については、 Access レビューのライセンス要件に関するページを参照してください。

注意

この記事では、デバイスまたはサービスから個人データをエクスポートする方法について説明します。 これらの手順は、一般データ保護規則 (GDPR) に基づく義務をサポートするために使用できます。 承認されたテナント管理者は、Microsoft Graphを使用して、顧客と従業員のユーザー プロファイルや個人データ (ユーザーの名前、勤務先の役職、住所、電話番号など) を含むエンド ユーザーに関する識別可能な情報を、Azure Active Directory (Azure AD) 環境で修正、更新、または削除できます。

メソッド

次の表に、アクセス レビュー関連のリソースを操作するために使用できるメソッドの一覧を示します。

メソッド	戻り値の種類	説明
定義をスケジュールする
リスト定義	accessReviewScheduleDefinition コレクション	accessReviewScheduleDefinition オブジェクトとそのプロパティの一覧を取得します。
定義を作成する	accessReviewScheduleDefinition	新しい accessReviewScheduleDefinition オブジェクトを作成します。
accessReviewScheduleDefinition を取得する	accessReviewScheduleDefinition	accessReviewScheduleDefinition オブジェクトのプロパティとリレーションシップを読み取ります。
accessReviewScheduleDefinition を更新する	accessReviewScheduleDefinition	accessReviewScheduleDefinition オブジェクトのプロパティを更新します。
accessReviewScheduleDefinition を削除する	なし	accessReviewScheduleDefinition オブジェクトを削除します。
filterByCurrentUser	accessReviewScheduleDefinition コレクション	呼び出し元のユーザーが任意のインスタンスの校閲者であるすべての定義を返します。
インスタンス
インスタンスを一覧表示する	accessReviewInstance コレクション	accessReviewInstance オブジェクトとそのプロパティの一覧を取得します。
accessReviewInstance を取得する	accessReviewInstance	accessReviewInstance オブジェクトのプロパティとリレーションシップを読み取ります。
stop	なし	accessReviewInstance を手動で停止します。
sendReminder	なし	accessReviewInstance の校閲者にリマインダーを送信します。
resetDecisions	なし	インスタンス上のすべてのデシジョン 項目を notReviewed
applyDecisions	なし	accessReviewInstance に対して手動で決定を適用します。
acceptRecommendations	なし	呼び出し元のユーザーが、特定の accessReviewInstance のレビュー担当者である NotReviewed accessReviewInstanceDecisionItem ごとに決定の推奨事項を受け入れることを許可します。
batchRecordDecisions	なし	1 回の呼び出しでプリンシパルまたはリソースのバッチを確認します。
filterByCurrentUser	accessReviewInstance コレクション	呼び出し元のユーザーがレビュー担当者である定義上のすべてのインスタンス オブジェクトを返します。
インスタンスの意思決定項目
決定を一覧表示する	accessReviewInstanceDecisionItem コレクション	accessReviewInstanceDecisionItem オブジェクトとそのプロパティの一覧を取得します。
Get accessReviewInstanceDecisionItem	accessReviewInstanceDecisionItem	accessReviewInstanceDecisionItem オブジェクトのプロパティとリレーションシップを読み取ります。
accessReviewInstanceDecisionItem を更新する	accessReviewInstanceDecisionItem	accessReviewInstanceDecisionItem オブジェクトのプロパティを更新します。
accessReviewInstanceDecisionItem: filterByCurrentUser	accessReviewInstanceDecisionItem コレクション	呼び出し元のユーザーがレビュー担当者であるデシジョン アイテムを返します。
履歴の定義
list historyDefinitions	accessReviewHistoryDefinition コレクション	accessReviewHistoryDefinition オブジェクトとそのプロパティの一覧を取得します。
historyDefinitions を作成する	accessReviewHistoryDefinition	新しい accessReviewHistoryDefinition オブジェクトを作成します。
accessReviewHistoryDefinition を取得する	accessReviewHistoryDefinition	accessReviewHistoryDefinition オブジェクトのプロパティとリレーションシップを読み取ります。
generateDownloadUri	accessReviewHistoryInstance	レビュー履歴データを取得するために使用できるインスタンスの URI を生成します。
インスタンスを一覧表示する	accessReviewHistoryInstance	accessReviewHistoryInstance オブジェクトとそのプロパティの一覧を取得します。

ロールとアプリケーションのアクセス許可の承認チェック

呼び出し元のユーザーがアクセス レビューを管理するには、次の Azure AD ロール が必要です。

操作	アプリケーションのアクセス許可	呼び出し元のユーザーの必要なディレクトリ ロール
読み取り	AccessReview.Read.All または AccessReview.ReadWrite.All	グローバル管理者、グローバル 閲覧者、セキュリティ管理者、セキュリティ 閲覧者、またはユーザー管理者
作成、更新、または削除	AccessReview.ReadWrite.All	グローバル管理者またはユーザー管理者

さらに、アクセス レビューのレビュー担当者が割り当てられているユーザーは、ディレクトリ ロールを持つ必要なく、決定を管理できます。

関連項目

• アクセス レビュー API を使用して Azure AD リソースへのアクセスを確認する方法を学習するためのチュートリアル
• 管理者が Azure AD アクセス レビューを使用してユーザー アクセスを管理する方法
• 管理者が Azure AD アクセス レビューを使用してゲスト アクセスを管理する方法