Revisiones de acceso de Azure ADAzure AD access reviews

Importante

Las API de /beta la versión de Microsoft Graph están sujetas a cambios.APIs under the /beta version in Microsoft Graph are subject to change. No se admite el uso de estas API en aplicaciones de producción.Use of these APIs in production applications is not supported.

Puede usar las revisiones de acceso de Azure ad para configurar revisiones de acceso único o periódica para la atestación de los derechos de acceso del usuario.You can use Azure AD access reviews to configure one-time or recurring access reviews for attestation of user's access rights.

Los escenarios típicos de los clientes para obtener acceso a la pertenencia a grupos y a las aplicaciones son:Typical customer scenarios for access reviews of group memberships and application access are:

  • Los clientes pueden revisar y certificar el acceso de los usuarios invitados mediante el acceso a las revisiones de su acceso a las aplicaciones y a las pertenencias a grupos.Customers can review and certify guest user access by using access reviews of their access to applications and memberships of groups. Los revisores pueden usar la información que se proporciona para decidir de forma eficaz si los invitados deben continuar teniendo acceso.Reviewers can use the insights that are provided to efficiently decide whether guests should have continued access.

  • Los clientes pueden revisar y certificar el acceso de los empleados a las aplicaciones y pertenencias a grupos con las revisiones de Access.Customers can review and certify employee access to applications and group memberships with access reviews.

  • Los clientes pueden recopilar controles de revisión de Access en programas relevantes para su organización para que realicen un seguimiento de las revisiones de las aplicaciones de cumplimiento o de riesgos.Customers can collect access review controls into programs that are relevant for your organization to track reviews for compliance or risk-sensitive applications.

También hay una funcionalidad relacionada para que los clientes revisen y certifiquen las asignaciones de roles de los usuarios administrativos que están asignados a roles de Azure AD, como los roles de administrador global o de suscripción a Azure.There is also a related capability for customers to review and certify the role assignments of administrative users who are assigned to Azure AD roles such as Global Administrator or Azure subscription roles. Esta funcionalidad se incluye en Azure ad privileged Identity Management.This capability is included in Azure AD Privileged Identity Management.

Tenga en cuenta que la característica de revisiones de Access, incluida la API, se incluye en Azure AD Premium P2.Note that the access reviews feature, including the API, is included in Azure AD Premium P2. El inquilino en el que se crea una revisión de acceso debe tener una suscripción válida de Azure AD Premium o de versión de prueba de Azure AD Premium o EMS E5.The tenant where an access review is being created must have a valid purchased or trial Azure AD Premium P2 or EMS E5 subscription. Antes de crear un control de revisión, programa o programa de Access, es necesario que un administrador se haya incorporado previamente para preparar los recursos programControlType y businessFlowTemplate .Prior to creating an access review, program or program control, an administrator must have previously onboarded in order to prepare the programControlType and businessFlowTemplate resources. La organización puede incorporar a las revisiones de acceso de Azure AD o, en el caso de las revisiones de acceso de roles de Azure AD o roles de suscripción de Azure, a PIM de Azure AD.The organization can onboard to Azure AD access reviews or, in the case of access reviews of Azure AD roles or Azure subscription roles, Azure AD PIM.

MétodosMethods

En la tabla siguiente se enumeran los métodos que puede usar para interactuar con los recursos relacionados con la revisión de Access.The following table lists the methods that you can use to interact with access review-related resources.

MétodoMethod Tipo de retornoReturn type DescripciónDescription
Obtener accessReviewGet accessReview accessReviewaccessReview Obtener una revisión de acceso con un identificador específico.Get an access review with a specific ID.
Crear accessReviewCreate accessReview accessReviewaccessReview Cree un nuevo accessReview.Create a new accessReview.
Eliminar accessReviewDelete accessReview Ninguno.None. Elimine un accessReview.Delete an accessReview.
Actualizar accessReviewUpdate accessReview accessReviewaccessReview Actualizar un accessReview.Update an accessReview.
Enumerar revisores de accessReviewList accessReview reviewers colección userIdentityuserIdentity collection Obtener los revisores de un accessReview.Get the reviewers of an accessReview.
Agregar revisor de accessReviewAdd accessReview reviewer Ninguno.None. Agregar un revisor a un accessReview.Add a reviewer to an accessReview.
Quitar accessReview revisorRemove accessReview reviewer Ninguno.None. Quitar un revisor de un accessReview.Remove a reviewer from an accessReview.
Enumerar las decisiones accessReviewList accessReview decisions colección accessReviewDecisionaccessReviewDecision collection Obtener las decisiones de un accessReview.Get the decisions of an accessReview.
Enumerar mis accessReview decisionesList my accessReview decisions colección accessReviewDecisionaccessReviewDecision collection Como revisor, obtenga mis decisiones de un accessReview.As a reviewer, get my decisions of an accessReview.
Enviar aviso de accessReviewSend accessReview reminder Ninguno.None. Enviar un recordatorio a los revisores de un accessReview.Send a reminder to the reviewers of an accessReview.
Detener accessReviewStop accessReview Ninguno.None. Detener un accessReview.Stop an accessReview.
Restablecer decisiones de accessReviewReset accessReview decisions Ninguno.None. Restablecer las decisiones en un accessReview en curso.Reset the decisions in an in-progress accessReview.
Aplicar decisiones accessReviewApply accessReview decisions Ninguno.None. Aplicar las decisiones de una accessReview completada.Apply the decisions from a completed accessReview.
Enumerar businessFlowTemplatesList businessFlowTemplates colección businessFlowTemplatebusinessFlowTemplate collection Obtenga las plantillas de flujo empresarial adecuadas para acceder a las revisiones.Get the business flow templates appropriate to access reviews.
Crear programaCreate program sistemaprogram Cree un nuevo programa.Create a new program.
Eliminar programaDelete program Ninguno.None. Eliminar un programa.Delete a program.
Enumerar programasList programs colección de programasprogram collection Obtener una colección de todos los programas.Get a collection of all the programs.
Enumerar programControls de un programaList programControls of a program colección programControlprogramControl collection Obtener una colección de los controles de un programa.Get a collection of the controls of a program.
Programa de actualizaciónUpdate program sistemaprogram Actualizar un programa.Update a program.
Crear programControlCreate programControl programControlprogramControl Agregue un programControl a un programa.Add a programControl to a program.
Eliminar programControlDelete programControl Ninguno.None. Quitar un programControl de un programa.Remove a programControl from a program.
Enumerar programControlsList programControls colección programControlprogramControl collection Enumera los controles en todos los programas del espacio empresarial.List controls across all programs in the tenant.
Enumerar programControlTypesList programControlTypes colección programControlTypeprogramControlType collection Enumerar los tipos de control de programas.List program control types.

Comprobaciones de autorización de roles y aplicacionesRole and application permission authorization checks

Los siguientes roles de directorio son necesarios para que un usuario que realiza la llamada administre los controles, los programas y las revisiones de Access.The following directory roles are required for a calling user to manage access reviews, programs, and controls.

Recurso de destinoTarget resource OperaciónOperation Permisos de la aplicaciónApplication permissions Rol de directorio necesario del usuario que llamaRequired directory role of the calling user
accessReview de un rol de Azure adaccessReview of an Azure AD role LecturaRead AccessReview. Read. All o AccessReview. ReadWrite. AllAccessReview.Read.All or AccessReview.ReadWrite.All Administrador global, administrador de seguridad, lector de seguridad o administrador de roles con privilegiosGlobal Administrator, Security Administrator, Security Reader or Privileged Role Administrator
accessReview de un rol de Azure adaccessReview of an Azure AD role Crear, actualizar o eliminarCreate, Update or Delete AccessReview.ReadWrite.AllAccessReview.ReadWrite.All Administrador global o administrador de roles con privilegiosGlobal Administrator or Privileged Role Administrator
accessReview de un grupo o aplicaciónaccessReview of a group or app LecturaRead AccessReview. Read. All o AccessReview. ReadWrite. AllAccessReview.Read.All or AccessReview.ReadWrite.All Administrador global, administrador de seguridad, lector de seguridad o administrador de usuariosGlobal Administrator, Security Administrator, Security Reader or User Administrator
accessReview de un grupo o aplicaciónaccessReview of a group or app Crear, actualizar o eliminarCreate, Update or Delete AccessReview.ReadWrite.AllAccessReview.ReadWrite.All Administrador global o administrador de usuariosGlobal Administrator or User Administrator
programa y programControlprogram and programControl LecturaRead ProgramControl. Read. All o ProgramControl. ReadWrite. AllProgramControl.Read.All or ProgramControl.ReadWrite.All Administrador global, administrador de seguridad, lector de seguridad o administrador de usuariosGlobal Administrator, Security Administrator, Security Reader or User Administrator
programa y programControlprogram and programControl Crear, actualizar o eliminarCreate, Update or Delete ProgramControl.ReadWrite.AllProgramControl.ReadWrite.All Administrador global o administrador de usuariosGlobal Administrator or User Administrator

Además, un usuario que sea un revisor asignado de una revisión de acceso puede administrar sus decisiones sin tener que estar en un rol de directorio.In addition, a user who is an assigned reviewer of an access review can manage their decisions, without needing to be in a directory role.

Vea tambiénSee also