Revisiones de acceso de Azure AD

Espacio de nombres: microsoft.graph

Use Azure AD de acceso para configurar revisiones de acceso periódicas o únicas para la certificación de los derechos de los usuarios para obtener acceso Azure AD recursos. Estos Azure AD incluyen grupos, entidades de servicio, paquetes de acceso y roles con privilegios.

Los escenarios típicos de cliente para las revisiones de acceso incluyen:

  • Los clientes pueden revisar y certificar el acceso de los usuarios invitados a grupos a través de pertenencias a grupos. Los revisores pueden usar los conocimientos que se proporcionan para decidir de forma eficaz si los invitados deben tener acceso continuo.
  • Los clientes pueden revisar y certificar el acceso de los empleados a Azure AD recursos.
  • Los clientes pueden revisar y auditar las asignaciones Azure AD roles con privilegios. Esto admite organizaciones en la administración del acceso con privilegios.

La característica de revisiones de acceso, incluida la API, solo está disponible con una licencia válida de compra o prueba de Azure AD Premium P2 suscripción a EMS E5. Para obtener más información acerca de los requisitos de licencia, vea Access reviews license requirements.

Métodos

En la tabla siguiente se enumeran los métodos que puede usar para interactuar con los recursos relacionados con la revisión de acceso.

Método Tipo devuelto Descripción
Definiciones de programación
Definiciones de lista colección accessReviewScheduleDefinition Obtenga una lista de los objetos accessReviewScheduleDefinition y sus propiedades.
Crear definiciones accessReviewScheduleDefinition Cree un nuevo objeto accessReviewScheduleDefinition .
Obtener accessReviewScheduleDefinition accessReviewScheduleDefinition Lea las propiedades y las relaciones de un objeto accessReviewScheduleDefinition .
Actualizar accessReviewScheduleDefinition accessReviewScheduleDefinition Actualice las propiedades de un objeto accessReviewScheduleDefinition .
Eliminar accessReviewScheduleDefinition Ninguno Elimina un objeto accessReviewScheduleDefinition .
filterByCurrentUser colección accessReviewScheduleDefinition Devuelve todas las definiciones en las que el usuario que llama es el revisor de cualquier instancia.
Instancias
List instances colección accessReviewInstance Obtenga una lista de los objetos accessReviewInstance y sus propiedades.
Obtener accessReviewInstance accessReviewInstance Lea las propiedades y las relaciones de un objeto accessReviewInstance .
stop Ninguno Detenga manualmente un accessReviewInstance.
sendReminder Ninguno Envíe un aviso a los revisores de un accessReviewInstance.
resetDecisions None Restablece todos los elementos de decisión de una instancia a notReviewed
applyDecisions None Aplicar manualmente la decisión en un accessReviewInstance.
acceptRecommendations None Permite al usuario que realiza la llamada aceptar la recomendación de decisión para cada objeto AccessReviewedReviewInstanceDecisionItem en el que sea revisor de un accessReviewInstance específico.
batchRecordDecisions None Revise lotes de entidades de seguridad o recursos en una llamada.
filterByCurrentUser colección accessReviewInstance Devuelve todos los objetos de instancia de una definición para la que el usuario que llama es el revisor.
Elementos de decisión de instancia
Enumerar decisiones colección accessReviewInstanceDecisionItem Obtenga una lista de los objetos accessReviewInstanceDecisionItem y sus propiedades.
Obtener accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem Lea las propiedades y relaciones de un objeto accessReviewInstanceDecisionItem .
Actualizar accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem Actualice las propiedades de un objeto accessReviewInstanceDecisionItem .
accessReviewInstanceDecisionItem: filterByCurrentUser colección accessReviewInstanceDecisionItem Devuelve los elementos de decisión de los que el usuario que realiza la llamada es el revisor.
Definiciones de historial
Enumerar historyDefinitions colección accessReviewHistoryDefinition Obtenga una lista de los objetos accessReviewHistoryDefinition y sus propiedades.
Crear historyDefinitions accessReviewHistoryDefinition Cree un nuevo objeto accessReviewHistoryDefinition .
Obtener accessReviewHistoryDefinition accessReviewHistoryDefinition Lea las propiedades y las relaciones de un objeto accessReviewHistoryDefinition .
generateDownloadUri accessReviewHistoryInstance Generar un URI para una instancia que se puede usar para recuperar datos del historial de revisión.
List instances accessReviewHistoryInstance Recupera una lista de los objetos accessReviewHistoryInstance y sus propiedades.

Comprobaciones de autorización de permisos de roles y aplicaciones

Los siguientes Azure AD roles son necesarios para que un usuario que llama administre las revisiones de acceso.

Operación Permisos de la aplicación Rol de directorio necesario del usuario que realiza la llamada
Lectura AccessReview.Read.All o AccessReview.ReadWrite.All Administrador global, lector global, administrador de seguridad, lector de seguridad o administrador de usuarios
Crear, actualizar o eliminar AccessReview.ReadWrite.All Administrador global o administrador de usuarios

Además, un usuario que es un revisor asignado de una revisión de acceso puede administrar sus decisiones, sin necesidad de estar en un rol de directorio.

Vea también