Revisiones de acceso de Azure AD

Espacio de nombres: microsoft.graph

Use las revisiones de acceso de Azure AD para configurar revisiones de acceso periódicas o únicas para la atestación de los derechos de los usuarios para acceder a los recursos de Azure AD. Estos recursos de Azure AD incluyen grupos, entidades de servicio, paquetes de acceso y roles con privilegios.

Entre los escenarios típicos de clientes para las revisiones de acceso se incluyen:

  • Los clientes pueden revisar y certificar el acceso de los usuarios invitados a los grupos a través de pertenencias a grupos. Los revisores pueden usar la información que se proporciona para decidir de forma eficaz si los invitados deben tener acceso continuo.
  • Los clientes pueden revisar y certificar el acceso de los empleados a los recursos de Azure AD.
  • Los clientes pueden revisar y auditar las asignaciones a roles con privilegios de Azure AD. Esto admite organizaciones en la administración del acceso con privilegios.

La característica de revisiones de acceso, incluida la API, solo está disponible con una licencia de compra o prueba válida de Azure AD Premium P2 o una suscripción a EMS E5. Para obtener más información sobre los requisitos de licencia, consulte Requisitos de licencia de revisiones de acceso.

Nota

En este artículo se describe cómo exportar datos personales desde un dispositivo o servicio. Estos pasos se pueden usar para respaldar sus obligaciones en virtud del Reglamento general de protección de datos (RGPD). Los administradores de inquilinos autorizados pueden usar Microsoft Graph para corregir, actualizar o eliminar información de identificación sobre los usuarios finales, incluidos los perfiles de usuario de clientes y empleados o los datos personales, como el nombre de un usuario, el título del trabajo, la dirección o el número de teléfono, en el entorno de Azure Active Directory (Azure AD).

Métodos

En la tabla siguiente se enumeran los métodos que puede usar para interactuar con recursos relacionados con la revisión de acceso.

Método Tipo devuelto Descripción
Definiciones de programación
Definiciones de lista colección accessReviewScheduleDefinition Obtenga una lista de los objetos accessReviewScheduleDefinition y sus propiedades.
Creación de definiciones accessReviewScheduleDefinition Cree un nuevo objeto accessReviewScheduleDefinition .
Obtener accessReviewScheduleDefinition accessReviewScheduleDefinition Lea las propiedades y relaciones de un objeto accessReviewScheduleDefinition .
Actualizar accessReviewScheduleDefinition accessReviewScheduleDefinition Actualice las propiedades de un objeto accessReviewScheduleDefinition .
Eliminar accessReviewScheduleDefinition Ninguno Elimina un objeto accessReviewScheduleDefinition .
filterByCurrentUser colección accessReviewScheduleDefinition Devuelve todas las definiciones en las que el usuario que realiza la llamada es el revisor de cualquier instancia.
Instancias
List instances colección accessReviewInstance Obtenga una lista de los objetos accessReviewInstance y sus propiedades.
Obtener accessReviewInstance accessReviewInstance Lea las propiedades y relaciones de un objeto accessReviewInstance .
stop Ninguno Detenga manualmente una accessReviewInstance.
sendReminder Ninguno Envíe un recordatorio a los revisores de una accessReviewInstance.
resetDecisions Ninguno Restablece todos los elementos de decisión de una instancia a notReviewed
applyDecisions Ninguno Aplique manualmente la decisión en una accessReviewInstance.
acceptRecommendations Ninguno Permite que el usuario que realiza la llamada acepte la recomendación de decisión para cada accessReviewInstanceDecisionItem notreviewed en el que sea el revisor de un accessReviewInstance específico.
batchRecordDecisions Ninguno Revise los lotes de entidades de seguridad o recursos en una llamada.
filterByCurrentUser colección accessReviewInstance Devuelve todos los objetos de instancia de una definición para la que el usuario que realiza la llamada es el revisor.
Elementos de decisión de instancia
Enumerar decisiones colección accessReviewInstanceDecisionItem Obtenga una lista de los objetos accessReviewInstanceDecisionItem y sus propiedades.
Obtener accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem Lea las propiedades y relaciones de un objeto accessReviewInstanceDecisionItem .
Actualizar accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem Actualice las propiedades de un objeto accessReviewInstanceDecisionItem .
accessReviewInstanceDecisionItem: filterByCurrentUser colección accessReviewInstanceDecisionItem Devuelve los elementos de decisión de los que el usuario que realiza la llamada es el revisor.
Definiciones de historial
Historial de listasDefinitions colección accessReviewHistoryDefinition Obtenga una lista de los objetos accessReviewHistoryDefinition y sus propiedades.
Crear historyDefinitions accessReviewHistoryDefinition Cree un nuevo objeto accessReviewHistoryDefinition .
Obtener accessReviewHistoryDefinition accessReviewHistoryDefinition Lea las propiedades y relaciones de un objeto accessReviewHistoryDefinition .
generateDownloadUri accessReviewHistoryInstance Genere un URI para una instancia que se pueda usar para recuperar datos del historial de revisión.
List instances accessReviewHistoryInstance Recupere una lista de los objetos accessReviewHistoryInstance y sus propiedades.

Comprobaciones de autorización de permisos de rol y aplicación

Los siguientes roles de Azure AD son necesarios para que un usuario que realiza la llamada administre las revisiones de acceso.

Operación Permisos de la aplicación Rol de directorio necesario del usuario que realiza la llamada
Lectura AccessReview.Read.All o AccessReview.ReadWrite.All Administrador global, Lector global, Administrador de seguridad, Lector de seguridad o Administrador de usuarios
Crear, actualizar o eliminar AccessReview.ReadWrite.All Administrador global o administrador de usuarios

Además, un usuario que sea un revisor asignado de una revisión de acceso puede administrar sus decisiones, sin necesidad de tener un rol de directorio.

Vea también