Tutoriel : Utiliser l’API révisions d’accès pour passer en revue l’accès aux rôles privilégiés

L’API révisions d’accès dans Microsoft Graph permet aux organisations d’auditer et d’attester de l’accès auquel les identités (également appelées principaux) sont affectées aux ressources de l’organisation. L’une des ressources les plus sensibles d’une organisation est les rôles privilégiés. Avec un rôle privilégié, un principal peut effectuer des opérations administratives. Selon le rôle privilégié, certaines opérations peuvent avoir un effet plus important sur la posture de sécurité de l’organisation. À l’aide de l’API révisions d’accès, les organisations peuvent régulièrement attester des principaux qui ont accès à des rôles privilégiés conformément à la stratégie d’organisation.

Contoso Limited est un fournisseur de services en croissance qui a délégué différents privilèges d’administrateur Azure AD aux utilisateurs, groupes et principaux de service de l’organisation. L’entreprise doit s’assurer que seuls les personnes appropriées ont accès à des rôles privilégiés. Les auditeurs système doivent également auditer l’historique des révisions d’accès pour rendre compte de l’efficacité des contrôles internes de Contoso.

Dans ce didacticiel, vous allez utiliser l’API révisions d’accès pour examiner régulièrement les utilisateurs et les groupes ayant accès à des rôles privilégiés dans Contoso. Cet accès inclut les rôles actifs et éligibles.

Configuration requise

Pour suivre ce didacticiel, vous avez besoin des ressources et privilèges suivants :

  • Un locataire Azure AD de travail avec une licence Azure AD Premium P2 ou EMS E5 activée.
  • Connectez-vous à Graph Explorer en tant qu’utilisateur dans un rôle Administrateur de rôle privilégié.
  • Principaux disposant d’affectations actives ou éligibles à un rôle privilégié. Ces affectations seront l’étendue de votre révision d’accès. Pour attribuer des rôles privilégiés, consultez Tutoriel : Utiliser l’API Privileged Identity Management (PIM) pour attribuer Azure AD rôles.
    • Dans ce didacticiel, le rôle Administrateur d’utilisateurs est la ressource en cours d’examen. Le rôle a été attribué à un groupe de sécurité et à un utilisateur individuel.
  • Les autorisations déléguées suivantes : AccessReview.ReadWrite.All.

Pour accepter les autorisations requises dans Graph Explorer :

  1. Sélectionnez l’icône des points de suspension horizontaux à droite des détails du compte d’utilisateur, puis sélectionnez Sélectionner les autorisations.

    Sélectionnez les autorisations Microsoft Graph.

  2. Faites défiler la liste des autorisations pour AccessReview (3), développez, puis sélectionnez AccessReview.ReadWrite.All. Sélectionnez Accord, puis sélectionnez Accepter pour accepter le consentement des autorisations.

    Consentement aux autorisations Microsoft Graph.

Notes

Les objets de réponse présentés dans ce didacticiel peuvent être raccourcis pour des raisons de lisibilité.

Étape 1 : Créer une révision d’accès des attributions de rôles privilégiés

Dans ce didacticiel, nous créons une révision d’accès périodique des attributions actives et éligibles au rôle Administrateur d’utilisateurs. Un accessReviewScheduleDefinition peut être utilisé pour définir la révision d’accès de plusieurs types de principaux (utilisateurs et groupes ou principaux de service) en un seul rôle privilégié. Pour passer en revue l’accès à plusieurs rôles privilégiés, créez des objets accessReviewScheduleDefinition distincts.

La définition de planification de révision d’accès suivante a les paramètres suivants :

  • L’étendue de la révision est celle des principaux (propriété principalScopes ) avec accès à la ressource spécifiée dans la propriété resourceScopes . Dans ce cas, les principaux sont à la fois des groupes et des utilisateurs, tandis que la ressource est le rôle Administrateur d’utilisateurs.
  • Les attributions actives et éligibles à la ressource de rôle Administrateur d’utilisateurs sont en cours d’examen.
  • Un utilisateur individuel est sélectionné en tant que réviseur. Dans cet exemple, vous serez le réviseur.
  • L’approbateur doit fournir une justification avant d’approuver l’accès au rôle privilégié.
  • La décision par défaut est None lorsque les réviseurs ne répondent pas à la demande de révision d’accès avant l’expiration de l’instance.
  • autoApplyDecisionsEnabled n’est pas défini et a falsela valeur par défaut . Dans ce cas, une fois la révision terminée, les décisions ne sont pas appliquées automatiquement. Vous devez donc les appliquer manuellement.
  • La révision se répète tous les trois mois sur une période de trois jours et ne se termine pas.

Demande

Dans la requête suivante, remplacez la f674a1c9-4a40-439c-bfa3-4b61a9f29d85 valeur de votre ID d’utilisateur. RoleDefinitionId fe930be7-5e62-47db-91af-98c3a49a38b1 est l’identificateur de modèle global pour le rôle Administrateur d’utilisateurs dans Azure AD.

POST https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions
Content-type: application/json

{
    "displayName": "Review access of users and groups to privileged roles",
    "descriptionForAdmins": "Review access of users and groups to privileged roles",
    "scope": {
        "@odata.type": "#microsoft.graph.principalResourceMembershipsScope",
        "principalScopes": [
            {
                "@odata.type": "#microsoft.graph.accessReviewQueryScope",
                "query": "/users",
                "queryType": "MicrosoftGraph"
            },
            {
                "@odata.type": "#microsoft.graph.accessReviewQueryScope",
                "query": "/groups",
                "queryType": "MicrosoftGraph"
            }
        ],
        "resourceScopes": [
            {
                "@odata.type": "#microsoft.graph.accessReviewQueryScope",
                "query": "/roleManagement/directory/roleDefinitions/fe930be7-5e62-47db-91af-98c3a49a38b1",
                "queryType": "MicrosoftGraph"
            }
        ]
    },
    "reviewers": [
        {
            "query": "/users/f674a1c9-4a40-439c-bfa3-4b61a9f29d85",
            "queryType": "MicrosoftGraph"
        }
    ],
    "settings": {
        "mailNotificationsEnabled": true,
        "reminderNotificationsEnabled": true,
        "justificationRequiredOnApproval": true,
        "defaultDecisionEnabled": false,
        "defaultDecision": "None",
        "instanceDurationInDays": 3,
        "recommendationsEnabled": false,
        "recurrence": {
            "pattern": {
                "type": "absoluteMonthly",
                "interval": 3
            },
            "range": {
                "type": "noEnd",
                "startDate": "2022-03-02"
            }
        }
    }
}

Réponse

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/accessReviews/definitions/$entity",
    "id": "57457d7c-af59-470c-ae71-aa72c657fe0f",
    "displayName": "Review access of users and groups to privileged roles",
    "createdDateTime": null,
    "lastModifiedDateTime": null,
    "status": "NotStarted",
    "descriptionForAdmins": "Review access of users and groups to privileged roles",
    "descriptionForReviewers": null,
    "instanceEnumerationScope": null,
    "createdBy": {
        "id": "f674a1c9-4a40-439c-bfa3-4b61a9f29d85",
        "displayName": "Alex Wilber",
        "type": null,
        "userPrincipalName": "AlexW@Contoso.com"
    },
    "scope": {
        "@odata.type": "#microsoft.graph.principalResourceMembershipsScope",
        "principalScopes": [
            {
                "@odata.type": "#microsoft.graph.accessReviewQueryScope",
                "query": "/users",
                "queryType": "MicrosoftGraph",
                "queryRoot": null
            },
            {
                "@odata.type": "#microsoft.graph.accessReviewQueryScope",
                "query": "/groups",
                "queryType": "MicrosoftGraph",
                "queryRoot": null
            }
        ],
        "resourceScopes": [
            {
                "@odata.type": "#microsoft.graph.accessReviewQueryScope",
                "query": "/roleManagement/directory/roleDefinitions/roleManagement/directory/roleDefinitions/fe930be7-5e62-47db-91af-98c3a49a38b1",
                "queryType": "MicrosoftGraph",
                "queryRoot": null
            }
        ]
    },
    "reviewers": [
        {
            "query": "/users/f674a1c9-4a40-439c-bfa3-4b61a9f29d85",
            "queryType": "MicrosoftGraph",
            "queryRoot": null
        }
    ],
    "fallbackReviewers": [],
    "settings": {
        "mailNotificationsEnabled": true,
        "reminderNotificationsEnabled": true,
        "justificationRequiredOnApproval": true,
        "defaultDecisionEnabled": false,
        "defaultDecision": "None",
        "instanceDurationInDays": 3,
        "autoApplyDecisionsEnabled": false,
        "recommendationsEnabled": false,
        "recurrence": {
            "pattern": {
                "type": "absoluteMonthly",
                "interval": 3,
                "month": 0,
                "dayOfMonth": 0,
                "daysOfWeek": [],
                "firstDayOfWeek": "sunday",
                "index": "first"
            },
            "range": {
                "type": "noEnd",
                "numberOfOccurrences": 0,
                "recurrenceTimeZone": null,
                "startDate": "2022-03-02",
                "endDate": null
            }
        },
        "applyActions": []
    },
    "additionalNotificationRecipients": []
}

Étape 2 : Récupérer des instances de la révision d’accès

Chaque instance de révision d’accès représente chaque périodicité avec chaque ressource unique en cours d’examen. À l’étape 1, seule la ressource de rôle Administrateur d’utilisateurs a été définie dans l’étendue. Étant donné que vous avez défini une révision d’accès périodique, l’ID de l’instance est différent de l’ID de la définition de planification à l’étape 1.

Demande

Dans la requête suivante, remplacez 57457d7c-af59-470c-ae71-aa72c657fe0f par la valeur de la révision d’accès que vous avez créée à l’étape 1.

GET https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/57457d7c-af59-470c-ae71-aa72c657fe0f/instances

Réponse

Dans cette réponse, l’objet d’instance affiche la date de fin trois jours après la date de début ; cette période a été définie à l’étape 1 dans la propriété instanceDurationInDays de l’objet accessReviewScheduleDefinition . Une seule instance est retournée représentant la première périodicité d’une seule ressource en cours d’examen.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/accessReviews/definitions('57457d7c-af59-470c-ae71-aa72c657fe0f')/instances",
    "@odata.count": 1,
    "value": [
        {
            "id": "ad0dd148-5d16-4cfd-86e9-ab502f819aaf",
            "startDateTime": "2022-03-02T15:31:14.607Z",
            "endDateTime": "2022-03-05T15:31:14.607Z",
            "status": "InProgress",
            "scope": {
                "@odata.type": "#microsoft.graph.principalResourceMembershipsScope",
                "principalScopes": [
                    {
                        "@odata.type": "#microsoft.graph.accessReviewQueryScope",
                        "query": "/v1.0/users",
                        "queryType": "MicrosoftGraph",
                        "queryRoot": null
                    },
                    {
                        "@odata.type": "#microsoft.graph.accessReviewQueryScope",
                        "query": "/v1.0/groups",
                        "queryType": "MicrosoftGraph",
                        "queryRoot": null
                    }
                ],
                "resourceScopes": [
                    {
                        "@odata.type": "#microsoft.graph.accessReviewQueryScope",
                        "query": "/beta/roleManagement/directory/roleDefinitions/fe930be7-5e62-47db-91af-98c3a49a38b1",
                        "queryType": "MicrosoftGraph",
                        "queryRoot": null
                    }
                ]
            },
            "reviewers": [
                {
                    "query": "/v1.0/users/f674a1c9-4a40-439c-bfa3-4b61a9f29d85",
                    "queryType": "MicrosoftGraph",
                    "queryRoot": null
                }
            ],
            "fallbackReviewers": []
        }
    ]
}

L’état de cette instance de révision d’accès est InProgress. Un InProgress état signifie que l’instance de révision est ouverte pour que les réviseurs soumettent des décisions et que la période de cette instance de révision d’accès n’a pas expiré. Vous avez également reçu une notification par e-mail de Microsoft Azure vous demandant d’effectuer la révision d’accès.

Étape 3 : Récupérer les décisions de révision d’accès avant d’enregistrer les décisions

Avant de pouvoir publier des décisions, nous allons d’abord inspecter les éléments en attente de votre décision.

Demande

Dans la requête suivante, remplacez les valeurs suivantes :

  • 57457d7c-af59-470c-ae71-aa72c657fe0f avec la valeur de la révision d’accès que vous avez créée à l’étape 1.
  • ad0dd148-5d16-4cfd-86e9-ab502f819aaf avec la valeur de l’instance de révision d’accès pour laquelle vous souhaitez récupérer les décisions.
GET https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/57457d7c-af59-470c-ae71-aa72c657fe0f/instances/ad0dd148-5d16-4cfd-86e9-ab502f819aaf/decisions

Réponse

La réponse suivante montre deux éléments de décision correspondant chacun à une décision par accès d’un principal à la ressource.

  • La propriété principale indique que deux principaux ont accès au rôle Administrateur d’utilisateurs : un groupe nommé IT Helpdesk (Utilisateur) et un utilisateur nommé Aline Dupuy.
  • La NotReviewed valeur de la propriété de décision indique que les réviseurs n’ont pas examiné et publié leurs décisions.
  • Aucune recommandation n’est disponible, car les recommandations n’ont pas été activées dans accessReviewScheduleDefinition à l’étape 1.
HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/accessReviews/definitions('57457d7c-af59-470c-ae71-aa72c657fe0f')/instances('ad0dd148-5d16-4cfd-86e9-ab502f819aaf')/decisions",
    "@odata.count": 2,
    "value": [
        {
            "id": "4d79fbf6-36e6-430b-ba0a-2a727a480303",
            "accessReviewId": "ad0dd148-5d16-4cfd-86e9-ab502f819aaf",
            "reviewedDateTime": null,
            "decision": "NotReviewed",
            "justification": "",
            "appliedDateTime": null,
            "applyResult": "New",
            "recommendation": "NoInfoAvailable",
            "principalLink": "https://graph.microsoft.com/v1.0/users/339143ab-541e-484f-b017-e1707e962d34",
            "resourceLink": "https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions/fe930be7-5e62-47db-91af-98c3a49a38b1",
            "reviewedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "appliedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "resource": {
                "id": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "displayName": "User Administrator",
                "type": "directoryRole"
            },
            "principal": {
                "@odata.type": "#microsoft.graph.userIdentity",
                "id": "339143ab-541e-484f-b017-e1707e962d34",
                "displayName": "Aline Dupuy",
                "type": "user",
                "userPrincipalName": "AlineD@Contoso.com",
                "lastUserSignInDateTime": ""
            }
        },
        {
            "id": "62fd1c5b-04b8-4703-9fd7-dce6232c3775",
            "accessReviewId": "ad0dd148-5d16-4cfd-86e9-ab502f819aaf",
            "reviewedDateTime": null,
            "decision": "NotReviewed",
            "justification": "",
            "appliedDateTime": null,
            "applyResult": "New",
            "recommendation": "NoInfoAvailable",
            "principalLink": "https://graph.microsoft.com/v1.0/groups/b5260fca-6d64-4d5a-92df-0c482d40bc4d",
            "resourceLink": "https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions/fe930be7-5e62-47db-91af-98c3a49a38b1",
            "reviewedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "appliedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "resource": {
                "id": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "displayName": "User Administrator",
                "type": "directoryRole"
            },
            "principal": {
                "id": "b5260fca-6d64-4d5a-92df-0c482d40bc4d",
                "displayName": "IT Helpdesk (User)",
                "type": "group"
            }
        }
    ]
}

En tant que réviseur, vous pouvez maintenant soumettre vos décisions pour l’instance de révision d’accès.

Étape 4 : Enregistrer les décisions

Vous allez maintenant enregistrer les décisions pour la révision d’accès.

La stratégie d’entreprise exige que l’accès aux rôles privilégiés soit accordé uniquement aux groupes et non aux utilisateurs individuels. Conformément à la stratégie d’entreprise, vous refuserez l’accès à Aline Dupuy tout en approuvant l’accès pour le groupe.

Dans les demandes suivantes, remplacez les valeurs suivantes :

  • 57457d7c-af59-470c-ae71-aa72c657fe0f avec la valeur de la révision d’accès que vous avez créée à l’étape 1
  • ad0dd148-5d16-4cfd-86e9-ab502f819aaf avec la valeur de l’instance de révision d’accès pour laquelle vous souhaitez récupérer les décisions
  • 4d79fbf6-36e6-430b-ba0a-2a727a480303 avec la valeur de l’instance de révision d’accès limitée à l’accès d’Aline
  • 62fd1c5b-04b8-4703-9fd7-dce6232c3775 avec la valeur de l’instance de révision d’accès étendue à l’accès du groupe It Helpdesk

Approuver l’attribution de rôle du groupe de sécurité

Demande

Dans la requête suivante, vous approuvez l’accès au groupe It Helpdesk.

POST https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/57457d7c-af59-470c-ae71-aa72c657fe0f/instances/ad0dd148-5d16-4cfd-86e9-ab502f819aaf/decisions/62fd1c5b-04b8-4703-9fd7-dce6232c3775
Content-type: application/json

{
    "decision": "Approve",
    "justification": "The IT Helpdesk requires continued access to the User Administrator role to manage user account support requests, lifecycle, and access to resources"
}

Réponse

HTTP/1.1 204 No Content

Refuser à l’utilisateur individuel son attribution de rôle

Demande

Dans la requête suivante, vous refusez l’accès à Aline Dupuy.

POST https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/57457d7c-af59-470c-ae71-aa72c657fe0f/instances/ad0dd148-5d16-4cfd-86e9-ab502f819aaf/decisions/4d79fbf6-36e6-430b-ba0a-2a727a480303
Content-type: application/json

{
    "decision": "Deny",
    "justification": "Aline Dupuy should join an allowed group to maintain access to the User Administrator role. For more details, refer to the company policy '#132487: Privileged roles'"
}

Réponse

HTTP/1.1 204 No Content

Lorsque vous récupérez les décisions de révision d’accès (répétez l’étape 3), elles ont les paramètres suivants :

  • La décision de révision d’accès pour le groupe it helpdesk est Approve alors que pour Aline est Deny.
  • L’objet reviewedBy contient vos détails en tant que réviseur.
  • ApplyResult signifie New que les décisions n’ont pas été appliquées.

Bien que vous ayez enregistré toutes les décisions en attente pour cette instance, les décisions n’ont pas été appliquées aux objets de ressource et de principal. Par exemple, Aline a toujours accès au rôle privilégié. Vous pouvez vérifier cette affectation en exécutant la requête https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq 'fe930be7-5e62-47db-91af-98c3a49a38b1'suivante . Ce comportement est dû au fait que la valeur autoApplyDecisionsEnabled a été définie falsesur , que vous n’avez pas arrêté la révision et que la période d’instance n’a pas pris fin.

Dans ce didacticiel, vous n’arrêterez pas l’instance manuellement, mais vous la laisserez se terminer automatiquement, puis appliquerez les décisions.

Conseil

  1. Tant que l’état de l’instance de révision d’accès n’est pas marqué comme , Completedvous pouvez toujours modifier les décisions. Réexécutez l’étape 4 pour appliquer différentes décisions aux principaux.
  2. Vous pouvez également arrêter manuellement l’instance de révision d’accès afin d’accélérer votre progression à l’étape 5.

Étape 5 : Appliquer les décisions de révision d’accès

En tant qu’administrateur, une fois l’état de l’instance de révision d’accès défini Completedsur , vous pouvez appliquer les décisions.

Demande

POST https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/57457d7c-af59-470c-ae71-aa72c657fe0f/instances/ad0dd148-5d16-4cfd-86e9-ab502f819aaf/applyDecisions

Réponse

HTTP/1.1 204 No Content

Aline a maintenant perdu l’accès au rôle Administrateur d’utilisateurs, tandis que le groupe It Helpdesk a conservé son accès. Vous pouvez vérifier cet état d’attribution de rôle en exécutant la requête https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq 'fe930be7-5e62-47db-91af-98c3a49a38b1'suivante .

Une fois les décisions appliquées, l’état de l’instance de révision d’accès sera Applied. En outre, étant donné que nous avons créé une révision d’accès périodique à l’étape 1, une nouvelle instance sera démarrée. Sa date de début est de trois mois à compter du moment où la période d’examen actuelle est marquée comme étant terminée.

Étape 6 : Récupérer les décisions de révision d’accès

Les auditeurs de Contoso examinent toutes les décisions d’accorder ou de refuser l’accès aux rôles privilégiés dans l’organisation. Vous allez récupérer les journaux de décision de révision d’accès pour toutes les révisions d’accès limitées aux rôles privilégiés. Dans cet exemple, vous allez récupérer les journaux de décision pour accessReviewScheduleDefinition que vous avez créé à l’étape 1.

Demande

GET https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/57457d7c-af59-470c-ae71-aa72c657fe0f/instances/ad0dd148-5d16-4cfd-86e9-ab502f819aaf/decisions

Réponse

L’objet de réponse suivant est différent de l’objet de réponse que vous avez reçu à l’étape 3 avec les paramètres suivants :

  • La décision de révision d’accès pour it Helpdesk est Approve alors que pour Aline est Deny.
  • L’objet reviewedBy contient vos informations de base en tant que réviseur.
HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/accessReviews/definitions('57457d7c-af59-470c-ae71-aa72c657fe0f')/instances('ad0dd148-5d16-4cfd-86e9-ab502f819aaf')/decisions",
    "@odata.count": 2,
    "value": [
        {
            "id": "4d79fbf6-36e6-430b-ba0a-2a727a480303",
            "accessReviewId": "ad0dd148-5d16-4cfd-86e9-ab502f819aaf",
            "reviewedDateTime": "2022-03-02T16:50:21.227Z",
            "decision": "Deny",
            "justification": "Aline Dupuy should join an allowed group to maintain access to the User Administrator role. For more details, refer to the company policy '#132487: Privileged roles'",
            "appliedDateTime": "2022-03-02T17:21:05.363Z",
            "applyResult": "AppliedSuccessfully",
            "recommendation": "NoInfoAvailable",
            "principalLink": "https://graph.microsoft.com/v1.0/users/339143ab-541e-484f-b017-e1707e962d34",
            "resourceLink": "https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions/fe930be7-5e62-47db-91af-98c3a49a38b1",
            "reviewedBy": {
                "id": "f674a1c9-4a40-439c-bfa3-4b61a9f29d85",
                "displayName": "Alex Wilber",
                "type": null,
                "userPrincipalName": "AlexW@Contoso.com"
            },
            "appliedBy": {
                "id": "f674a1c9-4a40-439c-bfa3-4b61a9f29d85",
                "displayName": "Alex Wilber",
                "type": null,
                "userPrincipalName": "AlexW@Contoso.com"
            },
            "resource": {
                "id": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "displayName": "User Administrator",
                "type": "directoryRole"
            },
            "principal": {
                "@odata.type": "#microsoft.graph.userIdentity",
                "id": "339143ab-541e-484f-b017-e1707e962d34",
                "displayName": "Aline Dupuy",
                "type": "user",
                "userPrincipalName": "AlineD@Contoso.com",
                "lastUserSignInDateTime": ""
            }
        },
        {
            "id": "62fd1c5b-04b8-4703-9fd7-dce6232c3775",
            "accessReviewId": "ad0dd148-5d16-4cfd-86e9-ab502f819aaf",
            "reviewedDateTime": "2022-03-02T16:31:04.357Z",
            "decision": "Approve",
            "justification": "The IT Helpdesk requires continued access to the User Administrator role to manage user account support requests, lifecycle, and access to resources.",
            "appliedDateTime": null,
            "applyResult": "New",
            "recommendation": "NoInfoAvailable",
            "principalLink": "https://graph.microsoft.com/v1.0/groups/b5260fca-6d64-4d5a-92df-0c482d40bc4d",
            "resourceLink": "https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions/fe930be7-5e62-47db-91af-98c3a49a38b1",
            "reviewedBy": {
                "id": "f674a1c9-4a40-439c-bfa3-4b61a9f29d85",
                "displayName": "Alex Wilber",
                "type": null,
                "userPrincipalName": "AlexW@Contoso.com"
            },
            "appliedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "resource": {
                "id": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "displayName": "User Administrator",
                "type": "directoryRole"
            },
            "principal": {
                "id": "b5260fca-6d64-4d5a-92df-0c482d40bc4d",
                "displayName": "IT Helpdesk (User)",
                "type": "group"
            }
        }
    ]
}

Étape 7 : nettoyer les ressources

Supprimez l’objet accessReviewScheduleDefinition que vous avez créé pour ce didacticiel. Étant donné que la définition de planification de révision d’accès est le blueprint de la révision d’accès, la suppression de la définition supprime les paramètres, les instances et les décisions.

Demande

DELETE https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/57457d7c-af59-470c-ae71-aa72c657fe0f

Réponse

HTTP/1.1 204 No Content

Conclusion

Vous avez appris à passer en revue l’accès aux rôles privilégiés dans Azure AD. Votre organisation peut utiliser l’API révisions d’accès pour régir en permanence l’accès privilégié à ses ressources, notamment les rôles Azure AD et les rôles de ressources Azure. Outre les utilisateurs et les groupes, vous pouvez également passer en revue l’accès par les applications et les principaux de service aux rôles privilégiés.

Voir aussi