Didacticiel : utiliser l’API d’avis d’accès pour passer en revue l’accès à vos groupes de sécurité

L’API révisions d’accès dans Microsoft Graph permet aux organisations d’auditer et d’attester de l’accès que les identités (également appelées principaux) sont affectées aux ressources de l’organisation. L’une des méthodes les plus efficaces et les plus efficaces pour gérer les privilèges d’accès des principaux à d’autres ressources consiste à Azure AD groupes de sécurité. Par exemple, des centaines d’utilisateurs peuvent être affectés à un groupe de sécurité et le groupe de sécurité à un accès à un dossier. À l’aide de l’API de révisions d’accès, les organisations peuvent régulièrement attester des principaux qui ont accès à ces groupes et, par extension, à d’autres ressources de l’organisation.

Supposons que vous Azure AD des groupes de sécurité pour attribuer des identités (également appelées principaux) aux ressources de votre organisation. Régulièrement, vous devez attester que tous les membres du groupe de sécurité ont besoin de leur appartenance et, par extension, de leur accès aux ressources affectées au groupe de sécurité.

Ce didacticiel vous guide à utiliser l’API de révision d’accès pour passer en revue l’accès à un groupe de sécurité dans Azure AD client. Vous pouvez utiliser Graph Explorer ou Postman pour tester et tester vos appels d’API d’avis d’accès avant de les automatiser dans un script ou une application. Cet environnement de test vous permet de gagner du temps en vous aidant à définir et valider correctement vos requêtes sans recompiler à plusieurs reprises votre application.

Prerequisites

Pour effectuer ce didacticiel, vous avez besoin des ressources et privilèges suivants :

  • Un client Azure AD avec une licence Azure AD Premium P2 ems E5 activée.
  • Connectez-vous à Graph explorer en tant qu’utilisateur dans un rôle d’administrateur général ou d’administrateur de gouvernance Azure AD identité.
    • [Facultatif] Ouvrez une nouvelle fenêtre de navigateur incognito, anonyme ou InPrivate . Vous vous connectez plus loin dans ce didacticiel.
  • Autorisations déléguées suivantes : AccessReview.ReadWrite.All, Group.ReadWrite.All.

Pour consentir aux autorisations requises dans Graph Explorer :

  1. Sélectionnez l’icône d’engrenage des paramètres à droite des détails du compte d’utilisateur, puis sélectionnez Sélectionner les autorisations.

    Sélectionnez Les autorisations Graph Microsoft.

  2. Faites défiler la liste des autorisations pour ces autorisations :

    • AccessReview (3), développez, puis sélectionnez AccessReview.ReadWrite.All.
    • Groupe (2), développez, puis sélectionnez Group.ReadWrite.All.

    Sélectionnez Consentement, puis, dans la fenêtre pop-up, choisissez d’accepter au nom de votre organisation, puis sélectionnez Accepter pour accepter le consentement des autorisations.

    Consentement aux autorisations Graph Microsoft.

Notes

Les objets de réponse présentés dans ce didacticiel peuvent être raccourcis pour des raisons de lisibilité.

Étape 1 : Créer des utilisateurs de test dans votre client

Créez trois nouveaux utilisateurs de test en exécutant la demande en dessous de trois fois, en modifiant à chaque fois les valeurs des propriétés displayName, mailNickname et userPrincipalName . Enregistrez les ID des trois nouveaux utilisateurs de test.

Demande

POST https://graph.microsoft.com/v1.0/users
Content-Type: application/json

{
    "accountEnabled": true,
    "displayName": "Adele Vance",
    "mailNickname": "AdeleV",
    "userPrincipalName": "AdeleV@Contoso.com",
    "passwordProfile": {
        "forceChangePasswordNextSignIn": true,
        "password": "xWwvJ]6NMw+bWH-d"
    }
}

Réponse

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
    "id": "3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
    "displayName": "Adele Vance",
    "userPrincipalName": "AdeleV@Contoso.com"
}

Étape 2 : Créer un groupe de sécurité, attribuer des propriétaires et ajouter des membres

Créez un groupe de sécurité nommé Sécurité du bâtiment qui est la cible des révisions d’accès dans ce didacticiel. Affectez à ce groupe un propriétaire de groupe et deux membres.

Demande

À l’étape précédente, vous avez créé trois utilisateurs de test. L’un des utilisateurs sera le propriétaire du groupe, tandis que les deux autres seront membres du groupe.

Dans cet appel, remplacez :

  • d3bcdff4-4f80-4418-a65e-7bf3778c5dca avec l’ID du propriétaire de votre groupe.
  • 3b8ceebc-49e6-4e0c-9e14-c906374a7ef6 et bf59c5ba-5304-4c9b-9192-e5a4cb8444e7 avec les ID des deux membres du groupe.
POST https://graph.microsoft.com/v1.0/groups
Content-Type: application/json

{
    "description": "Building security",
    "displayName": "Building security",
    "groupTypes": [],
    "mailEnabled": false,
    "mailNickname": "buildingsecurity",
    "securityEnabled": true,
    "owners@odata.bind": [
        "https://graph.microsoft.com/beta/users/d3bcdff4-4f80-4418-a65e-7bf3778c5dca"
    ],
    "members@odata.bind": [
        "https://graph.microsoft.com/beta/users/3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
        "https://graph.microsoft.com/beta/users/bf59c5ba-5304-4c9b-9192-e5a4cb8444e7"
    ]
}

Réponse

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groups/$entity",
    "id": "eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
    "description": "Building security",
    "displayName": "Building security",
    "mailNickname": "buildingsecurity",
    "securityEnabled": true
}

À partir de la réponse, enregistrez l’ID du nouveau groupe pour l’utiliser plus loin dans ce didacticiel.

Étape 3 : Créer une révision d’accès pour le groupe de sécurité

Demande

Dans cet appel, remplacez les valeurs suivantes :

  • eb75ccd2-59ef-48b7-8f76-cc3f33f899f4 avec l’ID du groupe de sécurité Building . L’étendue spécifie que la révision est appliquée à tous les membres du groupe de sécurité Building . Pour plus d’options de configuration de l’étendue, voir la section Voir aussi .
  • Valeur de startDate avec la date du jour et la valeur de endDate avec une date cinq jours à partir de la date de début.

La révision d’accès présente les paramètres suivants :

  • Il s’agit d’un auto-examen déduit lorsque vous ne spécifiez pas de valeur pour la propriété reviewers . Par conséquent, chaque membre du groupe atteste lui-même de sa nécessité de conserver l’accès au groupe.
  • L’étendue de la révision est les membres (directs et indirects) du groupe de sécurité Building .
  • Le réviseur doit fournir une justification pour la raison pour laquelle il doit conserver l’accès au groupe.
  • La décision par défaut est lorsque Deny les réviseurs ne répondent pas à la demande de révision d’accès avant l’expiration de l’instance. La Deny décision supprime les membres du groupe.
  • Il s’agit d’une révision d’accès à une seule fois qui se termine après cinq jours. Par conséquent, une fois l’accès accordé, l’utilisateur n’a pas besoin d’attester à nouveau pendant la période de révision de l’accès.
  • Les principaux qui sont définis dans le cadre de la révision recevront des notifications par courrier électronique et des rappels les invitent à attester eux-mêmes de leur besoin de maintenir l’accès.
POST https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions
Content-type: application/json

{
    "displayName": "One-time self-review for members of Building security",
    "descriptionForAdmins": "One-time self-review for members of Building security",
    "descriptionForReviewers": "One-time self-review for members of Building security",
    "scope": {
        "query": "/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4/transitiveMembers",
        "queryType": "MicrosoftGraph"
    },
    "instanceEnumerationScope": {
        "query": "/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
        "queryType": "MicrosoftGraph"
    },
    "settings": {
        "mailNotificationsEnabled": true,
        "reminderNotificationsEnabled": true,
        "justificationRequiredOnApproval": true,
        "defaultDecisionEnabled": true,
        "defaultDecision": "Deny",
        "instanceDurationInDays": 5,
        "autoApplyDecisionsEnabled": true,
        "recommendationsEnabled": true,
        "recurrence": {
            "pattern": null,
            "range": {
                "type": "numbered",
                "numberOfOccurrences": 0,
                "recurrenceTimeZone": null,
                "startDate": "2022-02-11",
                "endDate": "2022-02-16"
            }
        }
    }
}

Réponse

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/accessReviews/definitions/$entity",
    "id": "2d56c364-0695-4ec6-8b92-4c1db7c80f1b",
    "displayName": "One-time self-review for members of Building security",
    "createdDateTime": null,
    "lastModifiedDateTime": null,
    "status": "NotStarted",
    "descriptionForAdmins": "One-time self-review for members of Building security",
    "descriptionForReviewers": "One-time self-review for members of Building security",
    "createdBy": {
        "id": "bf59c5ba-5304-4c9b-9192-e5a4cb8444e7",
        "displayName": "MOD Administrator",
        "type": null,
        "userPrincipalName": "admin@Contoso.com"
    },
    "scope": {},
    "instanceEnumerationScope": {},
    "reviewers": [],
    "fallbackReviewers": [],
    "settings": {
        "mailNotificationsEnabled": true,
        "reminderNotificationsEnabled": true,
        "justificationRequiredOnApproval": true,
        "defaultDecisionEnabled": true,
        "defaultDecision": "Deny",
        "instanceDurationInDays": 5,
        "autoApplyDecisionsEnabled": true,
        "recommendationsEnabled": true,
        "recurrence": {
            "pattern": null,
            "range": {
                "type": "numbered",
                "numberOfOccurrences": 0,
                "recurrenceTimeZone": null,
                "startDate": "2022-02-11",
                "endDate": "2022-02-16"
            }
        },
        "applyActions": []
    },
    "additionalNotificationRecipients": []
}

L’état de la révision d’accès ci-dessus est marqué comme NotStarted. Vous pouvez récupérer la révision d’accès (GET https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b) pour surveiller l’état et lorsqu’il est marqué comme InProgress, des instances ont été créées pour la révision d’accès et les décisions peuvent être publiées. Vous pouvez également récupérer la révision d’accès pour voir les paramètres complets de la révision d’accès.

Étape 4 : Ré lister les instances de la révision d’accès

Une fois que l’état de la InProgressrévision d’accès est marqué comme , exécutez la requête suivante pour ré lister toutes les instances de la définition de révision d’accès. Étant donné que vous avez créé une révision d’accès unique à l’étape 3, la demande renvoie une seule instance avec un ID comme l’ID de la définition de planification.

Demande

Dans cet appel, remplacez par 2d56c364-0695-4ec6-8b92-4c1db7c80f1b l’ID de votre définition de révision d’accès renvoyée à l’étape 3.

GET https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/instances

Réponse

Dans cette réponse, l’état de l’instance InProgress est le fait que startDateTime est passé et endDateTime est dans le futur. Si startDateTime est à l’avenir, l’état sera NotStarted. En revanche, si endDateTime se trouve dans le passé, l’état sera .Completed

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/accessReviews/definitions('2d56c364-0695-4ec6-8b92-4c1db7c80f1b')/instances",
    "value": [
        {
            "id": "2d56c364-0695-4ec6-8b92-4c1db7c80f1b",
            "startDateTime": "2022-02-11T17:35:25.24Z",
            "endDateTime": "2022-02-16T08:00:00Z",
            "status": "InProgress",
            "scope": {
                "@odata.type": "#microsoft.graph.accessReviewQueryScope",
                "query": "/v1.0/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4/transitiveMembers/microsoft.graph.user",
                "queryType": "MicrosoftGraph",
                "queryRoot": null
            },
            "reviewers": [],
            "fallbackReviewers": []
        }
    ]
}

Étape 5 : Qui été contacté pour l’avis ?

Vous pouvez confirmer que tous les membres du groupe de sécurité Bâtiment ont été contactés pour publier leurs décisions de révision pour cette instance de la révision d’accès.

Demande

Dans cet appel, remplacez-le 2d56c364-0695-4ec6-8b92-4c1db7c80f1b par l’ID de votre définition de planification de révision d’accès.

GET https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/instances/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/contactedReviewers

Réponse

La réponse suivante indique que les deux membres du groupe de sécurité Bâtiment ont été informés de leur avis en attente.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/accessReviews/definitions('2d56c364-0695-4ec6-8b92-4c1db7c80f1b')/instances('2d56c364-0695-4ec6-8b92-4c1db7c80f1b')/contactedReviewers",
    "@odata.count": 2,
    "value": [
        {
            "id": "3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
            "displayName": "Adele Vance",
            "userPrincipalName": "AdeleV@Contoso.com",
            "createdDateTime": "2022-02-11T17:35:34.4092545Z"
        },
        {
            "id": "bf59c5ba-5304-4c9b-9192-e5a4cb8444e7",
            "displayName": "Alex Wilber",
            "userPrincipalName": "AlexW@Contoso.com",
            "createdDateTime": "2022-02-11T17:35:34.4092545Z"
        }
    ]
}

Étape 6 : Obtenir des décisions

Les décisions prises pour l’instance de la révision d’accès vous intéressent.

Demande

Dans cet appel, remplacez par 2d56c364-0695-4ec6-8b92-4c1db7c80f1b l’ID de la définition de votre planification de révision d’accès et de l’instance.

GET https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/instances/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/decisions

Réponse

La réponse suivante indique les décisions prises sur l’instance de la révision. Étant donné que la sécurité du bâtiment compte deux membres, deux éléments de décision sont attendus.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/accessReviews/definitions('2d56c364-0695-4ec6-8b92-4c1db7c80f1b')/instances('2d56c364-0695-4ec6-8b92-4c1db7c80f1b')/decisions",
    "@odata.count": 2,
    "value": [
        {
            "id": "4db68765-472d-4aa2-847a-433ea94bcfaf",
            "accessReviewId": "2d56c364-0695-4ec6-8b92-4c1db7c80f1b",
            "reviewedDateTime": null,
            "decision": "NotReviewed",
            "justification": "",
            "appliedDateTime": null,
            "applyResult": "New",
            "recommendation": "Approve",
            "principalLink": "https://graph.microsoft.com/v1.0/users/bf59c5ba-5304-4c9b-9192-e5a4cb8444e7",
            "resourceLink": "https://graph.microsoft.com/v1.0/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
            "reviewedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "appliedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "resource": {
                "id": "eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
                "displayName": "Building security",
                "type": "group"
            },
            "principal": {
                "@odata.type": "#microsoft.graph.userIdentity",
                "id": "bf59c5ba-5304-4c9b-9192-e5a4cb8444e7",
                "displayName": "Alex Wilber",
                "type": "user",
                "userPrincipalName": "AlexW@Contoso.com",
                "lastUserSignInDateTime": "2/11/2022 5:31:37 PM +00:00"
            }
        },
        {
            "id": "c7de8fba-4d6a-4fab-a659-62ff0c02643d",
            "accessReviewId": "2d56c364-0695-4ec6-8b92-4c1db7c80f1b",
            "reviewedDateTime": null,
            "decision": "NotReviewed",
            "justification": "",
            "appliedDateTime": null,
            "applyResult": "New",
            "recommendation": "Approve",
            "principalLink": "https://graph.microsoft.com/v1.0/users/3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
            "resourceLink": "https://graph.microsoft.com/v1.0/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
            "reviewedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "appliedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "resource": {
                "id": "eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
                "displayName": "Building security",
                "type": "group"
            },
            "principal": {
                "@odata.type": "#microsoft.graph.userIdentity",
                "id": "3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
                "displayName": "Adele Vance",
                "type": "user",
                "userPrincipalName": "AdeleV@Contoso.com",
                "lastUserSignInDateTime": "2/11/2022 4:58:13 PM +00:00"
            }
        }
    ]
}

À partir de l’appel, la propriété de décision a la valeur parce NotReviewed que les membres du groupe n’ont pas terminé leur auto-attestation. Suivez l’étape 7 pour découvrir comment chaque membre peut attester de son besoin de révision d’accès.

Étape 7 : Auto-examiner une décision d’accès en attente

À l’étape 3, vous avez configuré la révision d’accès en tant qu’auto-révision. Cette configuration nécessite que les deux membres du groupe de sécurité Building attestent eux-mêmes de leur besoin de conserver leur accès au groupe.

Notes

Terminez cette étape en tant que l’un des deux membres du groupe de sécurité Création .

Dans cette étape, vous allez ré répertorié vos révisions d’accès en attente, puis terminer le processus d’auto-attestation. Vous pouvez effectuer cette étape de deux manières : à l’aide de l’API ou du portail Mon accès. L’autre réviseur n’effectuera pas ce processus et vous laisserez plutôt les décisions par défaut être appliquées à leur révision d’accès.

Démarrez une nouvelle session de navigateur de navigation incognito**, anonyme** ou InPrivate et connectez-vous en tant que l’un des deux membres du groupe de sécurité Création. Ainsi, vous n’interromprez pas votre session d’administrateur actuelle. Nous nous connectons en tant qu’Adele Vance. Vous pouvez également interrompre votre session d’administrateur actuelle en vous dé connectant à Graph Explorer et en vous connectant en tant que l’un des deux membres du groupe.

Méthode 1 : utiliser l’API d’avis d’accès pour passer en revue soi-même l’accès en attente

Ré lister les éléments de décision concernant les révisions d’accès

Dans cet appel, remplacez-le 2d56c364-0695-4ec6-8b92-4c1db7c80f1b par l’ID de votre définition de planification de révision d’accès.

Demande
GET https://graph.microsoft.com/v1.0/identitygovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/instances/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/decisions/filterByCurrentUser(on='reviewer')
Réponse

À partir de la réponse ci-dessous, vous (Adele Vance) avez une révision d’accès en attente ( NotReviewedla décision est ) d’attester à vous-même. Les propriétés de principal et de ressource indiquent le principal auquel la décision s’applique et la ressource à laquelle l’accès est en cours de révision. Dans ce cas, Adele Vance et le groupe de sécurité Building , respectivement.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(accessReviewInstanceDecisionItem)",
    "@odata.count": 1,
    "value": [
        {
            "@odata.type": "#microsoft.graph.accessReviewInstanceDecisionItem",
            "id": "c7de8fba-4d6a-4fab-a659-62ff0c02643d",
            "accessReviewId": "2d56c364-0695-4ec6-8b92-4c1db7c80f1b",
            "reviewedDateTime": null,
            "decision": "NotReviewed",
            "justification": "",
            "appliedDateTime": null,
            "applyResult": "New",
            "recommendation": "Approve",
            "principalLink": "https://graph.microsoft.com/v1.0/users/3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
            "resourceLink": "https://graph.microsoft.com/v1.0/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
            "reviewedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "appliedBy": {
                "id": "00000000-0000-0000-0000-000000000000",
                "displayName": "",
                "type": null,
                "userPrincipalName": ""
            },
            "resource": {
                "id": "eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
                "displayName": "Building security",
                "type": "group"
            },
            "principal": {
                "@odata.type": "#microsoft.graph.userIdentity",
                "id": "3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
                "displayName": "Adele Vance",
                "type": "user",
                "userPrincipalName": "AdeleV@Contoso.com",
                "lastUserSignInDateTime": "2/15/2022 9:35:23 AM +00:00"
            }
        }
    ]
}

Enregistrer une décision

Pour terminer la révision de l’accès, Adele Vance confirmera la nécessité de maintenir l’accès au groupe de sécurité Building .

Demande

Dans cet appel, remplacez 2d56c364-0695-4ec6-8b92-4c1db7c80f1b par l’ID c7de8fba-4d6a-4fab-a659-62ff0c02643d de votre définition de planification de révision d’accès et par l’ID de l’élément de décision en attente renvoyé à l’étape précédente.

PATCH https://graph.microsoft.com/v1.0/identitygovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/instances/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/decisions/c7de8fba-4d6a-4fab-a659-62ff0c02643d

{
    "decision": "Approve",
    "justification": "As the assistant security manager, I still need access to the building security group."
}
Réponse
HTTP/1.1 204 No Content

Vérifier les décisions

Pour vérifier les décisions que vous avez enregistrées pour votre révision d’accès, résistez vos éléments de décision de révision d’accès. Bien que la période de révision d’accès n’ait pas expiré et que les décisions ne s’appliquent pas, applyResult New est marqué comme et vous êtes autorisé à modifier la décision.

Vous pouvez maintenant vous sortir et quitter la session de navigateur incognito.

Méthode 2 : utiliser le portail Mon accès

Les réviseurs peuvent également visiter le portail Portail Mon accès pour vérifier leurs instances de révision d’accès en attente.

  • Ré listez les révisions d’accès en attente. L’utilisateur peut suivre l’une des deux méthodes pour y arriver :

    • Option 1 : sélectionnez le bouton d’accès Révision dans la notification par courrier électronique qu’il a reçue dans sa boîte de réception. La notification par courrier électronique ressemble à la capture d’écran suivante. La sélection de ce bouton les dirige vers la révision d’accès en attente.

    Notification par courrier électronique pour passer en revue votre accès.

    • Option 2 : accédez au portail Mon accès. Sélectionnez le menu Révisions Access et l’onglet Groupes et applications.
  • Dans la liste des révisions d’accès, sélectionnez la révision d’accès pour laquelle vous souhaitez publier la décision. Sélectionnez Oui pour publier la décision selon qui vous avez encore besoin d’accéder à La sécurité du bâtiment. Entrez une raison, puis sélectionnez Envoyer.

    Attestez de la nécessité de maintenir l’accès à une ressource.

Vous pouvez maintenant vous sortir et quitter la session de navigateur incognito.

Étape 8 : Confirmer les décisions et l’état de la révision d’accès

De retour dans la session de navigateur principale où vous êtes toujours connecté en tant qu’administrateur général, répétez l’étape 4 pour voir que la propriété de décision pour Adele Vance est désormais .Approve Lorsque la révision d’accès se termine ou expire, la Deny décision par défaut est enregistrée pour Alex Wilber. Les décisions sont ensuite appliquées automatiquement, car autoApplyDecisionsEnabled true a été définie et la période de l’instance de révision d’accès se termine. Adele conserve ensuite l’accès au groupe de sécurité Building et Alex est automatiquement supprimé du groupe.

Félicitations ! Vous avez créé une révision d’accès et vous avez auto-attesté de votre besoin de maintenir l’accès. Vous ne vous êtes auto-attesté qu’une seule fois et vous conservez l’accès jusqu’à ce qu’il soit supprimé par le biais d’une décision d’une autre instance de révision d’accès ou par le biais d’un Deny autre processus interne.

Étape 9 : Nettoyer les ressources

Supprimez les ressources que vous avez créées pour ce didacticiel : le groupe de sécurité Création, la définition du planning de révision d’accès et les trois utilisateurs de test.

Supprimer le groupe de sécurité

Demande

Dans cet appel, remplacez par eb75ccd2-59ef-48b7-8f76-cc3f33f899f4 l’ID de sécurité building.

DELETE https://graph.microsoft.com/beta/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4

Réponse

HTTP/1.1 204 No Content

Supprimer la définition de révision d’accès

Dans cet appel, remplacez par 2d56c364-0695-4ec6-8b92-4c1db7c80f1b l’ID de votre définition de révision d’accès. Étant donné que la définition du planning de révision d’accès est le plan de la révision d’accès, la suppression de la définition supprimera les paramètres, les instances et les décisions.

Demande

DELETE https://graph.microsoft.com/beta/identityGovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b

Réponse

HTTP/1.1 204 No Content

Supprimer les trois utilisateurs de test

Dans cet appel, remplacez-le 3b8ceebc-49e6-4e0c-9e14-c906374a7ef6 par l’ID de l’un de vos utilisateurs test. Répétez cette étape deux fois avec les ID des deux autres utilisateurs pour les supprimer.

Demande

DELETE https://graph.microsoft.com/beta/users/3b8ceebc-49e6-4e0c-9e14-c906374a7ef6

Réponse

HTTP/1.1 204 No Content

Conclusion

Vous avez créé une révision d’accès dans laquelle les principaux ont auto-attesté de leur besoin de conserver leur accès à une ressource, dans ce cas, le groupe de sécurité Building.

Ce didacticiel a montré l’un des scénarios de l’API Azure AD révisions d’accès. L’API d’avis d’accès prend en charge différents scénarios par le biais d’une combinaison de ressources, de principaux et de réviseurs pour répondre à vos besoins d’attestation d’accès. Pour plus d’informations, voir l’API d’avis d’accès.

Voir aussi