Revisões de acesso ao Azure AD

Namespace: microsoft.graph

Use Azure AD revisões de acesso para configurar revisões de acesso única ou recorrentes para atestar os direitos dos usuários para acessar Azure AD recursos. Esses Azure AD incluem grupos, entidades de serviço, pacotes de acesso e funções privilegiadas.

Cenários típicos de clientes para revisões de acesso incluem:

• Os clientes podem examinar e certificar o acesso de usuários convidados a grupos por meio de associações de grupo. Os revisores podem usar os insights fornecidos para decidir com eficiência se os convidados devem ter acesso contínuo.
• Os clientes podem examinar e certificar o acesso de funcionários Azure AD recursos.
• Os clientes podem examinar e auditar atribuições para Azure AD funções privilegiadas. Isso dá suporte a organizações no gerenciamento de acesso privilegiado.

O recurso de revisões de acesso, incluindo a API, está disponível apenas com uma licença válida de compra ou avaliação de Azure AD Premium P2 ou assinatura do EMS E5. Para obter mais informações sobre os requisitos de licença, consulte os requisitos de licença de revisões do Access.

Observação

Este artigo descreve como exportar dados pessoais de um dispositivo ou serviço. Essas etapas podem ser usadas para dar suporte às suas obrigações de acordo com o GdpR (Regulamento Geral sobre a Proteção de Dados). Os administradores de locatários autorizados podem usar o Microsoft Graph para corrigir, atualizar ou excluir informações de identificação sobre os usuários finais, incluindo perfis de usuário de clientes e funcionários ou dados pessoais, como o nome do usuário, o título do trabalho, o endereço ou o número de telefone, em seu ambiente Azure Active Directory (Azure AD).

Métodos

A tabela a seguir lista os métodos que você pode usar para interagir com recursos relacionados à revisão de acesso.

Método	Tipo de retorno	Descrição
Definições de agendamento
Definições de lista	coleção accessReviewScheduleDefinition	Obtenha uma lista dos objetos accessReviewScheduleDefinition e suas propriedades.
Criar definições	accessReviewScheduleDefinition	Crie um novo objeto accessReviewScheduleDefinition .
Obter accessReviewScheduleDefinition	accessReviewScheduleDefinition	Leia as propriedades e as relações de um objeto accessReviewScheduleDefinition .
Atualizar accessReviewScheduleDefinition	accessReviewScheduleDefinition	Atualize as propriedades de um objeto accessReviewScheduleDefinition .
Excluir accessReviewScheduleDefinition	Nenhum	Exclui um objeto accessReviewScheduleDefinition .
filterByCurrentUser	coleção accessReviewScheduleDefinition	Retorna todas as definições em que o usuário chamador é o revisores de qualquer instância.
Instâncias
List instances	coleção accessReviewInstance	Obtenha uma lista dos objetos accessReviewInstance e suas propriedades.
Obter accessReviewInstance	accessReviewInstance	Leia as propriedades e as relações de um objeto accessReviewInstance .
stop	Nenhum	Interrompa manualmente um accessReviewInstance.
sendReminder	Nenhum	Envie um lembrete aos revisores de um accessReviewInstance.
resetDecisions	Nenhum	Redefine todos os itens de decisão em uma instância para notReviewed
applyDecisions	Nenhum	Aplique manualmente a decisão em um accessReviewInstance.
acceptRecommendations	Nenhum	Permite que o usuário chamado aceite a recomendação de decisão para cada NotReviewed accessReviewInstanceDecisionItem em que ele é o revisor para um accessReviewInstance específico.
batchRecordDecisions	Nenhum	Examine lotes de entidades de segurança ou recursos em uma chamada.
filterByCurrentUser	coleção accessReviewInstance	Retorna todos os objetos de instância em uma definição para a qual o usuário chamador é o revistor.
Itens de decisão de instância
Listar decisões	coleção accessReviewInstanceDecisionItem	Obtenha uma lista dos objetos accessReviewInstanceDecisionItem e suas propriedades.
Obter accessReviewInstanceDecisionItem	accessReviewInstanceDecisionItem	Leia as propriedades e as relações de um objeto accessReviewInstanceDecisionItem .
Atualizar accessReviewInstanceDecisionItem	accessReviewInstanceDecisionItem	Atualize as propriedades de um objeto accessReviewInstanceDecisionItem .
accessReviewInstanceDecisionItem: filterByCurrentUser	coleção accessReviewInstanceDecisionItem	Retorna os itens de decisão dos quais o usuário chamador é o revistor.
Definições de histórico
Listar historyDefinitions	coleção accessReviewHistoryDefinition	Obtenha uma lista dos objetos accessReviewHistoryDefinition e suas propriedades.
Criar historyDefinitions	accessReviewHistoryDefinition	Crie um novo objeto accessReviewHistoryDefinition .
Obter accessReviewHistoryDefinition	accessReviewHistoryDefinition	Leia as propriedades e as relações de um objeto accessReviewHistoryDefinition .
generateDownloadUri	accessReviewHistoryInstance	Gere um URI para uma instância que pode ser usada para recuperar dados do histórico de revisão.
List instances	accessReviewHistoryInstance	Recupere uma lista dos objetos accessReviewHistoryInstance e suas propriedades.

Verificações de autorização de função e de permissão de aplicativo

As seguintes Azure AD funções são necessárias para que um usuário chamador gerencie as revisões de acesso.

Operação	Permissões de aplicativos	Função de diretório necessária do usuário chamador
Leitura	AccessReview.Read.All ou AccessReview.ReadWrite.All	Administrador Global, Leitor Global, Administrador de Segurança, Leitor de Segurança ou Administrador de Usuário
Criar, atualizar ou excluir	AccessReview.ReadWrite.All	Administrador Global ou Administrador de Usuários

Além disso, um usuário que é um revisador atribuído de uma revisão de acesso pode gerenciar suas decisões, sem a necessidade de estar em uma função de diretório.

Confira também

• Tutoriais para saber como usar a API de revisões de acesso para examinar o acesso a Azure AD recursos
• Como um administrador pode gerenciar o acesso do usuário com Azure AD revisões de acesso
• Como um administrador pode gerenciar o acesso de convidados com Azure AD revisões de acesso