Revisões de acesso ao Azure AD

Namespace: microsoft.graph

Importante

As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor de versão.

Observação

Esta é a API recomendada para avaliações de acesso. A versão anterior da API de críticas de acesso foi preterida.

Use Azure AD revisões de acesso para configurar revisões de acesso única ou recorrentes para atestar os direitos dos usuários para acessar Azure AD recursos. Esses Azure AD incluem grupos, entidades de serviço, pacotes de acesso e funções privilegiadas.

Cenários típicos de clientes para revisões de acesso incluem:

  • Os clientes podem examinar e certificar o acesso de usuários convidados a grupos por meio de associações de grupo. Os revisores podem usar os insights fornecidos para decidir com eficiência se os convidados devem ter acesso contínuo.
  • Os clientes podem examinar e certificar o acesso de funcionários Azure AD recursos.
  • Os clientes podem examinar e auditar atribuições para Azure AD funções privilegiadas. Isso dá suporte a organizações no gerenciamento de acesso privilegiado.

Observe que o recurso de revisões de acesso, incluindo a API, está incluído Azure AD Premium P2. O locatário em que uma revisão de acesso está sendo criada deve ter uma assinatura válida de compra ou avaliação Azure AD Premium P2 em EMS E5. Para obter mais informações sobre os requisitos de licença, consulte os requisitos de licença de revisões do Access.

Observação

Este artigo descreve como exportar dados pessoais de um dispositivo ou serviço. Essas etapas podem ser usadas para dar suporte às suas obrigações de acordo com o GdpR (Regulamento Geral sobre a Proteção de Dados). Os administradores de locatários autorizados podem usar o Microsoft Graph para corrigir, atualizar ou excluir informações de identificação sobre os usuários finais, incluindo perfis de usuário de clientes e funcionários ou dados pessoais, como o nome do usuário, o título do trabalho, o endereço ou o número de telefone, em seu ambiente Azure Active Directory (Azure AD).

Métodos

A tabela a seguir lista os métodos que você pode usar para interagir com recursos relacionados à revisão de acesso.

Método Tipo de retorno Descrição
Definições de agendamento
Definições de lista coleção accessReviewScheduleDefinition Obtenha uma lista dos objetos accessReviewScheduleDefinition e suas propriedades.
Obter accessReviewScheduleDefinition accessReviewScheduleDefinition Obtenha um objeto accessReviewScheduleDefinition e suas propriedades.
Criar definições accessReviewScheduleDefinition Crie um novo accessReviewScheduleDefinition.
Excluir accessReviewScheduleDefinition Nenhum. Exclua um accessReviewScheduleDefinition.
Atualizar accessReviewScheduleDefinition Nenhum. Atualize as propriedades de um accessReviewScheduleDefinition com um identificador especificado.
filterByCurrentUser coleção accessReviewScheduleDefinition Recupera todas as definições para as quais o usuário chamador é um revisores em uma ou mais instâncias.
Instâncias
List instances coleção accessReviewInstance Obtenha uma lista dos objetos accessReviewInstance e suas propriedades.
Obter accessReviewInstance accessReviewInstance Leia as propriedades e as relações de um objeto accessReviewInstance .
sendReminder Nenhum. Envie um lembrete aos revisores de um accessReviewInstance.
stop Nenhum. Interrompa manualmente um accessReviewInstance.
acceptRecommendations Nenhum. Permite que o usuário chamado aceite a recomendação de decisão para cada NotReviewed accessReviewInstanceDecisionItem em que ele é o revisor para um accessReviewInstance específico.
applyDecisions Nenhum. Aplicar decisões manualmente em um accessReviewInstance.
batchRecordDecisions Nenhum Examine lotes de entidades de segurança ou recursos em uma chamada.
resetDecisions Nenhum Redefine todos os itens de decisão em uma instância para notReviewed.
filterByCurrentUser coleção accessReviewInstance Retorna todas as instâncias em um determinado accessReviewScheduleDefinition para o qual o usuário chamador é o revisor de uma ou mais decisões.
Itens de decisão de instância
Listar decisões coleção accessReviewInstanceDecisionItem Obtenha uma lista dos objetos accessReviewInstanceDecisionItem e suas propriedades.
Obter accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem Leia as propriedades e as relações de um objeto accessReviewInstanceDecisionItem .
Atualizar accessReviewInstanceDecisionItem Nenhum. Para qualquer accessReviewInstanceDecisionItems ao qual o usuário chamador é atribuído a um revisor, chamar o usuário pode registrar uma decisão aplicando patch ao objeto de decisão.
filterByCurrentUser coleção accessReviewInstanceDecisionItem Recupera todos os objetos accessReviewInstanceDecisionItems em que o uso de chamada é o revisor de um determinado accessReviewInstance.
listPendingApproval (preterido) coleção accessReviewInstanceDecisionItem . Obtenha todos os accessReviewInstanceDecisionItems atribuídos ao usuário chamador para um accessReviewInstance específico. Esse método está sendo preterido e substituído por accessReviewInstanceDecisionItem: filterByCurrentUser.
Definições de histórico
Listar historyDefinitions coleção accessReviewHistoryDefinition Obtenha uma lista dos objetos accessReviewHistoryDefinition e suas propriedades.
Criar historyDefinitions accessReviewHistoryDefinition Crie um novo objeto accessReviewHistoryDefinition .
Obter accessReviewHistoryDefinition accessReviewHistoryDefinition Leia as propriedades e as relações de um objeto accessReviewHistoryDefinition .
generateDownloadUri accessReviewHistoryInstance Gere um URI para uma instância que pode ser usada para recuperar dados do histórico de revisão.
List instances accessReviewHistoryInstance Recupere uma lista dos objetos accessReviewHistoryInstance e suas propriedades.
Política
Obter accessReviewPolicy accessReviewPolicy Leia as propriedades e as relações de um objeto accessReviewPolicy .
Atualizar accessReviewPolicy accessReviewPolicy Atualize as propriedades de um objeto accessReviewPolicy .
Listar definições com aprovação pendente (preterido) coleção accessReviewScheduleDefinition Recupera todas as definições para as quais o usuário chamador é um revisores em uma ou mais instâncias. Esse método está sendo preterido e substituído por accessReviewScheduleDefinition: filterByCurrentUser.
Listar pendingAccessReviewInstances (preterido) coleção accessReviewInstance . Obtenha todos os recursos de accessReviewInstance pendentes atribuídos ao usuário que está chamando. Esse método está sendo preterido e substituído por accessReviewInstance: filterByCurrentUser.

Verificações de autorização de função e de permissão de aplicativo

As seguintes Azure AD funções são necessárias para que um usuário chamador gerencie as revisões de acesso.

Operação Permissões de aplicativos Função de diretório necessária do usuário chamador
Leitura AccessReview.Read.All ou AccessReview.ReadWrite.All Administrador Global, Leitor Global, Administrador de Segurança, Leitor de Segurança ou Administrador de Usuário
Criar, atualizar ou excluir AccessReview.ReadWrite.All Administrador Global ou Administrador de Usuários

Além disso, um usuário que é um revisador atribuído de uma revisão de acesso pode gerenciar suas decisões, sem a necessidade de estar em uma função de diretório.

Confira também