Revisões de acesso ao Azure AD
Namespace: microsoft.graph
Importante
As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor de versão.
Observação
Esta é a API recomendada para avaliações de acesso. A versão anterior da API de críticas de acesso foi preterida.
Use Azure AD revisões de acesso para configurar revisões de acesso única ou recorrentes para atestar os direitos dos usuários para acessar Azure AD recursos. Esses Azure AD incluem grupos, entidades de serviço, pacotes de acesso e funções privilegiadas.
Cenários típicos de clientes para revisões de acesso incluem:
- Os clientes podem examinar e certificar o acesso de usuários convidados a grupos por meio de associações de grupo. Os revisores podem usar os insights fornecidos para decidir com eficiência se os convidados devem ter acesso contínuo.
- Os clientes podem examinar e certificar o acesso de funcionários Azure AD recursos.
- Os clientes podem examinar e auditar atribuições para Azure AD funções privilegiadas. Isso dá suporte a organizações no gerenciamento de acesso privilegiado.
Observe que o recurso de revisões de acesso, incluindo a API, está incluído Azure AD Premium P2. O locatário em que uma revisão de acesso está sendo criada deve ter uma assinatura válida de compra ou avaliação Azure AD Premium P2 em EMS E5. Para obter mais informações sobre os requisitos de licença, consulte os requisitos de licença de revisões do Access.
Observação
Este artigo descreve como exportar dados pessoais de um dispositivo ou serviço. Essas etapas podem ser usadas para dar suporte às suas obrigações de acordo com o GdpR (Regulamento Geral sobre a Proteção de Dados). Os administradores de locatários autorizados podem usar o Microsoft Graph para corrigir, atualizar ou excluir informações de identificação sobre os usuários finais, incluindo perfis de usuário de clientes e funcionários ou dados pessoais, como o nome do usuário, o título do trabalho, o endereço ou o número de telefone, em seu ambiente Azure Active Directory (Azure AD).
Métodos
A tabela a seguir lista os métodos que você pode usar para interagir com recursos relacionados à revisão de acesso.
| Método | Tipo de retorno | Descrição |
|---|---|---|
| Definições de agendamento | ||
| Definições de lista | coleção accessReviewScheduleDefinition | Obtenha uma lista dos objetos accessReviewScheduleDefinition e suas propriedades. |
| Obter accessReviewScheduleDefinition | accessReviewScheduleDefinition | Obtenha um objeto accessReviewScheduleDefinition e suas propriedades. |
| Criar definições | accessReviewScheduleDefinition | Crie um novo accessReviewScheduleDefinition. |
| Excluir accessReviewScheduleDefinition | Nenhum. | Exclua um accessReviewScheduleDefinition. |
| Atualizar accessReviewScheduleDefinition | Nenhum. | Atualize as propriedades de um accessReviewScheduleDefinition com um identificador especificado. |
| filterByCurrentUser | coleção accessReviewScheduleDefinition | Recupera todas as definições para as quais o usuário chamador é um revisores em uma ou mais instâncias. |
| Instâncias | ||
| List instances | coleção accessReviewInstance | Obtenha uma lista dos objetos accessReviewInstance e suas propriedades. |
| Obter accessReviewInstance | accessReviewInstance | Leia as propriedades e as relações de um objeto accessReviewInstance . |
| sendReminder | Nenhum. | Envie um lembrete aos revisores de um accessReviewInstance. |
| stop | Nenhum. | Interrompa manualmente um accessReviewInstance. |
| acceptRecommendations | Nenhum. | Permite que o usuário chamado aceite a recomendação de decisão para cada NotReviewed accessReviewInstanceDecisionItem em que ele é o revisor para um accessReviewInstance específico. |
| applyDecisions | Nenhum. | Aplicar decisões manualmente em um accessReviewInstance. |
| batchRecordDecisions | Nenhum | Examine lotes de entidades de segurança ou recursos em uma chamada. |
| resetDecisions | Nenhum | Redefine todos os itens de decisão em uma instância para notReviewed. |
| filterByCurrentUser | coleção accessReviewInstance | Retorna todas as instâncias em um determinado accessReviewScheduleDefinition para o qual o usuário chamador é o revisor de uma ou mais decisões. |
| Itens de decisão de instância | ||
| Listar decisões | coleção accessReviewInstanceDecisionItem | Obtenha uma lista dos objetos accessReviewInstanceDecisionItem e suas propriedades. |
| Obter accessReviewInstanceDecisionItem | accessReviewInstanceDecisionItem | Leia as propriedades e as relações de um objeto accessReviewInstanceDecisionItem . |
| Atualizar accessReviewInstanceDecisionItem | Nenhum. | Para qualquer accessReviewInstanceDecisionItems ao qual o usuário chamador é atribuído a um revisor, chamar o usuário pode registrar uma decisão aplicando patch ao objeto de decisão. |
| filterByCurrentUser | coleção accessReviewInstanceDecisionItem | Recupera todos os objetos accessReviewInstanceDecisionItems em que o uso de chamada é o revisor de um determinado accessReviewInstance. |
| listPendingApproval (preterido) | coleção accessReviewInstanceDecisionItem . | Obtenha todos os accessReviewInstanceDecisionItems atribuídos ao usuário chamador para um accessReviewInstance específico. Esse método está sendo preterido e substituído por accessReviewInstanceDecisionItem: filterByCurrentUser. |
| Definições de histórico | ||
| Listar historyDefinitions | coleção accessReviewHistoryDefinition | Obtenha uma lista dos objetos accessReviewHistoryDefinition e suas propriedades. |
| Criar historyDefinitions | accessReviewHistoryDefinition | Crie um novo objeto accessReviewHistoryDefinition . |
| Obter accessReviewHistoryDefinition | accessReviewHistoryDefinition | Leia as propriedades e as relações de um objeto accessReviewHistoryDefinition . |
| generateDownloadUri | accessReviewHistoryInstance | Gere um URI para uma instância que pode ser usada para recuperar dados do histórico de revisão. |
| List instances | accessReviewHistoryInstance | Recupere uma lista dos objetos accessReviewHistoryInstance e suas propriedades. |
| Política | ||
| Obter accessReviewPolicy | accessReviewPolicy | Leia as propriedades e as relações de um objeto accessReviewPolicy . |
| Atualizar accessReviewPolicy | accessReviewPolicy | Atualize as propriedades de um objeto accessReviewPolicy . |
| Listar definições com aprovação pendente (preterido) | coleção accessReviewScheduleDefinition | Recupera todas as definições para as quais o usuário chamador é um revisores em uma ou mais instâncias. Esse método está sendo preterido e substituído por accessReviewScheduleDefinition: filterByCurrentUser. |
| Listar pendingAccessReviewInstances (preterido) | coleção accessReviewInstance . | Obtenha todos os recursos de accessReviewInstance pendentes atribuídos ao usuário que está chamando. Esse método está sendo preterido e substituído por accessReviewInstance: filterByCurrentUser. |
Verificações de autorização de função e de permissão de aplicativo
As seguintes Azure AD funções são necessárias para que um usuário chamador gerencie as revisões de acesso.
| Operação | Permissões de aplicativos | Função de diretório necessária do usuário chamador |
|---|---|---|
| Leitura | AccessReview.Read.All ou AccessReview.ReadWrite.All | Administrador Global, Leitor Global, Administrador de Segurança, Leitor de Segurança ou Administrador de Usuário |
| Criar, atualizar ou excluir | AccessReview.ReadWrite.All | Administrador Global ou Administrador de Usuários |
Além disso, um usuário que é um revisador atribuído de uma revisão de acesso pode gerenciar suas decisões, sem a necessidade de estar em uma função de diretório.
Confira também
- Tutoriais para saber como usar a API de revisões de acesso para examinar o acesso a Azure AD recursos
- Como um administrador pode gerenciar o acesso do usuário com Azure AD revisões de acesso
- Como um administrador pode gerenciar o acesso de convidados com Azure AD revisões de acesso
Comentários
Enviar e exibir comentários de