Asignación de revisores para acceder a las revisiones mediante las API de revisiones de acceso
La API de revisiones de acceso Microsoft Entra permite revisar mediante programación el acceso que los usuarios, las entidades de servicio o los grupos tienen a los recursos de Microsoft Entra.
Los revisores principales se configuran en la propiedad reviewers del recurso access reviews accessReviewScheduleDefinition . Además, puede especificar revisores de reserva mediante la propiedad fallbackReviewers . Estas propiedades no son necesarias al crear una revisión automática (donde los usuarios revisan su propio acceso).
Para configurar los revisores y revisores de reserva, establezca los valores de las propiedades query, queryRoot y queryType del tipo de recurso accessReviewReviewerScope.
Nota:
La revisión de los grupos cuya pertenencia se rige por PIM para grupos solo asigna propietarios activos como revisores. Los propietarios aptos no están incluidos. Se requiere al menos un revisor de reserva para revisar estos grupos. Si no hay propietarios activos cuando comienza la revisión, los revisores de reserva se asignan a la revisión.
Ejemplo 1: Autoexavaluación
Para configurar una revisión automática, no especifique la propiedad reviewers ni proporcione un objeto vacío a la propiedad .
Si el ámbito de revisión de acceso correspondiente tiene como destino la conexión directa de B2B a usuarios y equipos con canales compartidos, se asigna al propietario del equipo que revise el acceso de los usuarios de conexión directa B2B.
"reviewers": []
Ejemplo 2: Un usuario específico como revisor
"reviewers": [
{
"query": "/users/{userId}",
"queryType": "MicrosoftGraph"
}
]
Ejemplo 3: Miembros de un grupo como revisores
"reviewers": [
{
"query": "/groups/{groupId}/transitiveMembers",
"queryType": "MicrosoftGraph"
}
]
Ejemplo 4: Propietarios de grupos como revisores
Cuando el ámbito de la revisión de acceso es un grupo, por ejemplo, los ejemplos 1-4 para configurar un ámbito de revisión de acceso.
"reviewers": [
{
"query": "/groups/{groupId}/owners",
"queryType": "MicrosoftGraph"
}
]
Cuando el ámbito de la revisión de acceso es un grupo y para asignar solo a los propietarios del grupo de un país específico como revisores:
"reviewers": [
{
"query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
"type": "MicrosoftGraph"
}
]
Cuando la revisión de acceso se limita a todos los grupos, por ejemplo, los ejemplos 5-9 para configurar un ámbito de revisión de acceso.
"reviewers": [
{
"query": "./owners",
"queryType": "MicrosoftGraph"
}
]
Ejemplo 5: Personas administradores como revisores
Dado que ./manager es una consulta relativa, especifique la propiedad queryRoot con el valor decisions.
Si el ámbito de revisión de acceso correspondiente tiene como destino la conexión directa de B2B a usuarios y equipos con canales compartidos, se asigna al propietario del equipo que revise el acceso de los usuarios de conexión directa B2B.
"reviewers": [
{
"query": "./manager",
"queryType": "MicrosoftGraph",
"queryRoot": "decisions"
}
]
Ejemplo 6: Propietarios de aplicaciones como revisores
"reviewers": [
{
"query": "/servicePrincipals/{servicePrincipalId}/owners",
"queryType": "MicrosoftGraph"
}
]
Contenido relacionado
- Configuración del ámbito de la definición de revisión de acceso
- Pruebe los tutoriales para aprender a usar la API de revisiones de acceso para revisar el acceso a Microsoft Entra recursos.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de