Compartir a través de


Asignación de revisores para acceder a las revisiones mediante las API de revisiones de acceso

La API de revisiones de acceso Microsoft Entra permite revisar mediante programación el acceso que los usuarios, las entidades de servicio o los grupos tienen a los recursos de Microsoft Entra.

Los revisores principales se configuran en la propiedad reviewers del recurso access reviews accessReviewScheduleDefinition . Además, puede especificar revisores de reserva mediante la propiedad fallbackReviewers . Estas propiedades no son necesarias al crear una revisión automática (donde los usuarios revisan su propio acceso).

Para configurar los revisores y revisores de reserva, establezca los valores de las propiedades query, queryRoot y queryType del tipo de recurso accessReviewReviewerScope.

Nota:

La revisión de los grupos cuya pertenencia se rige por PIM para grupos solo asigna propietarios activos como revisores. Los propietarios aptos no están incluidos. Se requiere al menos un revisor de reserva para revisar estos grupos. Si no hay propietarios activos cuando comienza la revisión, los revisores de reserva se asignan a la revisión.

Ejemplo 1: Autoexavaluación

Para configurar una revisión automática, no especifique la propiedad reviewers ni proporcione un objeto vacío a la propiedad .

Si el ámbito de revisión de acceso correspondiente tiene como destino la conexión directa de B2B a usuarios y equipos con canales compartidos, se asigna al propietario del equipo que revise el acceso de los usuarios de conexión directa B2B.

"reviewers": []

Ejemplo 2: Un usuario específico como revisor

"reviewers": [
    {
        "query": "/users/{userId}",
        "queryType": "MicrosoftGraph"
    }
]

Ejemplo 3: Miembros de un grupo como revisores

"reviewers": [
    {
        "query": "/groups/{groupId}/transitiveMembers",
        "queryType": "MicrosoftGraph"
    }
]

Ejemplo 4: Propietarios de grupos como revisores

Cuando el ámbito de la revisión de acceso es un grupo, por ejemplo, los ejemplos 1-4 para configurar un ámbito de revisión de acceso.

"reviewers": [
    {
        "query": "/groups/{groupId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

Cuando el ámbito de la revisión de acceso es un grupo y para asignar solo a los propietarios del grupo de un país específico como revisores:

"reviewers": [
    {
        "query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
        "type": "MicrosoftGraph"
    }
]

Cuando la revisión de acceso se limita a todos los grupos, por ejemplo, los ejemplos 5-9 para configurar un ámbito de revisión de acceso.

"reviewers": [
    {
        "query": "./owners",
        "queryType": "MicrosoftGraph"
    }
]

Ejemplo 5: Personas administradores como revisores

Dado que ./manager es una consulta relativa, especifique la propiedad queryRoot con el valor decisions.

Si el ámbito de revisión de acceso correspondiente tiene como destino la conexión directa de B2B a usuarios y equipos con canales compartidos, se asigna al propietario del equipo que revise el acceso de los usuarios de conexión directa B2B.

"reviewers": [
    {
        "query": "./manager",
        "queryType": "MicrosoftGraph",
        "queryRoot": "decisions"
    }
]

Ejemplo 6: Propietarios de aplicaciones como revisores

"reviewers": [
    {
        "query": "/servicePrincipals/{servicePrincipalId}/owners",
        "queryType": "MicrosoftGraph"
    }
]