Asignar revisores a la revisión de acceso mediante microsoft Graph API
La API de revisiones de acceso de Azure AD permite revisar mediante programación el acceso que los usuarios, las entidades de servicio o los grupos tienen a los recursos de Azure AD.
Los revisores principales se configuran en la propiedad reviewers del recurso access reviews accessReviewScheduleDefinition . Además, puede especificar revisores de reserva mediante la propiedad fallbackReviewers . Estas propiedades no son necesarias al crear una revisión automática (donde los usuarios revisan su propio acceso).
Para configurar los revisores y revisores de reserva, establezca los valores de las propiedades query, queryRoot y queryType de accessReviewReviewerScope. Para obtener descripciones de estas propiedades, consulte el tipo de recurso accessReviewReviewerScope .
Nota:
La revisión de los grupos cuya pertenencia se rige por PIM para grupos solo asignará propietarios activos como revisores. Los propietarios aptos no están incluidos. Se requiere al menos un revisor de reserva para revisar estos grupos. Si no hay ningún propietario activo cuando comience la revisión, los revisores de reserva se asignarán a la revisión.
Ejemplo 1: Autoexavaluación
"reviewers": []
Para configurar una revisión automática, no especifique la propiedad reviewers ni proporcione un objeto vacío a la propiedad .
Si el ámbito de revisión de acceso correspondiente tiene como destino la conexión directa B2B a usuarios y equipos con canales compartidos, el propietario del equipo se asignará para revisar el acceso de los usuarios de conexión directa B2B.
Ejemplo 2: Un usuario específico como revisor
"reviewers": [
{
"query": "/users/{userId}",
"queryType": "MicrosoftGraph"
}
]
Ejemplo 3: Miembros de un grupo como revisores
"reviewers": [
{
"query": "/groups/{groupId}/transitiveMembers",
"queryType": "MicrosoftGraph"
}
]
Ejemplo 4: Propietarios de grupos como revisores
Cuando el ámbito de la revisión de acceso es un grupo, por ejemplo, Ejemplo 1: Revisar todos los usuarios asignados a un grupo, Ejemplo 2: Revisar todos los usuarios invitados asignados a un grupo y Ejemplo 3: Revisar todos los usuarios y grupos asignados a un grupo.
"reviewers": [
{
"query": "/groups/{groupId}/owners",
"queryType": "MicrosoftGraph"
}
]
Cuando el ámbito de la revisión de acceso es un grupo y para asignar solo a los propietarios del grupo de un país específico como revisores:
"reviewers": [
{
"query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
"type": "MicrosoftGraph”
}
]
Cuando el ámbito de la revisión de acceso es todos los grupos, por ejemplo, ejemplo 4: Revisar todos los usuarios asignados a todos los grupos de Microsoft 365, Ejemplo 5: Revisar todos los usuarios invitados asignados a todos los grupos de Microsoft 365 y Ejemplo 6: Revisar todos los usuarios invitados asignados a todos los equipos.
"reviewers": [
{
"query": "./owners",
"queryType": "MicrosoftGraph"
}
]
Ejemplo 5: Personas administradores como revisores
"reviewers": [
{
"query": "./manager",
"queryType": "MicrosoftGraph",
"queryRoot": "decisions"
}
]
Dado que ./manager es una consulta relativa, especifique la propiedad queryRoot con el valor decisions.
Si el ámbito de revisión de acceso correspondiente tiene como destino la conexión directa B2B a usuarios y equipos con canales compartidos, el propietario del equipo se asignará para revisar el acceso de los usuarios de conexión directa B2B.
Ejemplo 6: Propietarios de aplicaciones como revisores
"reviewers": [
{
"query": "/servicePrincipals/{servicePrincipalId}/owners",
"queryType": "MicrosoftGraph"
}
]
Pasos siguientes
- Configuración del ámbito de la definición de revisión de acceso
- Pruebe los tutoriales para aprender a usar la API de revisiones de acceso para revisar el acceso a los recursos de Azure AD.
- Creación de una revisión de acceso