Introducción a las API de revisiones de acceso

Espacio de nombres: microsoft.graph

Use Microsoft Entra revisiones de acceso para configurar revisiones de acceso periódicas o únicas para la atestación del derecho de una entidad de seguridad a acceder a Microsoft Entra recursos. Las entidades de seguridad son usuarios o aplicaciones (entidades de servicio). Los recursos Microsoft Entra incluyen grupos, aplicaciones (entidades de servicio), paquetes de acceso y roles con privilegios. Las revisiones de acceso son una característica de Gobierno de Microsoft Entra ID.

Entre los escenarios típicos de clientes para las revisiones de acceso se incluyen:

  • Los clientes pueden revisar y certificar el acceso de los usuarios invitados a los grupos a través de pertenencias a grupos. Los revisores pueden usar la información que se proporciona para decidir de forma eficaz si los invitados deben tener acceso continuo.
  • Los clientes pueden revisar y certificar el acceso de los empleados a Microsoft Entra recursos.
  • Los clientes pueden revisar y auditar las asignaciones a Microsoft Entra ID roles con privilegios. Esto admite organizaciones en la administración del acceso con privilegios.

El inquilino donde se crea o administra una revisión de acceso a través de la API debe tener suficientes licencias compradas o de prueba. Para obtener más información sobre los requisitos de licencia, consulte Requisitos de licencia de revisiones de acceso.

Nota:

En este artículo se describe cómo exportar datos personales desde un dispositivo o servicio. Estos pasos se pueden usar para respaldar sus obligaciones en virtud del Reglamento general de protección de datos (RGPD). Los administradores de inquilinos autorizados pueden usar Microsoft Graph para corregir, actualizar o eliminar información de identificación sobre los usuarios finales, incluidos los perfiles de usuario de clientes y empleados o los datos personales, como el nombre de un usuario, el título del trabajo, la dirección o el número de teléfono, en su entorno de Microsoft Entra ID.

Métodos

En la tabla siguiente se enumeran los métodos que puede usar para interactuar con recursos relacionados con la revisión de acceso.

Método Tipo devuelto Descripción
Definiciones de programación
Definiciones de lista colección accessReviewScheduleDefinition Obtenga una lista de los objetos accessReviewScheduleDefinition y sus propiedades.
Creación de definiciones accessReviewScheduleDefinition Cree un nuevo objeto accessReviewScheduleDefinition .
Obtener accessReviewScheduleDefinition accessReviewScheduleDefinition Lea las propiedades y relaciones de un objeto accessReviewScheduleDefinition .
Actualizar accessReviewScheduleDefinition accessReviewScheduleDefinition Actualice las propiedades de un objeto accessReviewScheduleDefinition .
Eliminar accessReviewScheduleDefinition Ninguno Elimina un objeto accessReviewScheduleDefinition .
filterByCurrentUser colección accessReviewScheduleDefinition Devuelve todas las definiciones en las que el usuario que realiza la llamada es el revisor de cualquier instancia.
Instancias
List instances colección accessReviewInstance Obtenga una lista de los objetos accessReviewInstance y sus propiedades.
Obtener accessReviewInstance accessReviewInstance Lea las propiedades y relaciones de un objeto accessReviewInstance .
stop Ninguno Detenga manualmente una accessReviewInstance.
sendReminder Ninguno Envíe un recordatorio a los revisores de una accessReviewInstance.
resetDecisions Ninguno Restablece todos los elementos de decisión de una instancia a notReviewed
applyDecisions Ninguno Aplique manualmente la decisión en una accessReviewInstance.
acceptRecommendations Ninguno Permite que el usuario que realiza la llamada acepte la recomendación de decisión para cada accessReviewInstanceDecisionItem notreviewed en el que sea el revisor de un accessReviewInstance específico.
batchRecordDecisions Ninguno Revise los lotes de entidades de seguridad o recursos en una llamada.
filterByCurrentUser colección accessReviewInstance Devuelve todos los objetos de instancia de una definición para la que el usuario que realiza la llamada es el revisor.
Elementos de decisión de instancia
Enumerar decisiones colección accessReviewInstanceDecisionItem Obtenga una lista de los objetos accessReviewInstanceDecisionItem y sus propiedades.
Obtener accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem Lea las propiedades y relaciones de un objeto accessReviewInstanceDecisionItem .
Actualizar accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem Actualice las propiedades de un objeto accessReviewInstanceDecisionItem .
accessReviewInstanceDecisionItem: filterByCurrentUser colección accessReviewInstanceDecisionItem Devuelve los elementos de decisión de los que el usuario que realiza la llamada es el revisor.
Definiciones de historial
Historial de listasDefinitions colección accessReviewHistoryDefinition Obtenga una lista de los objetos accessReviewHistoryDefinition y sus propiedades.
Crear historyDefinitions accessReviewHistoryDefinition Cree un nuevo objeto accessReviewHistoryDefinition .
Obtener accessReviewHistoryDefinition accessReviewHistoryDefinition Lea las propiedades y relaciones de un objeto accessReviewHistoryDefinition .
generateDownloadUri accessReviewHistoryInstance Genere un URI para una instancia que se pueda usar para recuperar datos del historial de revisión.
List instances accessReviewHistoryInstance Recupere una lista de los objetos accessReviewHistoryInstance y sus propiedades.

Comprobaciones de autorización de permisos de rol y aplicación

Los siguientes roles de Microsoft Entra son necesarios para que un usuario que realiza la llamada administre las revisiones de acceso.

Operación Permisos de la aplicación Rol de directorio necesario del usuario que realiza la llamada
Lectura AccessReview.Read.All o AccessReview.ReadWrite.All Administrador global, Lector global, Administrador de seguridad, Lector de seguridad o Administrador de usuarios
Crear, actualizar o eliminar AccessReview.ReadWrite.All Administrador global o administrador de usuarios

Además, un usuario que sea un revisor asignado de una revisión de acceso puede administrar sus decisiones, sin necesidad de tener un rol de directorio.

  • Recorra tutoriales guiados para aprender a usar la API de revisiones de acceso para revisar el acceso a Microsoft Entra recursos.