Introducción a las API de revisiones de acceso
Espacio de nombres: microsoft.graph
Use las revisiones de acceso de Microsoft Entra para configurar revisiones de acceso periódicas o únicas para la atestación del derecho de una entidad de seguridad a acceder a los recursos de Microsoft Entra. Las entidades de seguridad son usuarios o aplicaciones (entidades de servicio). Los recursos de Microsoft Entra incluyen grupos, aplicaciones (entidades de servicio), paquetes de acceso y roles con privilegios. Las revisiones de acceso son una característica de la gobernanza de identificadores de Microsoft Entra.
Entre los escenarios típicos de clientes para las revisiones de acceso se incluyen:
- Los clientes pueden revisar y certificar el acceso de los usuarios invitados a los grupos a través de pertenencias a grupos. Los revisores pueden usar la información que se proporciona para decidir de forma eficaz si los invitados deben tener acceso continuo.
- Los clientes pueden revisar y certificar el acceso de los empleados a los recursos de Microsoft Entra.
- Los clientes pueden revisar y auditar las asignaciones a roles con privilegios de id. de Microsoft Entra. Esto admite organizaciones en la administración del acceso con privilegios.
El inquilino donde se crea o administra una revisión de acceso a través de la API debe tener suficientes licencias compradas o de prueba. Para obtener más información sobre los requisitos de licencia, consulte Requisitos de licencia de revisiones de acceso.
Nota:
En este artículo se describe cómo exportar datos personales desde un dispositivo o servicio. Estos pasos se pueden usar para respaldar sus obligaciones en virtud del Reglamento general de protección de datos (RGPD). Los administradores de inquilinos autorizados pueden usar Microsoft Graph para corregir, actualizar o eliminar información de identificación sobre los usuarios finales, incluidos los perfiles de usuario de clientes y empleados o los datos personales, como el nombre, el título del trabajo, la dirección o el número de teléfono de un usuario, en el entorno de Microsoft Entra ID .
Métodos
En la tabla siguiente se enumeran los métodos que puede usar para interactuar con recursos relacionados con la revisión de acceso.
Método | Tipo devuelto | Description |
---|---|---|
Definiciones de programación | ||
Definiciones de lista | colección accessReviewScheduleDefinition | Obtenga una lista de los objetos accessReviewScheduleDefinition y sus propiedades. |
Creación de definiciones | accessReviewScheduleDefinition | Cree un nuevo objeto accessReviewScheduleDefinition . |
Obtener accessReviewScheduleDefinition | accessReviewScheduleDefinition | Lea las propiedades y relaciones de un objeto accessReviewScheduleDefinition . |
Actualizar accessReviewScheduleDefinition | accessReviewScheduleDefinition | Actualice las propiedades de un objeto accessReviewScheduleDefinition . |
Eliminar accessReviewScheduleDefinition | Ninguno | Elimina un objeto accessReviewScheduleDefinition . |
filterByCurrentUser | colección accessReviewScheduleDefinition | Devuelve todas las definiciones en las que el usuario que realiza la llamada es el revisor de cualquier instancia. |
Instancias | ||
List instances | colección accessReviewInstance | Obtenga una lista de los objetos accessReviewInstance y sus propiedades. |
Obtener accessReviewInstance | accessReviewInstance | Lea las propiedades y relaciones de un objeto accessReviewInstance . |
stop | Ninguno | Detenga manualmente una accessReviewInstance. |
sendReminder | Ninguno | Envíe un recordatorio a los revisores de una accessReviewInstance. |
resetDecisions | Ninguno | Restablece todos los elementos de decisión de una instancia a notReviewed |
applyDecisions | Ninguno | Aplique manualmente la decisión en una accessReviewInstance. |
acceptRecommendations | Ninguno | Permite que el usuario que realiza la llamada acepte la recomendación de decisión para cada accessReviewInstanceDecisionItem notreviewed en el que sea el revisor de un accessReviewInstance específico. |
batchRecordDecisions | Ninguno | Revise los lotes de entidades de seguridad o recursos en una llamada. |
filterByCurrentUser | colección accessReviewInstance | Devuelve todos los objetos de instancia de una definición para la que el usuario que realiza la llamada es el revisor. |
Elementos de decisión de instancia | ||
Enumerar decisiones | colección accessReviewInstanceDecisionItem | Obtenga una lista de los objetos accessReviewInstanceDecisionItem y sus propiedades. |
Obtener accessReviewInstanceDecisionItem | accessReviewInstanceDecisionItem | Lea las propiedades y relaciones de un objeto accessReviewInstanceDecisionItem . |
Actualizar accessReviewInstanceDecisionItem | accessReviewInstanceDecisionItem | Actualice las propiedades de un objeto accessReviewInstanceDecisionItem . |
accessReviewInstanceDecisionItem: filterByCurrentUser | colección accessReviewInstanceDecisionItem | Devuelve los elementos de decisión de los que el usuario que realiza la llamada es el revisor. |
Definiciones de historial | ||
Historial de listasDefinitions | colección accessReviewHistoryDefinition | Obtenga una lista de los objetos accessReviewHistoryDefinition y sus propiedades. |
Crear historyDefinitions | accessReviewHistoryDefinition | Cree un nuevo objeto accessReviewHistoryDefinition . |
Obtener accessReviewHistoryDefinition | accessReviewHistoryDefinition | Lea las propiedades y relaciones de un objeto accessReviewHistoryDefinition . |
generateDownloadUri | accessReviewHistoryInstance | Genere un URI para una instancia que se pueda usar para recuperar datos del historial de revisión. |
List instances | accessReviewHistoryInstance | Recupere una lista de los objetos accessReviewHistoryInstance y sus propiedades. |
Comprobaciones de autorización de permisos de rol y aplicación
Los siguientes roles de Microsoft Entra son necesarios para que un usuario que realiza la llamada administre las revisiones de acceso.
Operación | Permisos de la aplicación | Rol de directorio con privilegios mínimos del usuario que realiza la llamada |
---|---|---|
Lectura | AccessReview.Read.All o AccessReview.ReadWrite.All | Lector global, administrador de seguridad, lector de seguridad o administrador de usuarios |
Crear, actualizar o eliminar | AccessReview.ReadWrite.All | Administrador de usuarios |
Además, un usuario que sea un revisor asignado de una revisión de acceso puede administrar sus decisiones, sin necesidad de tener un rol de directorio.
Contenido relacionado
- Recorra tutoriales guiados para aprender a usar la API de revisiones de acceso para revisar el acceso a los recursos de Microsoft Entra.