Affecter des réviseurs à votre révision d’accès à l’aide de Microsoft API Graph

  • Article
  • 2 minutes de lecture

L’API de révisions d’accès Azure AD vous permet de passer en revue par programmation l’accès des utilisateurs, des principaux de service ou des groupes à vos ressources Azure AD.

Les réviseurs principaux sont configurés dans la propriété reviewers de la ressource accessReviewScheduleDefinition des révisions d’accès. En outre, vous pouvez spécifier des réviseurs de secours à l’aide de la propriété fallbackReviewers . Ces propriétés ne sont pas requises lorsque vous créez une auto-révision (où les utilisateurs passent en revue leur propre accès).

Pour configurer les réviseurs et les réviseurs de secours, définissez les valeurs des propriétés query, queryRoot et queryTyped’accessReviewReviewerScope. Pour obtenir une description de ces propriétés, consultez le type de ressource accessReviewReviewerScope .

Remarque

L’examen des groupes dont l’appartenance est régie par PIM pour les groupes affecte uniquement les propriétaires actifs en tant que réviseurs. Les propriétaires éligibles ne sont pas inclus. Au moins un réviseur de secours est nécessaire pour passer en revue ces groupes. S’il n’y a pas de propriétaire actif au début de la révision, les réviseurs de secours sont affectés à la révision.

Exemple 1 : Auto-révision

"reviewers": []

Pour configurer une révision automatique, ne spécifiez pas la propriété réviseurs ou fournissez un objet vide à la propriété.

Si l’étendue de révision d’accès correspondante cible les utilisateurs et les équipes de connexion directe B2B avec des canaux partagés, le propriétaire de l’équipe est affecté à la révision de l’accès pour les utilisateurs de connexion directe B2B.

Exemple 2 : Un utilisateur spécifique en tant que réviseur

"reviewers": [
    {
        "query": "/users/{userId}",
        "queryType": "MicrosoftGraph"
    }
]

Exemple 3 : Membres d’un groupe en tant que réviseurs

"reviewers": [
    {
        "query": "/groups/{groupId}/transitiveMembers",
        "queryType": "MicrosoftGraph"
    }
]

Exemple 4 : Propriétaires de groupe en tant que réviseurs

Lorsque la révision d’accès est limitée à un groupe, par exemple, Exemple 1 : Passer en revue tous les utilisateurs affectés à un groupe, Exemple 2 : Passer en revue tous les utilisateurs invités affectés à un groupe et Exemple 3 : Passer en revue tous les utilisateurs et groupes affectés à un groupe.

"reviewers": [
    {
        "query": "/groups/{groupId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

Lorsque la révision d’accès est limitée à un groupe et pour affecter uniquement les propriétaires de groupe d’un pays spécifique en tant que réviseurs :

"reviewers": [
    {
        "query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
        "type": "MicrosoftGraph”
    }
]

Lorsque la révision d’accès est étendue à tous les groupes, par exemple, exemple 4 : Passer en revue tous les utilisateurs affectés à tous les groupes Microsoft 365, Exemple 5 : Examiner tous les utilisateurs invités affectés à tous les groupes Microsoft 365 et Exemple 6 : Passer en revue tous les utilisateurs invités affectés à toutes les équipes.

"reviewers": [
    {
        "query": "./owners",
        "queryType": "MicrosoftGraph"
    }
]

Exemple 5 : Personnes responsables en tant que réviseurs

"reviewers": [
    {
        "query": "./manager",
        "queryType": "MicrosoftGraph",
        "queryRoot": "decisions"
    }
]

Étant donné que ./manager est une requête relative, spécifiez la propriété queryRoot avec la valeur decisions.

Si l’étendue de révision d’accès correspondante cible les utilisateurs et les équipes de connexion directe B2B avec des canaux partagés, le propriétaire de l’équipe est affecté à la révision de l’accès pour les utilisateurs de connexion directe B2B.

Exemple 6 : Propriétaires d’applications en tant que réviseurs

"reviewers": [
    {
        "query": "/servicePrincipals/{servicePrincipalId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

Prochaines étapes