Affecter des réviseurs aux révisions d’accès à l’aide des API de révisions d’accès
L’API de révisions d’accès Microsoft Entra vous permet de passer en revue par programme l’accès des utilisateurs, des principaux de service ou des groupes à vos ressources Microsoft Entra.
Les réviseurs principaux sont configurés dans la propriété reviewers de la ressource accessReviewScheduleDefinition des révisions d’accès. En outre, vous pouvez spécifier des réviseurs de secours à l’aide de la propriété fallbackReviewers . Ces propriétés ne sont pas requises lorsque vous créez une auto-révision (où les utilisateurs passent en revue leur propre accès).
Pour configurer les réviseurs et les réviseurs de secours, définissez les valeurs des propriétés query, queryRoot et queryType du type de ressource accessReviewReviewerScope.
Remarque
L’examen des groupes dont l’appartenance est régie par PIM pour les groupes affecte uniquement les propriétaires actifs en tant que réviseurs. Les propriétaires éligibles ne sont pas inclus. Au moins un réviseur de secours est nécessaire pour passer en revue ces groupes. S’il n’y a pas de propriétaire actif au début de la révision, les réviseurs de secours sont affectés à la révision.
Exemple 1 : Auto-révision
Pour configurer une révision automatique, ne spécifiez pas la propriété réviseurs ou fournissez un objet vide à la propriété.
Si l’étendue de révision d’accès correspondante cible les utilisateurs de connexion directe B2B et les équipes avec des canaux partagés, le propriétaire de l’équipe est affecté à la révision de l’accès pour les utilisateurs de connexion directe B2B.
"reviewers": []
Exemple 2 : Un utilisateur spécifique en tant que réviseur
"reviewers": [
{
"query": "/users/{userId}",
"queryType": "MicrosoftGraph"
}
]
Exemple 3 : Membres d’un groupe en tant que réviseurs
"reviewers": [
{
"query": "/groups/{groupId}/transitiveMembers",
"queryType": "MicrosoftGraph"
}
]
Exemple 4 : Propriétaires de groupe en tant que réviseurs
Lorsque la révision d’accès est limitée à un groupe, par exemple, des exemples 1 à 4 pour la configuration d’une étendue de révision d’accès.
"reviewers": [
{
"query": "/groups/{groupId}/owners",
"queryType": "MicrosoftGraph"
}
]
Lorsque la révision d’accès est limitée à un groupe et pour affecter uniquement les propriétaires de groupe d’un pays spécifique en tant que réviseurs :
"reviewers": [
{
"query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
"type": "MicrosoftGraph"
}
]
Lorsque la révision d’accès est étendue à tous les groupes, par exemple, exemples 5-9 pour la configuration d’une étendue de révision d’accès.
"reviewers": [
{
"query": "./owners",
"queryType": "MicrosoftGraph"
}
]
Exemple 5 : Personnes responsables en tant que réviseurs
Étant donné que ./manager est une requête relative, spécifiez la propriété queryRoot avec la valeur decisions.
Si l’étendue de révision d’accès correspondante cible les utilisateurs de connexion directe B2B et les équipes avec des canaux partagés, le propriétaire de l’équipe est affecté à la révision de l’accès pour les utilisateurs de connexion directe B2B.
"reviewers": [
{
"query": "./manager",
"queryType": "MicrosoftGraph",
"queryRoot": "decisions"
}
]
Exemple 6 : Propriétaires d’applications en tant que réviseurs
"reviewers": [
{
"query": "/servicePrincipals/{servicePrincipalId}/owners",
"queryType": "MicrosoftGraph"
}
]
Contenu connexe
- Configurer l’étendue de votre définition de révision d’accès
- Essayez des tutoriels pour découvrir comment utiliser l’API révisions d’accès pour passer en revue l’accès aux ressources Microsoft Entra
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour