Partager via


Vue d’ensemble des API de révisions d’accès

Espace de noms: microsoft.graph

Importante

Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .

Remarque

Il s’agit de l’API recommandée pour les révisions d’accès. La version précédente de l’API révisions d’accès est déconseillée.

Utilisez Microsoft Entra révisions d’accès pour configurer des révisions d’accès ponctuelles ou périodiques pour l’attestation du droit d’un principal d’accéder aux ressources Microsoft Entra. Les principaux sont des utilisateurs ou des applications (principaux de service). Les ressources Microsoft Entra incluent des groupes, des applications (principaux de service), des packages d’accès et des rôles privilégiés. Les révisions d’accès sont une fonctionnalité de Gouvernance Microsoft Entra ID.

Les scénarios clients classiques pour les révisions d’accès sont les suivants :

  • Les clients peuvent vérifier et certifier l’accès des utilisateurs invités aux groupes par le biais d’appartenances aux groupes. Les réviseurs peuvent utiliser les insights fournis pour décider efficacement si les invités doivent disposer d’un accès continu.
  • Les clients peuvent examiner et certifier l’accès des employés aux ressources Microsoft Entra.
  • Les clients peuvent examiner et auditer les affectations pour Microsoft Entra ID rôles privilégiés. Cela prend en charge les organisations dans la gestion de l’accès privilégié.

Le locataire où une révision d’accès est créée ou gérée via l’API doit disposer de licences achetées ou d’essai suffisantes. Pour plus d’informations sur les conditions requises pour les licences, consultez Révisions d’accès sur les conditions requises pour les licences.

Remarque

Cet article explique comment exporter des données personnelles à partir d’un appareil ou d’un service. Ces étapes peuvent être utilisées pour prendre en charge vos obligations en vertu du Règlement général sur la protection des données (RGPD). Les administrateurs de locataires autorisés peuvent utiliser Microsoft Graph pour corriger, mettre à jour ou supprimer des informations d’identification sur les utilisateurs finaux, y compris les profils utilisateur des clients et des employés ou les données personnelles, telles que le nom, la fonction professionnelle, l’adresse ou le numéro de téléphone d’un utilisateur, dans votre environnement de Microsoft Entra ID.

Méthodes

Le tableau suivant répertorie les méthodes que vous pouvez utiliser pour interagir avec les ressources liées à la révision d’accès.

Méthode Type de retour Description
Définitions de planification
Définitions de liste collection accessReviewScheduleDefinition Obtenez la liste des objets accessReviewScheduleDefinition et de leurs propriétés.
Obtenir accessReviewScheduleDefinition accessReviewScheduleDefinition Obtient un objet accessReviewScheduleDefinition et ses propriétés.
Create définitions accessReviewScheduleDefinition Create un nouvel accessReviewScheduleDefinition.
Supprimer accessReviewScheduleDefinition Aucune Supprimez un accessReviewScheduleDefinition.
Mettre à jour accessReviewScheduleDefinition Aucune Mettez à jour les propriétés d’un accessReviewScheduleDefinition avec un identificateur spécifié.
filterByCurrentUser collection accessReviewScheduleDefinition Récupère toutes les définitions pour lesquelles l’utilisateur appelant est réviseur sur un ou plusieurs instance.
Cas
Répertorier la liste des instances collection accessReviewInstance Obtenez la liste des objets accessReviewInstance et leurs propriétés.
Obtenir accessReviewInstance accessReviewInstance Lisez les propriétés et les relations d’un objet accessReviewInstance .
sendReminder Aucune Envoyez un rappel aux réviseurs d’un accessReviewInstance.
stop Aucune Arrêtez manuellement une accessReviewInstance.
acceptRecommendations Aucune Permet à l’utilisateur appelant d’accepter la recommandation de décision pour chaque objet NotReviewed accessReviewInstanceDecisionItem sur lequel il est le réviseur pour un accessReviewInstance spécifique.
applyDecisions Aucune Appliquer manuellement des décisions sur un accessReviewInstance.
batchRecordDecisions Aucune Passez en revue les lots de principaux ou de ressources dans un appel.
resetDecisions Aucune Réinitialise tous les éléments de décision sur un instance à notReviewed.
filterByCurrentUser collection accessReviewInstance Retourne toutes les instances sur un accessReviewScheduleDefinition donné pour lequel l’utilisateur appelant est le réviseur d’une ou plusieurs décisions.
Éléments de décision d’instance
Répertorier les décisions. collection accessReviewInstanceDecisionItem Obtenez la liste des objets accessReviewInstanceDecisionItem et leurs propriétés.
Obtenir accessReviewInstanceDecisionItem accessReviewInstanceDecisionItem Lisez les propriétés et les relations d’un objet accessReviewInstanceDecisionItem .
Mettre à jour accessReviewInstanceDecisionItem Aucune Pour tous les accessReviewInstanceDecisionItems auxquels un réviseur est affecté à l’utilisateur appelant, l’utilisateur appelant peut enregistrer une décision en corrigeant l’objet de décision.
filterByCurrentUser collection accessReviewInstanceDecisionItem Récupère tous les objets accessReviewInstanceDecisionItems dont l’utilisation appelante est le réviseur pour un accessReviewInstance donné.
listPendingApproval (déconseillé) collection accessReviewInstanceDecisionItem Obtenez tous les accessReviewInstanceDecisionItems attribués à l’utilisateur appelant, pour un accessReviewInstance spécifique. Cette méthode est déconseillée et remplacée par accessReviewInstanceDecisionItem : filterByCurrentUser.
Définitions d’historique
Historique des listesDefinitions collection accessReviewHistoryDefinition Obtenez la liste des objets accessReviewHistoryDefinition et de leurs propriétés.
Create historyDefinitions accessReviewHistoryDefinition Create un nouvel objet accessReviewHistoryDefinition.
Obtenir accessReviewHistoryDefinition accessReviewHistoryDefinition Lisez les propriétés et les relations d’un objet accessReviewHistoryDefinition .
generateDownloadUri accessReviewHistoryInstance Générez un URI pour un instance qui peut être utilisé pour récupérer des données d’historique de révision.
Répertorier la liste des instances accessReviewHistoryInstance Récupérez la liste des objets accessReviewHistoryInstance et leurs propriétés.
Stratégie
Obtenir accessReviewPolicy accessReviewPolicy Lire les propriétés et les relations d’un objet accessReviewPolicy .
Mettre à jour accessReviewPolicy accessReviewPolicy Mettez à jour les propriétés d’un objet accessReviewPolicy .
Définitions de liste en attente d’approbation (déconseillé) collection accessReviewScheduleDefinition Récupère toutes les définitions pour lesquelles l’utilisateur appelant est réviseur sur un ou plusieurs instance. Cette méthode est déconseillée et remplacée par accessReviewScheduleDefinition : filterByCurrentUser.
List pendingAccessReviewInstances (déconseillé) collection accessReviewInstance Obtenez toutes les ressources accessReviewInstance en attente affectées à l’utilisateur appelant. Cette méthode est déconseillée et remplacée par accessReviewInstance : filterByCurrentUser.

Vérifications de l’autorisation des rôles et des autorisations d’application

Les rôles Microsoft Entra suivants sont requis pour qu’un utilisateur appelant gère les révisions d’accès.

Opération Autorisations de l’application Rôle d’annuaire avec privilèges minimum de l’utilisateur appelant
Lecture AccessReview.Read.All ou AccessReview.ReadWrite.All Lecteur général, Administrateur de la sécurité, Lecteur de sécurité ou Administrateur d’utilisateurs
Create, Mettre à jour ou Supprimer AccessReview.ReadWrite.All Administrateur d’utilisateurs

En outre, un utilisateur qui est un réviseur affecté d’une révision d’accès peut gérer ses décisions, sans avoir besoin d’être dans un rôle d’annuaire.

  • Suivez des tutoriels guidés pour apprendre à utiliser l’API de révisions d’accès pour passer en revue l’accès aux ressources Microsoft Entra.