Passer en revue l’accès à vos groupes de sécurité à l’aide de l’API révisions d’accès dans Microsoft Graph
L’API révisions d’accès dans Microsoft Graph permet aux organisations d’auditer et d’attester de l’accès que les identités (également appelées principaux) sont affectées aux ressources dans le organization. L’une des méthodes les plus efficaces pour gérer les privilèges d’accès des principaux à d’autres ressources consiste à utiliser des groupes de sécurité Azure AD. Par exemple, des centaines d’utilisateurs peuvent être affectés à un groupe de sécurité et le groupe de sécurité peut avoir accès à un dossier. À l’aide de l’API de révisions d’accès, les organisations peuvent régulièrement attester des principaux qui ont accès à ces groupes et, par extension, d’autres ressources dans le organization.
Supposons que vous utilisez des groupes de sécurité Azure AD pour attribuer des identités (également appelées principaux) l’accès aux ressources de votre organization. Régulièrement, vous devez attester que tous les membres du groupe de sécurité ont besoin de leur appartenance et, par extension, de leur accès aux ressources affectées au groupe de sécurité.
Ce tutoriel vous guide à utiliser l’API de révisions d’accès pour passer en revue l’accès à un groupe de sécurité dans votre locataire Azure AD. Vous pouvez utiliser Graph Explorer ou Postman pour tester et tester vos appels d’API de révision d’accès avant de les automatiser dans un script ou une application. Cet environnement de test vous permet de gagner du temps en vous aidant à définir et valider correctement vos requêtes sans recompiler votre application à plusieurs reprises.
Prerequisites
Pour suivre ce didacticiel, vous avez besoin des ressources et privilèges suivants :
- Un locataire Azure AD opérationnel avec une licence Azure AD Premium P2 ou EMS E5 activée.
- Connectez-vous à un client API tel que Graph Explorer, Postman ou créez votre propre application cliente pour appeler Microsoft Graph. Pour appeler des API Microsoft Graph dans ce tutoriel, vous devez utiliser un compte avec le rôle Administrateur général ou Administrateur de gouvernance des identités.
- [Facultatif] Ouvrez une nouvelle fenêtre de navigateur incognito, anonyme ou InPrivate . Vous vous connecterez plus loin dans ce tutoriel.
- Accordez-vous les autorisations déléguées suivantes :
AccessReview.ReadWrite.All,Group.ReadWrite.All.
Remarque
Les objets de réponse présentés dans ce didacticiel peuvent être raccourcis pour plus de lisibilité.
L’examen des groupes d’accès privilégiés affecte uniquement les propriétaires actifs en tant que réviseurs. Les propriétaires éligibles ne sont pas inclus. Au moins un réviseur de secours est requis pour une révision des groupes d’accès privilégié. S’il n’y a pas de propriétaire actif au début de la révision, les réviseurs de secours sont affectés à la révision.
Étape 1 : Créer des utilisateurs de test dans votre locataire
Créez trois nouveaux utilisateurs de test en exécutant la requête ci-dessous trois fois, en modifiant les valeurs des propriétés displayName, mailNickname et userPrincipalName à chaque fois. Enregistrez les ID des trois nouveaux utilisateurs de test.
Demande
POST https://graph.microsoft.com/v1.0/users
Content-Type: application/json
{
"accountEnabled": true,
"displayName": "Adele Vance",
"mailNickname": "AdeleV",
"userPrincipalName": "AdeleV@Contoso.com",
"passwordProfile": {
"forceChangePasswordNextSignIn": true,
"password": "xWwvJ]6NMw+bWH-d"
}
}
Réponse
Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
"id": "3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
"displayName": "Adele Vance",
"userPrincipalName": "AdeleV@Contoso.com"
}
Étape 2 : Créer un groupe de sécurité, attribuer des propriétaires et ajouter des membres
Créez un groupe de sécurité nommé Building security qui est la cible des révisions d’accès de ce didacticiel. Affectez à ce groupe un propriétaire de groupe et deux membres.
Demande
À l’étape précédente, vous avez créé trois utilisateurs de test. L’un des utilisateurs sera le propriétaire du groupe, tandis que les deux autres seront membres du groupe.
Dans cet appel, remplacez :
d3bcdff4-4f80-4418-a65e-7bf3778c5dcaavec l’ID du propriétaire de votre groupe.3b8ceebc-49e6-4e0c-9e14-c906374a7ef6etbf59c5ba-5304-4c9b-9192-e5a4cb8444e7avec les ID des deux membres du groupe.
POST https://graph.microsoft.com/v1.0/groups
Content-Type: application/json
{
"description": "Building security",
"displayName": "Building security",
"groupTypes": [],
"mailEnabled": false,
"mailNickname": "buildingsecurity",
"securityEnabled": true,
"owners@odata.bind": [
"https://graph.microsoft.com/beta/users/d3bcdff4-4f80-4418-a65e-7bf3778c5dca"
],
"members@odata.bind": [
"https://graph.microsoft.com/beta/users/3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
"https://graph.microsoft.com/beta/users/bf59c5ba-5304-4c9b-9192-e5a4cb8444e7"
]
}
Réponse
Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groups/$entity",
"id": "eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
"description": "Building security",
"displayName": "Building security",
"mailNickname": "buildingsecurity",
"securityEnabled": true
}
À partir de la réponse, enregistrez l’ID du nouveau groupe pour l’utiliser plus loin dans ce tutoriel.
Étape 3 : Créer une révision d’accès pour le groupe de sécurité
Demande
Dans cet appel, remplacez les valeurs suivantes :
eb75ccd2-59ef-48b7-8f76-cc3f33f899f4avec l’ID du groupe de sécurité Building . L’étendue spécifie que la révision est appliquée à tous les membres du groupe de sécurité Building . Pour plus d’options de configuration de l’étendue, consultez la section Voir aussi .- Valeur de startDate avec la date du jour et valeur de endDate avec une date cinq jours à partir de la date de début.
La révision d’accès a les paramètres suivants :
- Il s’agit d’une auto-révision, comme déduit lorsque vous ne spécifiez pas de valeur pour la propriété réviseurs . Par conséquent, chaque membre du groupe s’auto-atteste de son besoin de conserver l’accès au groupe.
- L’étendue de la révision est les membres (directs et indirects) du groupe de sécurité Building .
- Le réviseur doit fournir une justification de la raison pour laquelle il doit conserver l’accès au groupe.
- La décision par défaut est
Denylorsque les réviseurs ne répondent pas à la demande de révision d’accès avant l’expiration du instance. LaDenydécision supprime les membres du groupe du groupe. - Il s’agit d’une révision d’accès unique qui se termine au bout de cinq jours. Par conséquent, une fois l’accès accordé, l’utilisateur n’a pas besoin de s’auto-attester à nouveau pendant la période de révision d’accès.
- Les principaux définis dans l’étendue de la révision recevront des Notifications par e-mail et des rappels les invitant à attester eux-mêmes de leur besoin de maintenir l’accès.
POST https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions
Content-type: application/json
{
"displayName": "One-time self-review for members of Building security",
"descriptionForAdmins": "One-time self-review for members of Building security",
"descriptionForReviewers": "One-time self-review for members of Building security",
"scope": {
"query": "/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4/transitiveMembers",
"queryType": "MicrosoftGraph"
},
"instanceEnumerationScope": {
"query": "/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
"queryType": "MicrosoftGraph"
},
"settings": {
"mailNotificationsEnabled": true,
"reminderNotificationsEnabled": true,
"justificationRequiredOnApproval": true,
"defaultDecisionEnabled": true,
"defaultDecision": "Deny",
"instanceDurationInDays": 5,
"autoApplyDecisionsEnabled": true,
"recommendationsEnabled": true,
"recurrence": {
"pattern": null,
"range": {
"type": "numbered",
"numberOfOccurrences": 0,
"recurrenceTimeZone": null,
"startDate": "2022-02-11",
"endDate": "2022-02-16"
}
}
}
}
Réponse
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/accessReviews/definitions/$entity",
"id": "2d56c364-0695-4ec6-8b92-4c1db7c80f1b",
"displayName": "One-time self-review for members of Building security",
"createdDateTime": null,
"lastModifiedDateTime": null,
"status": "NotStarted",
"descriptionForAdmins": "One-time self-review for members of Building security",
"descriptionForReviewers": "One-time self-review for members of Building security",
"createdBy": {
"id": "bf59c5ba-5304-4c9b-9192-e5a4cb8444e7",
"displayName": "MOD Administrator",
"type": null,
"userPrincipalName": "admin@Contoso.com"
},
"scope": {},
"instanceEnumerationScope": {},
"reviewers": [],
"fallbackReviewers": [],
"settings": {
"mailNotificationsEnabled": true,
"reminderNotificationsEnabled": true,
"justificationRequiredOnApproval": true,
"defaultDecisionEnabled": true,
"defaultDecision": "Deny",
"instanceDurationInDays": 5,
"autoApplyDecisionsEnabled": true,
"recommendationsEnabled": true,
"recurrence": {
"pattern": null,
"range": {
"type": "numbered",
"numberOfOccurrences": 0,
"recurrenceTimeZone": null,
"startDate": "2022-02-11",
"endDate": "2022-02-16"
}
},
"applyActions": []
},
"additionalNotificationRecipients": []
}
La status de la révision d’accès ci-dessus est marquée comme NotStarted. Vous pouvez récupérer la révision d’accès (GEThttps://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b) pour surveiller la status et, lorsqu’elle est marquée comme InProgress, des instances ont été créées pour la révision d’accès et les décisions peuvent être publiées. Vous pouvez également récupérer la révision d’accès pour afficher les paramètres complets de la révision d’accès.
Étape 4 : Répertorier les instances de la révision d’accès
Une fois que le status de la révision d’accès est marqué comme InProgress, exécutez la requête suivante pour répertorier toutes les instances de la définition de révision d’accès. Étant donné que vous avez créé une révision d’accès unique à l’étape 3, la requête ne retourne qu’une seule instance avec un ID comme l’ID de la définition de planification.
Demande
Dans cet appel, remplacez par 2d56c364-0695-4ec6-8b92-4c1db7c80f1b l’ID de votre définition de révision d’accès retournée à l’étape 3.
GET https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/instances
Réponse
Dans cette réponse, la status de l’instance est InProgress que startDateTime est passé et endDateTime est dans le futur. Si startDateTime est à l’avenir, le status sera NotStarted. En revanche, si endDateTime est dans le passé, le status sera Completed.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/accessReviews/definitions('2d56c364-0695-4ec6-8b92-4c1db7c80f1b')/instances",
"value": [
{
"id": "2d56c364-0695-4ec6-8b92-4c1db7c80f1b",
"startDateTime": "2022-02-11T17:35:25.24Z",
"endDateTime": "2022-02-16T08:00:00Z",
"status": "InProgress",
"scope": {
"@odata.type": "#microsoft.graph.accessReviewQueryScope",
"query": "/v1.0/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4/transitiveMembers/microsoft.graph.user",
"queryType": "MicrosoftGraph",
"queryRoot": null
},
"reviewers": [],
"fallbackReviewers": []
}
]
}
Étape 5 : Qui a été contacté pour la révision ?
Vous pouvez confirmer que tous les membres du groupe de sécurité Bâtiment ont été contactés pour publier leurs décisions de révision pour cette instance de la révision d’accès.
Demande
Dans cet appel, remplacez par 2d56c364-0695-4ec6-8b92-4c1db7c80f1b l’ID de votre définition de planification de révision d’accès.
GET https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/instances/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/contactedReviewers
Réponse
La réponse suivante montre que les deux membres du groupe de sécurité Building ont été informés de leur examen en attente.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/accessReviews/definitions('2d56c364-0695-4ec6-8b92-4c1db7c80f1b')/instances('2d56c364-0695-4ec6-8b92-4c1db7c80f1b')/contactedReviewers",
"@odata.count": 2,
"value": [
{
"id": "3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
"displayName": "Adele Vance",
"userPrincipalName": "AdeleV@Contoso.com",
"createdDateTime": "2022-02-11T17:35:34.4092545Z"
},
{
"id": "bf59c5ba-5304-4c9b-9192-e5a4cb8444e7",
"displayName": "Alex Wilber",
"userPrincipalName": "AlexW@Contoso.com",
"createdDateTime": "2022-02-11T17:35:34.4092545Z"
}
]
}
Étape 6 : Obtenir des décisions
Vous êtes intéressé par les décisions prises pour la instance de la révision d’accès.
Demande
Dans cet appel, remplacez par 2d56c364-0695-4ec6-8b92-4c1db7c80f1b l’ID de votre définition de planification de révision d’accès et le instance.
GET https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/instances/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/decisions
Réponse
La réponse suivante présente les décisions prises sur la instance de l’examen. Étant donné que la sécurité du bâtiment a deux membres, deux éléments de décision sont attendus.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#identityGovernance/accessReviews/definitions('2d56c364-0695-4ec6-8b92-4c1db7c80f1b')/instances('2d56c364-0695-4ec6-8b92-4c1db7c80f1b')/decisions",
"@odata.count": 2,
"value": [
{
"id": "4db68765-472d-4aa2-847a-433ea94bcfaf",
"accessReviewId": "2d56c364-0695-4ec6-8b92-4c1db7c80f1b",
"reviewedDateTime": null,
"decision": "NotReviewed",
"justification": "",
"appliedDateTime": null,
"applyResult": "New",
"recommendation": "Approve",
"principalLink": "https://graph.microsoft.com/v1.0/users/bf59c5ba-5304-4c9b-9192-e5a4cb8444e7",
"resourceLink": "https://graph.microsoft.com/v1.0/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
"reviewedBy": {
"id": "00000000-0000-0000-0000-000000000000",
"displayName": "",
"type": null,
"userPrincipalName": ""
},
"appliedBy": {
"id": "00000000-0000-0000-0000-000000000000",
"displayName": "",
"type": null,
"userPrincipalName": ""
},
"resource": {
"id": "eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
"displayName": "Building security",
"type": "group"
},
"principal": {
"@odata.type": "#microsoft.graph.userIdentity",
"id": "bf59c5ba-5304-4c9b-9192-e5a4cb8444e7",
"displayName": "Alex Wilber",
"type": "user",
"userPrincipalName": "AlexW@Contoso.com",
"lastUserSignInDateTime": "2/11/2022 5:31:37 PM +00:00"
}
},
{
"id": "c7de8fba-4d6a-4fab-a659-62ff0c02643d",
"accessReviewId": "2d56c364-0695-4ec6-8b92-4c1db7c80f1b",
"reviewedDateTime": null,
"decision": "NotReviewed",
"justification": "",
"appliedDateTime": null,
"applyResult": "New",
"recommendation": "Approve",
"principalLink": "https://graph.microsoft.com/v1.0/users/3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
"resourceLink": "https://graph.microsoft.com/v1.0/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
"reviewedBy": {
"id": "00000000-0000-0000-0000-000000000000",
"displayName": "",
"type": null,
"userPrincipalName": ""
},
"appliedBy": {
"id": "00000000-0000-0000-0000-000000000000",
"displayName": "",
"type": null,
"userPrincipalName": ""
},
"resource": {
"id": "eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
"displayName": "Building security",
"type": "group"
},
"principal": {
"@odata.type": "#microsoft.graph.userIdentity",
"id": "3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
"displayName": "Adele Vance",
"type": "user",
"userPrincipalName": "AdeleV@Contoso.com",
"lastUserSignInDateTime": "2/11/2022 4:58:13 PM +00:00"
}
}
]
}
À partir de l’appel, la propriété de décision a la valeur de NotReviewed , car les membres du groupe n’ont pas terminé leur auto-attestation. Suivez l’étape 7 pour découvrir comment chaque membre peut s’auto-attester de son besoin de révision d’accès.
Étape 7 : Autorévisage d’une décision d’accès en attente
À l’étape 3, vous avez configuré la révision d’accès comme auto-révision. Cette configuration nécessite que les deux membres du groupe de sécurité Building témoignent eux-mêmes de leur besoin de conserver leur accès au groupe.
Remarque
Effectuez cette étape en tant que l’un des deux membres du groupe de sécurité Building .
Dans cette étape, vous allez répertorier vos révisions d’accès en attente, puis terminer le processus d’auto-attestation. Vous pouvez effectuer cette étape de l’une des deux manières suivantes : à l’aide de l’API ou du portail Mon accès. L’autre réviseur ne terminera pas ce processus et à la place, vous laisserez les décisions par défaut être appliquées à sa révision d’accès.
Démarrez une nouvelle session de navigateur de navigation incognito, anonyme ou InPrivate , puis connectez-vous en tant que l’un des deux membres du groupe de sécurité Building . Ce faisant, vous n’interrompez pas votre session administrateur actuelle. Nous allons nous connecter en tant que Adele Vance. Vous pouvez également interrompre votre session d’administrateur actuelle en vous déconnectez de graph Explorer et en vous reconnectant en tant que l’un des deux membres du groupe.
Méthode 1 : Utiliser l’API de révisions d’accès pour auto-réviser l’accès en attente
Répertorier les éléments de décision des révisions d’accès
Dans cet appel, remplacez par 2d56c364-0695-4ec6-8b92-4c1db7c80f1b l’ID de votre définition de planification de révision d’accès.
Demande
GET https://graph.microsoft.com/v1.0/identitygovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/instances/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/decisions/filterByCurrentUser(on='reviewer')
Réponse
À partir de la réponse ci-dessous, vous (Adèle Vance) avez une révision d’accès en attente (la décision est NotReviewed) à attester automatiquement. Les propriétés du principal et de la ressource indiquent le principal auquel la décision s’applique et la ressource à laquelle l’accès est en cours d’examen. Dans ce cas, Adele Vance et le groupe de sécurité Building respectivement.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(accessReviewInstanceDecisionItem)",
"@odata.count": 1,
"value": [
{
"@odata.type": "#microsoft.graph.accessReviewInstanceDecisionItem",
"id": "c7de8fba-4d6a-4fab-a659-62ff0c02643d",
"accessReviewId": "2d56c364-0695-4ec6-8b92-4c1db7c80f1b",
"reviewedDateTime": null,
"decision": "NotReviewed",
"justification": "",
"appliedDateTime": null,
"applyResult": "New",
"recommendation": "Approve",
"principalLink": "https://graph.microsoft.com/v1.0/users/3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
"resourceLink": "https://graph.microsoft.com/v1.0/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
"reviewedBy": {
"id": "00000000-0000-0000-0000-000000000000",
"displayName": "",
"type": null,
"userPrincipalName": ""
},
"appliedBy": {
"id": "00000000-0000-0000-0000-000000000000",
"displayName": "",
"type": null,
"userPrincipalName": ""
},
"resource": {
"id": "eb75ccd2-59ef-48b7-8f76-cc3f33f899f4",
"displayName": "Building security",
"type": "group"
},
"principal": {
"@odata.type": "#microsoft.graph.userIdentity",
"id": "3b8ceebc-49e6-4e0c-9e14-c906374a7ef6",
"displayName": "Adele Vance",
"type": "user",
"userPrincipalName": "AdeleV@Contoso.com",
"lastUserSignInDateTime": "2/15/2022 9:35:23 AM +00:00"
}
}
]
}
Enregistrer une décision
Pour terminer la révision d’accès, Adele Vance confirme la nécessité de conserver l’accès au groupe de sécurité Building .
Demande
Dans cet appel, remplacez par 2d56c364-0695-4ec6-8b92-4c1db7c80f1b l’ID de votre définition de planification de révision d’accès et c7de8fba-4d6a-4fab-a659-62ff0c02643d par l’ID de l’élément de décision en attente retourné à l’étape précédente.
PATCH https://graph.microsoft.com/v1.0/identitygovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/instances/2d56c364-0695-4ec6-8b92-4c1db7c80f1b/decisions/c7de8fba-4d6a-4fab-a659-62ff0c02643d
{
"decision": "Approve",
"justification": "As the assistant security manager, I still need access to the building security group."
}
Réponse
HTTP/1.1 204 No Content
Vérifier les décisions
Pour vérifier les décisions que vous avez enregistrées pour votre révision d’accès, répertoriez vos éléments de décision de révision d’accès. Bien que la période de révision d’accès n’ait pas expiré et que les décisions ne s’appliquent pas, le résultat applyResult est marqué comme New et vous êtes autorisé à modifier la décision.
Vous pouvez maintenant vous déconnecter et quitter la session de navigateur incognito.
Méthode 2 : Utiliser le portail Mon accès
Les réviseurs peuvent également visiter le portail Mon accès pour case activée leurs instances de révision d’accès en attente.
Répertoriez les révisions d’accès en attente. L’utilisateur peut suivre l’une des deux façons d’y accéder :
- Option 1 : Sélectionnez le bouton Vérifier l’accès dans la notification par e-mail qu’ils ont reçue dans leur boîte de réception. La notification par e-mail est semblable à la capture d’écran suivante. La sélection de ce bouton les dirige vers la révision d’accès en attente.
- Option 2 : accédez au portail Mon accès . Sélectionnez le menu Révisions d’accès , puis sélectionnez l’onglet Groupes et applications .
Dans la liste des révisions d’accès, sélectionnez la révision d’accès pour laquelle vous souhaitez publier la décision. Sélectionnez Oui pour publier la décision que vous avez toujours besoin d’accéder à Sécurité du bâtiment. Entrez une raison, puis sélectionnez Envoyer.
Vous pouvez maintenant vous déconnecter et quitter la session de navigateur incognito.
Étape 8 : Confirmer les décisions et les status de la révision d’accès
De retour dans la session de navigateur main où vous êtes toujours connecté en tant qu’administrateur général, répétez l’étape 4 pour voir que la propriété de décision pour Adele Vance est maintenant Approve. Lorsque la révision d’accès se termine ou expire, la décision par défaut de Deny est enregistrée pour Alex Wilber. Les décisions seront ensuite automatiquement appliquées, car autoApplyDecisionsEnabled a été défini true sur et la période de révision d’accès instance sera terminée. Adele conserve ensuite l’accès au groupe de sécurité Building et Alex est automatiquement supprimé du groupe.
Félicitations ! Vous avez créé une révision d’accès et vous vous êtes auto-attesté de votre besoin de maintenir l’accès. Vous ne vous êtes auto-attesté qu’une seule fois et conservez l’accès jusqu’à ce qu’il soit supprimé par une Deny décision d’un autre instance de révision d’accès ou par le biais d’un autre processus interne.
Étape 9 : Nettoyer les ressources
Supprimez les ressources que vous avez créées pour ce didacticiel : le groupe de sécurité Création , la définition de planification de révision d’accès et les trois utilisateurs de test.
Supprimer le groupe de sécurité
Demande
Dans cet appel, remplacez par eb75ccd2-59ef-48b7-8f76-cc3f33f899f4l’ID de Sécurité du bâtiment.
DELETE https://graph.microsoft.com/beta/groups/eb75ccd2-59ef-48b7-8f76-cc3f33f899f4
Réponse
HTTP/1.1 204 No Content
Supprimer la définition de révision d’accès
Dans cet appel, remplacez par 2d56c364-0695-4ec6-8b92-4c1db7c80f1b l’ID de votre définition de révision d’accès. Étant donné que la définition de la planification de révision d’accès est le blueprint de la révision d’accès, la suppression de la définition entraîne la suppression des paramètres, des instances et des décisions.
Demande
DELETE https://graph.microsoft.com/beta/identityGovernance/accessReviews/definitions/2d56c364-0695-4ec6-8b92-4c1db7c80f1b
Réponse
HTTP/1.1 204 No Content
Supprimer les trois utilisateurs de test
Dans cet appel, remplacez par 3b8ceebc-49e6-4e0c-9e14-c906374a7ef6 l’ID de l’un de vos utilisateurs de test. Répétez cette étape deux fois avec les ID des deux autres utilisateurs pour les supprimer.
Demande
DELETE https://graph.microsoft.com/beta/users/3b8ceebc-49e6-4e0c-9e14-c906374a7ef6
Réponse
HTTP/1.1 204 No Content
Conclusion
Vous avez créé une révision d’accès dans laquelle les principaux ont auto-attesté de leur besoin de conserver leur accès à une ressource, dans ce cas, le groupe de sécurité Building .
Ce tutoriel a montré l’un des scénarios de l’API de révisions d’accès Azure AD. L’API révisions d’accès prend en charge différents scénarios par le biais d’une combinaison de ressources, de principaux et de réviseurs pour répondre à vos besoins d’attestation d’accès. Pour plus d’informations, consultez l’API révisions d’accès.