Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As APIs Microsoft Entra de revisões de acesso permitem-lhe rever programaticamente o acesso que os utilizadores, principais de serviço ou grupos têm aos seus recursos Microsoft Entra. Este artigo explica como configurar todos os tipos de revisores no Microsoft Entra revisões de acesso através do Microsoft Graph, ajudando-o a automatizar o processo de revisão e gestão do acesso a recursos Microsoft Entra.
Os revisores principais são configurados na propriedade revisores do recurso accessReviewScheduleDefinition das revisões de acesso. Também pode especificar revisores de contingência com a propriedade fallbackReviewers . Estas propriedades não são necessárias quando cria uma auto-revisão, em que os utilizadores revêm o seu próprio acesso.
Para configurar os revisores e revisores de contingência, defina os valores das propriedades queryRoot e queryType do tipo de recurso accessReviewReviewerScope.
Observação
Revisão de grupos cuja associação é regida através do PIM para grupos atribui apenas proprietários ativos como revisores. Os proprietários elegíveis não estão incluídos. É necessário, pelo menos, um revisor de contingência para rever estes grupos. Se não existirem proprietários ativos quando a revisão começar, os revisores de contingência serão atribuídos à revisão.
Exemplo 1: uma revisão automática
Para configurar uma revisão automática, não especifique a propriedade revisores nem forneça um objeto vazio à propriedade.
Se o âmbito de revisão de acesso correspondente se destinar a utilizadores e equipas B2B de ligação direta com canais partilhados, o proprietário da equipa será atribuído para rever o acesso dos utilizadores do B2B Direct Connect.
"reviewers": []
Exemplo 2: um utilizador específico como revisor
"reviewers": [
{
"query": "/users/{userId}",
"queryType": "MicrosoftGraph"
}
]
Exemplo 3: membros de um grupo como revisores
"reviewers": [
{
"query": "/groups/{groupId}/transitiveMembers",
"queryType": "MicrosoftGraph"
}
]
Exemplo 4: Proprietários de grupos como revisores
Quando a revisão de acesso estiver confinada a um grupo, veja exemplos 1 a 4 para configurar um âmbito de revisão de acesso.
"reviewers": [
{
"query": "/groups/{groupId}/owners",
"queryType": "MicrosoftGraph"
}
]
Quando a revisão de acesso está confinada a um grupo e para atribuir apenas os proprietários de grupos de um país específico como revisores:
"reviewers": [
{
"query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
"type": "MicrosoftGraph"
}
]
Quando a revisão de acesso estiver confinada a todos os grupos, veja exemplos 5 a 9 para configurar um âmbito de revisão de acesso.
"reviewers": [
{
"query": "./owners",
"queryType": "MicrosoftGraph"
}
]
Exemplo 5: Pessoas gestores como revisores
Como ./manager é uma consulta relativa, especifique a propriedade queryRoot como decisions.
Se o âmbito de revisão de acesso correspondente se destinar a utilizadores e equipas de ligação direta B2B com canais partilhados, o proprietário da equipa revê o acesso dos utilizadores B2B de ligação direta.
"reviewers": [
{
"query": "./manager",
"queryType": "MicrosoftGraph",
"queryRoot": "decisions"
}
]
Exemplo 6: Proprietários de aplicações como revisores
"reviewers": [
{
"query": "/servicePrincipals/{servicePrincipalId}/owners",
"queryType": "MicrosoftGraph"
}
]
Conteúdo relacionado
- Configure o âmbito da definição de revisão de acesso.
- Experimente tutoriais para saber como utilizar a API de revisões de acesso para rever o acesso aos recursos Microsoft Entra.