Revisiones de acceso de Microsoft Entra (en desuso)
Espacio de nombres: microsoft.graph
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Precaución
Esta versión de la API de revisión de acceso está en desuso y dejará de devolver datos el 19 de mayo de 2023. Use la API de revisiones de acceso.
Puede usar las revisiones de acceso de Microsoft Entra para configurar revisiones de acceso periódicas o únicas para la atestación de los derechos de acceso del usuario.
Los escenarios típicos de cliente para las revisiones de acceso de pertenencias a grupos y acceso a aplicaciones son:
Los clientes pueden revisar y certificar el acceso de los usuarios invitados mediante revisiones de acceso de su acceso a las aplicaciones y pertenencias a grupos. Los revisores pueden usar la información que se proporciona para decidir de forma eficaz si los invitados deben tener acceso continuo.
Los clientes pueden revisar y certificar el acceso de los empleados a aplicaciones y pertenencias a grupos con revisiones de acceso.
Los clientes pueden recopilar controles de revisión de acceso en programas que son pertinentes para que su organización realice un seguimiento de las revisiones de las aplicaciones de cumplimiento o de riesgo.
También hay una funcionalidad relacionada para que los clientes revisen y certifiquen las asignaciones de roles de los usuarios administrativos que están asignados a roles de Microsoft Entra o roles de suscripción de Azure . Esta funcionalidad se incluye en Microsoft Entra Privileged Identity Management.
El inquilino donde se crea o administra una revisión de acceso a través de la API debe tener suficientes licencias compradas o de prueba. Para obtener más información sobre los requisitos de licencia, consulte Requisitos de licencia de revisiones de acceso.
Antes de crear un control de revisión de acceso, programa o programa, un administrador debe haberse incorporado previamente para preparar los recursos programControlType y businessFlowTemplate . La organización puede incorporarse a las revisiones de acceso de Microsoft Entra o, en el caso de las revisiones de acceso de roles de Microsoft Entra o roles de suscripción de Azure, Microsoft Entra PIM.
Métodos
En la tabla siguiente se enumeran los métodos que puede usar para interactuar con recursos relacionados con la revisión de acceso.
| Método | Tipo devuelto | Descripción |
|---|---|---|
| Obtener accessReview | accessReview | Obtenga una revisión de acceso con un identificador específico. |
| Creación de accessReview | accessReview | Cree un nuevo accessReview. |
| Eliminar accessReview | Ninguno. | Eliminar un accessReview. |
| Actualizar accessReview | accessReview | Actualice accessReview. |
| Lista de accesoOpiniones | colección accessReview | Enumerar accessOpiniones para una clase businessFlowTemplate. |
| Enumeración de los revisores de accessReview | colección userIdentity | Obtenga los revisores de un accessReview. |
| Agregar accessReview reviewer | Ninguno. | Agregue un revisor a accessReview. |
| Quitar accessReview reviewer | Ninguno. | Quite un revisor de accessReview. |
| Enumerar las decisiones de accessReview | colección accessReviewDecision | Obtenga las decisiones de un accessReview. |
| Enumerar mis decisiones de accessReview | colección accessReviewDecision | Como revisor, obtenga mis decisiones de accessReview. |
| Enviar aviso de accessReview | Ninguno. | Envíe un recordatorio a los revisores de accessReview. |
| Detener accessReview | Ninguno. | Detenga un accessReview. |
| Restablecer las decisiones de accessReview | Ninguno. | Restablezca las decisiones en un accessReview en curso. |
| Aplicación de decisiones de accessReview | Ninguno. | Aplique las decisiones de un accessReview completado. |
| Enumerar businessFlowTemplates | colección businessFlowTemplate | Obtenga las plantillas de flujo de negocio adecuadas para acceder a las revisiones. |
| Creación de un programa | programa | Cree un nuevo programa. |
| Eliminar programa | Ninguno. | Eliminar un programa. |
| Enumerar programas | colección de programas | Obtenga una colección de todos los programas. |
| Enumerar programControls de un programa | colección programControl | Obtenga una colección de los controles de un programa. |
| Actualizar programa | programa | Actualizar un programa. |
| Crear programControl | programControl | Agregue un control programControl a un programa. |
| Eliminar programControl | Ninguno. | Quitar un control programControl de un programa. |
| Enumerar programControls | colección programControl | Enumera los controles de todos los programas del inquilino. |
| Enumerar programControlTypes | colección programControlType | Enumera los tipos de control de programa. |
Comprobaciones de autorización de permisos de rol y aplicación
Los siguientes roles de directorio son necesarios para que un usuario que realiza la llamada administre revisiones de acceso, programas y controles.
| Recurso de destino | Operación | Permisos de la aplicación | Roles de directorio con privilegios mínimos del usuario que realiza la llamada |
|---|---|---|---|
| accessReview de un rol de Microsoft Entra | Lectura | AccessReview.Read.All o AccessReview.ReadWrite.All | Lector global, administrador de seguridad, lector de seguridad o administrador de roles con privilegios |
| accessReview de un rol de Microsoft Entra | Crear, actualizar o eliminar | AccessReview.ReadWrite.All | Administrador de roles con privilegios |
| accessReview de un grupo o aplicación | Lectura | AccessReview.Read.All, AccessReview.ReadWrite.Membership o AccessReview.ReadWrite.All | Lector global, administrador de seguridad, lector de seguridad o administrador de usuarios |
| accessReview de un grupo o aplicación | Crear, actualizar o eliminar | AccessReview.ReadWrite.Membership o AccessReview.ReadWrite.All | Administrador de usuarios |
| program y programControl | Lectura | ProgramControl.Read.All o ProgramControl.ReadWrite.All | Lector global, administrador de seguridad, lector de seguridad o administrador de usuarios |
| program y programControl | Crear, actualizar o eliminar | ProgramControl.ReadWrite.All | Administrador de usuarios |
Además, un usuario que sea un revisor asignado de una revisión de acceso puede administrar sus decisiones, sin necesidad de tener un rol de directorio.
Contenido relacionado
- Cómo un administrador puede administrar el acceso de usuario con las revisiones de acceso de Microsoft Entra
- Cómo un administrador puede administrar el acceso de invitado con las revisiones de acceso de Microsoft Entra
- Cómo un administrador puede administrar programas y controles para las revisiones de acceso de Microsoft Entra