Introducción a las API de revisiones de acceso
Espacio de nombres: microsoft.graph
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Nota:
Esta es la API recomendada para las revisiones de acceso. La versión anterior de la API de revisiones de acceso está en desuso .
Use Microsoft Entra revisiones de acceso para configurar revisiones de acceso periódicas o únicas para la atestación del derecho de una entidad de seguridad a acceder a Microsoft Entra recursos. Las entidades de seguridad son usuarios o aplicaciones (entidades de servicio). Los recursos Microsoft Entra incluyen grupos, aplicaciones (entidades de servicio), paquetes de acceso y roles con privilegios. Las revisiones de acceso son una característica de Gobierno de Microsoft Entra ID.
Entre los escenarios típicos de clientes para las revisiones de acceso se incluyen:
- Los clientes pueden revisar y certificar el acceso de los usuarios invitados a los grupos a través de pertenencias a grupos. Los revisores pueden usar la información que se proporciona para decidir de forma eficaz si los invitados deben tener acceso continuo.
- Los clientes pueden revisar y certificar el acceso de los empleados a Microsoft Entra recursos.
- Los clientes pueden revisar y auditar las asignaciones a Microsoft Entra ID roles con privilegios. Esto admite organizaciones en la administración del acceso con privilegios.
El inquilino donde se crea o administra una revisión de acceso a través de la API debe tener suficientes licencias compradas o de prueba. Para obtener más información sobre los requisitos de licencia, consulte Requisitos de licencia de revisiones de acceso.
Nota:
En este artículo se describe cómo exportar datos personales desde un dispositivo o servicio. Estos pasos se pueden usar para respaldar sus obligaciones en virtud del Reglamento general de protección de datos (RGPD). Los administradores de inquilinos autorizados pueden usar Microsoft Graph para corregir, actualizar o eliminar información de identificación sobre los usuarios finales, incluidos los perfiles de usuario de clientes y empleados o los datos personales, como el nombre de un usuario, el título del trabajo, la dirección o el número de teléfono, en su entorno de Microsoft Entra ID.
Métodos
En la tabla siguiente se enumeran los métodos que puede usar para interactuar con recursos relacionados con la revisión de acceso.
| Método | Tipo devuelto | Description |
|---|---|---|
| Definiciones de programación | ||
| Definiciones de lista | colección accessReviewScheduleDefinition | Obtenga una lista de los objetos accessReviewScheduleDefinition y sus propiedades. |
| Obtener accessReviewScheduleDefinition | accessReviewScheduleDefinition | Obtenga un objeto accessReviewScheduleDefinition y sus propiedades. |
| definiciones de Create | accessReviewScheduleDefinition | Create un nuevo accessReviewScheduleDefinition. |
| Eliminar accessReviewScheduleDefinition | Ninguno | Elimine un accessReviewScheduleDefinition. |
| Actualizar accessReviewScheduleDefinition | Ninguno | Actualice las propiedades de un accessReviewScheduleDefinition con un identificador especificado. |
| filterByCurrentUser | colección accessReviewScheduleDefinition | Recupera todas las definiciones para las que el usuario que realiza la llamada es un revisor en una o varias instancias. |
| Instancias | ||
| List instances | colección accessReviewInstance | Obtenga una lista de los objetos accessReviewInstance y sus propiedades. |
| Obtener accessReviewInstance | accessReviewInstance | Lea las propiedades y relaciones de un objeto accessReviewInstance . |
| sendReminder | Ninguno | Envíe un recordatorio a los revisores de una accessReviewInstance. |
| stop | Ninguno | Detenga manualmente una accessReviewInstance. |
| acceptRecommendations | Ninguno | Permite que el usuario que realiza la llamada acepte la recomendación de decisión para cada accessReviewInstanceDecisionItem notreviewed en el que sea el revisor de un accessReviewInstance específico. |
| applyDecisions | Ninguno | Aplique manualmente las decisiones en accessReviewInstance. |
| batchRecordDecisions | Ninguno | Revise los lotes de entidades de seguridad o recursos en una llamada. |
| resetDecisions | Ninguno | Restablece todos los elementos de decisión de una instancia a notReviewed. |
| filterByCurrentUser | colección accessReviewInstance | Devuelve todas las instancias de un accessReviewScheduleDefinition determinado para el que el usuario que realiza la llamada es el revisor de una o varias decisiones. |
| Elementos de decisión de instancia | ||
| Enumerar decisiones | colección accessReviewInstanceDecisionItem | Obtenga una lista de los objetos accessReviewInstanceDecisionItem y sus propiedades. |
| Obtener accessReviewInstanceDecisionItem | accessReviewInstanceDecisionItem | Lea las propiedades y relaciones de un objeto accessReviewInstanceDecisionItem . |
| Actualizar accessReviewInstanceDecisionItem | Ninguno | Para cualquier accessReviewInstanceDecisionItems al que se asigne un revisor al usuario que realiza la llamada, el usuario que realiza la llamada puede registrar una decisión mediante la aplicación de revisiones al objeto de decisión. |
| filterByCurrentUser | colección accessReviewInstanceDecisionItem | Recupera todos los objetos accessReviewInstanceDecisionItems donde el uso de la llamada es el revisor de un accessReviewInstance determinado. |
| listPendingApproval (en desuso) | colección accessReviewInstanceDecisionItem | Obtenga todos los accessReviewInstanceDecisionItems asignados al usuario que realiza la llamada, para un accessReviewInstance específico. Este método está en desuso y se reemplaza por accessReviewInstanceDecisionItem: filterByCurrentUser. |
| Definiciones de historial | ||
| Historial de listasDefinitions | colección accessReviewHistoryDefinition | Obtenga una lista de los objetos accessReviewHistoryDefinition y sus propiedades. |
| historial de Create Definitions | accessReviewHistoryDefinition | Create un nuevo objeto accessReviewHistoryDefinition. |
| Obtener accessReviewHistoryDefinition | accessReviewHistoryDefinition | Lea las propiedades y relaciones de un objeto accessReviewHistoryDefinition . |
| generateDownloadUri | accessReviewHistoryInstance | Genere un URI para una instancia que se pueda usar para recuperar datos del historial de revisión. |
| List instances | accessReviewHistoryInstance | Recupere una lista de los objetos accessReviewHistoryInstance y sus propiedades. |
| Directiva | ||
| Obtener accessReviewPolicy | accessReviewPolicy | Lea las propiedades y relaciones de un objeto accessReviewPolicy . |
| Actualizar accessReviewPolicy | accessReviewPolicy | Actualice las propiedades de un objeto accessReviewPolicy . |
| Enumerar definiciones pendientes de aprobación (en desuso ) | colección accessReviewScheduleDefinition | Recupera todas las definiciones para las que el usuario que realiza la llamada es un revisor en una o varias instancias. Este método está en desuso y se reemplaza por accessReviewScheduleDefinition: filterByCurrentUser. |
| Enumerar pendingAccessReviewInstances (en desuso ) | colección accessReviewInstance | Obtenga todos los recursos accessReviewInstance pendientes asignados al usuario que realiza la llamada. Este método está en desuso y se reemplaza por accessReviewInstance: filterByCurrentUser. |
Comprobaciones de autorización de permisos de rol y aplicación
Los siguientes roles de Microsoft Entra son necesarios para que un usuario que realiza la llamada administre las revisiones de acceso.
| Operación | Permisos de la aplicación | Rol de directorio con privilegios mínimos del usuario que realiza la llamada |
|---|---|---|
| Lectura | AccessReview.Read.All o AccessReview.ReadWrite.All | Lector global, administrador de seguridad, lector de seguridad o administrador de usuarios |
| Create, actualizar o eliminar | AccessReview.ReadWrite.All | Administrador de usuarios |
Además, un usuario que sea un revisor asignado de una revisión de acceso puede administrar sus decisiones, sin necesidad de tener un rol de directorio.
Contenido relacionado
- Recorra tutoriales guiados para aprender a usar la API de revisiones de acceso para revisar el acceso a Microsoft Entra recursos.