Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las API de revisiones de acceso Microsoft Entra permiten revisar mediante programación el acceso que los usuarios, las entidades de servicio o los grupos tienen a los recursos de Microsoft Entra. En este artículo se explica cómo configurar todos los tipos de revisor en Microsoft Entra revisiones de acceso a través de Microsoft Graph, lo que le ayuda a automatizar el proceso de revisión y administración del acceso a Microsoft Entra recursos.
Los revisores principales se configuran en la propiedad reviewers del recurso access reviews accessReviewScheduleDefinition . También puede especificar revisores de reserva mediante la propiedad fallbackReviewers . Estas propiedades no son necesarias al crear una revisión automática, donde los usuarios revisan su propio acceso.
Para configurar los revisores y revisores de reserva, establezca los valores de las propiedades query, queryRoot y queryType del tipo de recurso accessReviewReviewerScope.
Nota:
La revisión de los grupos cuya pertenencia se rige por PIM para grupos asigna solo a los propietarios activos como revisores. Los propietarios aptos no están incluidos. Se requiere al menos un revisor de reserva para revisar estos grupos. Si no hay propietarios activos cuando comienza la revisión, los revisores de reserva se asignan a la revisión.
Ejemplo 1: Autoexavaluación
Para configurar una revisión automática, no especifique la propiedad reviewers ni proporcione un objeto vacío a la propiedad .
Si el ámbito de revisión de acceso correspondiente tiene como destino la conexión directa de B2B a usuarios y equipos con canales compartidos, se asigna al propietario del equipo que revise el acceso de los usuarios de conexión directa B2B.
"reviewers": []
Ejemplo 2: Un usuario específico como revisor
"reviewers": [
{
"query": "/users/{userId}",
"queryType": "MicrosoftGraph"
}
]
Ejemplo 3: Miembros de un grupo como revisores
"reviewers": [
{
"query": "/groups/{groupId}/transitiveMembers",
"queryType": "MicrosoftGraph"
}
]
Ejemplo 4: Propietarios de grupos como revisores
Cuando el ámbito de la revisión de acceso sea un grupo, consulte los ejemplos 1 a 4 para configurar un ámbito de revisión de acceso.
"reviewers": [
{
"query": "/groups/{groupId}/owners",
"queryType": "MicrosoftGraph"
}
]
Cuando el ámbito de la revisión de acceso es un grupo y para asignar solo a los propietarios del grupo de un país específico como revisores:
"reviewers": [
{
"query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
"type": "MicrosoftGraph"
}
]
Cuando la revisión de acceso se limita a todos los grupos, consulte los ejemplos 5-9 para configurar un ámbito de revisión de acceso.
"reviewers": [
{
"query": "./owners",
"queryType": "MicrosoftGraph"
}
]
Ejemplo 5: Personas administradores como revisores
Dado que ./manager es una consulta relativa, especifique la propiedad queryRoot como decisions.
Si el ámbito de revisión de acceso correspondiente tiene como destino la conexión directa B2B a usuarios y equipos con canales compartidos, el propietario del equipo revisa el acceso de los usuarios de conexión directa B2B.
"reviewers": [
{
"query": "./manager",
"queryType": "MicrosoftGraph",
"queryRoot": "decisions"
}
]
Ejemplo 6: Propietarios de aplicaciones como revisores
"reviewers": [
{
"query": "/servicePrincipals/{servicePrincipalId}/owners",
"queryType": "MicrosoftGraph"
}
]
Contenido relacionado
- Configure el ámbito de la definición de revisión de acceso.
- Pruebe los tutoriales para aprender a usar la API de revisiones de acceso para revisar el acceso a Microsoft Entra recursos.