Compartilhar via


Atribuir revisores a revisões de acesso usando APIs de revisões de acesso

A API de Microsoft Entra acesso permite que você examine programaticamente o acesso que usuários, entidades de serviço ou grupos têm aos seus recursos de Microsoft Entra.

Os revisores primários são configurados na propriedade revisores do recurso accessReviewScheduleDefinition . Além disso, você pode especificar revisores de fallback usando a propriedade fallbackReviewers . Essas propriedades não são necessárias quando você cria uma auto-revisão (em que os usuários revisam seu próprio acesso).

Para configurar os revisores e revisores de fallback, defina os valores das propriedades consulta, queryRoot e queryType do tipo de recurso accessReviewReviewerScope.

Observação

A revisão de grupos cuja associação é governada por meio do PIM para grupos atribui apenas proprietários ativos como revisores. Os proprietários qualificados não estão incluídos. Pelo menos um revisor de fallback é necessário para examinar esses grupos. Se não houver proprietários ativos quando a revisão começar, os revisores de fallback serão atribuídos à revisão.

Exemplo 1: uma auto-revisão

Para configurar uma autoexame, não especifique a propriedade revisores ou forneça um objeto vazio à propriedade.

Se o escopo de revisão de acesso correspondente atingir usuários e equipes de conexão direta B2B com canais compartilhados, o proprietário da equipe será designado para revisar o acesso para os usuários de conexão direta B2B.

"reviewers": []

Exemplo 2: um usuário específico como o revisor

"reviewers": [
    {
        "query": "/users/{userId}",
        "queryType": "MicrosoftGraph"
    }
]

Exemplo 3: membros de um grupo como revisores

"reviewers": [
    {
        "query": "/groups/{groupId}/transitiveMembers",
        "queryType": "MicrosoftGraph"
    }
]

Exemplo 4: Proprietários de grupo como revisores

Quando a revisão de acesso é escopo para um grupo, por exemplo, exemplos 1-4 para configurar um escopo de revisão de acesso.

"reviewers": [
    {
        "query": "/groups/{groupId}/owners",
        "queryType": "MicrosoftGraph"
    }
]

Quando a revisão de acesso é escopo para um grupo e para atribuir apenas os proprietários de grupo de um país específico como revisores:

"reviewers": [
    {
        "query": "/groups/{groupId}/owners?$filter=microsoft.graph.user/userType eq 'Member' and microsoft.graph.user/country eq 'USA'",
        "type": "MicrosoftGraph"
    }
]

Quando a revisão de acesso é escopo para todos os grupos, por exemplo, exemplos 5-9 para configurar um escopo de revisão de acesso.

"reviewers": [
    {
        "query": "./owners",
        "queryType": "MicrosoftGraph"
    }
]

Exemplo 5: Pessoas gerentes como revisores

Como ./manager é uma consulta relativa, especifique a propriedade queryRoot com o valor decisions.

Se o escopo de revisão de acesso correspondente atingir usuários e equipes de conexão direta B2B com canais compartilhados, o proprietário da equipe será designado para revisar o acesso para os usuários de conexão direta B2B.

"reviewers": [
    {
        "query": "./manager",
        "queryType": "MicrosoftGraph",
        "queryRoot": "decisions"
    }
]

Exemplo 6: proprietários de aplicativos como revisores

"reviewers": [
    {
        "query": "/servicePrincipals/{servicePrincipalId}/owners",
        "queryType": "MicrosoftGraph"
    }
]