Dokončení kontroly přístupu skupin a aplikací v kontrolách přístupu

  • Článek

Jako správce vytvoříte kontrolu přístupu skupin nebo aplikací a revidujících provádí kontrolu přístupu. Tento článek popisuje, jak zobrazit výsledky kontroly přístupu a použít je.

Poznámka:

Tento článek obsahuje postup odstranění osobních údajů ze zařízení nebo služby a dá se použít k podpoře vašich povinností v rámci GDPR. Obecné informace o GDPR naleznete v části GDPR Centra zabezpečení společnosti Microsoft a části GDPR Service Trust Portal.

Požadavky

  • Zásady správného řízení ID Microsoft Entra ID P2 nebo Microsoft Entra ID
  • Globální správce, správce uživatelů nebo správce zásad správného řízení identit ke správě přístupu k kontrolům skupin a aplikací Uživatelé, kteří mají globální roli Správa istrator nebo roli privilegovaná role Správa istrator, můžou spravovat kontroly přiřazení rolí, viz Použití skupin Microsoft Entra ke správě přiřazení rolí.
  • Čtenáři zabezpečení mají přístup ke čtení.

Další informace najdete v tématu Licenční požadavky.

Zobrazení stavu kontroly přístupu

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Průběh kontrol přístupu můžete sledovat, jak jsou dokončené.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator zásad správného řízení identit.

  2. Přejděte na Kontroly přístupu k zásadám správného řízení>identit.

  3. V seznamu vyberte kontrolu přístupu.

    Na stránce Přehled uvidíte průběh aktuální instance recenze. Pokud v tuto chvíli není otevřená aktivní instance, zobrazí se informace o předchozí instanci. V adresáři nejsou změněna žádná přístupová práva, dokud se kontrola nedokončila.

    Review of All company group

    Všechna okna v části Aktuální se dají zobrazit jenom během doby trvání každé instance kontroly.

    Poznámka:

    I když kontrola aktuálního přístupu zobrazuje jenom informace o aktivní instanci kontroly, můžete získat informace o kontrolách, které se ještě nevedou v řadě v části Naplánovaná kontrola.

    Na stránce Výsledky najdete další informace o jednotlivých uživatelích, kteří si prohlédnou instanci, včetně možnosti Zastavit, Resetovat a Stáhnout výsledky.

    Review guest access across Microsoft 365 groups

    Pokud si prohlížíte kontrolu přístupu, která kontroluje přístup hostů napříč skupinami Microsoftu 365, zobrazí se v okně Přehled všechny skupiny v kontrole.

    review guest access across Microsoft 365 groups

    Vyberte skupinu, abyste viděli průběh kontroly v této skupině, a to také pro zastavení, resetování, použití a odstranění.

    review guest access across Microsoft 365 groups in detail

  4. Pokud chcete před dosažením plánovaného data ukončení ukončit kontrolu přístupu, vyberte tlačítko Zastavit .

    Když kontrolu zastavíte, revidujícím už nebudou moct poskytovat odpovědi. Po zastavení se recenze nedá restartovat.

  5. Pokud už nemáte zájem o kontrolu přístupu, můžete ji odstranit kliknutím na tlačítko Odstranit .

Zobrazení stavu vícefázové kontroly (Preview)

Zobrazení stavu a fáze kontroly přístupu ve vícefázové fázi:

  1. Vyberte vícefázovou kontrolu, u které chcete zkontrolovat stav nebo zjistit, v jaké fázi je.

  2. V levé navigační nabídce v části Aktuální vyberte Výsledky.

  3. Jakmile budete na stránce s výsledky, v části Stav se dozvíte, ve které fázi je kontrola ve více fázích. Další fáze kontroly se nebude aktivovat, dokud nepřejde doba trvání zadaná během nastavení kontroly přístupu.

  4. Pokud bylo učiněno rozhodnutí, ale doba trvání kontroly pro tuto fázi ještě nevypršela, můžete na stránce výsledků vybrat tlačítko Zastavit aktuální fázi . Tím se aktivuje další fáze kontroly.

Načtení výsledků

Pokud chcete zobrazit výsledky kontroly, vyberte stránku Výsledky . Pokud chcete zobrazit jen přístup nějakého uživatele, do vyhledávacího pole zadejte zobrazované jméno nebo hlavní název uživatele (UPN), jehož přístup byl zkontrolován.

Retrieve results for an access review

Pokud chcete zobrazit výsledky dokončené instance kontroly přístupu, která se opakuje, vyberte Zkontrolovat historii a pak v seznamu dokončených instancí kontroly přístupu vyberte konkrétní instanci na základě počátečního a koncového data instance. Výsledky této instance jsou dostupné na stránce Výsledky. Opakované kontroly přístupu umožňují mít konstantní přehled o přístupu k prostředkům, které můžou být potřeba aktualizovat častěji než jednorázové kontroly přístupu.

Pokud chcete načíst výsledky kontroly přístupu, jak probíhá, tak i dokončeno, vyberte tlačítko Stáhnout . Výsledný soubor CSV lze zobrazit v Excelu nebo v jiných programech, které otevřou soubory CSV s kódováním UTF-8.

Načtení výsledků prostřednictvím kódu programu

Výsledky kontroly přístupu můžete načíst také pomocí Microsoft Graphu nebo PowerShellu.

Nejprve budete muset vyhledat instanci kontroly přístupu. Pokud accessReviewScheduleDefinition je opakovaná kontrola přístupu, instance představují každé opakování. Kontrola, která se opakuje, bude mít přesně jednu instanci. Instance také představují každou jedinečnou skupinu kontrolovanou v definici plánu. Pokud definice plánu zkontroluje více skupin, každá skupina bude mít pro každé opakování jedinečnou instanci. Každá instance obsahuje seznam rozhodnutí, se kterými můžou revidujícím provádět akce s jedním rozhodnutím na základě kontrolované identity.

Jakmile instanci identifikujete, abyste mohli načíst rozhodnutí pomocí Graphu, zavolejte rozhraní Graph API k výpisu rozhodnutí z instance. Pokud se jedná o vícefázovou kontrolu, zavolejte rozhraní Graph API k výpisu rozhodnutí z vícefázové kontroly přístupu. Volající musí být buď uživatelem v příslušné roli s aplikací, která má delegovaná AccessReview.Read.All oprávnění, AccessReview.ReadWrite.All nebo aplikaci s oprávněním nebo AccessReview.ReadWrite.All aplikaci s oprávněním AccessReview.Read.All aplikace. Další informace najdete v kurzu o kontrole skupiny zabezpečení.

Rozhodnutí můžete načíst také v PowerShellu Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision pomocí rutiny Microsoft Graph PowerShellu pro modul zásad správného řízení identit. Všimněte si, že výchozí velikost stránky tohoto rozhraní API je 100 rozhodovacích položek.

Použití změn

Pokud bylo na základě vašich výběrů v nastavení Po dokončení povolené automatické použití výsledků na prostředek, automaticky se spustí, jakmile se instance kontroly dokončí nebo dříve, pokud kontrolu zastavíte ručně.

Pokud u prostředku nebyla povolena možnost Automatické použití výsledků pro kontrolu, přejděte po skončení doby trvání kontroly nebo se kontrola zastavila včas a vyberte instanci kontroly, kterou chcete použít.

Apply access review changes

Pokud chcete změny použít ručně, vyberte Použít . Pokud byl přístup uživatele v revizi odepřen, při výběru možnosti Použít odebere ID Microsoft Entra své členství nebo přiřazení aplikace.

Apply access review changes button

Stav kontroly se změní z Dokončeno prostřednictvím přechodných stavů, jako je použití a nakonec na výsledek stavu. Měli byste očekávat, že se během několika minut odeberou odebraní uživatelé z členství ve skupině nebo přiřazení aplikace.

Ruční nebo automatické použití výsledků nemá vliv na skupinu, která pochází z místního adresáře. Pokud chcete změnit skupinu, která pochází z místního prostředí, stáhněte si výsledky a použijte tyto změny na reprezentaci skupiny v tomto adresáři.

Poznámka:

Někteří odepření uživatelé nemůžou mít u nich použité výsledky. Mezi scénáře, kdy k tomu může dojít, patří:

  • Kontrola členů synchronizované místní skupiny Windows Server AD: Pokud je skupina synchronizovaná z místní služby Windows Server AD, nelze skupinu spravovat v MICROSOFT Entra ID, a proto nelze členství změnit.
  • Kontrola prostředku (role, skupiny, aplikace) s přiřazenými vnořenými skupinami: Pro uživatele, kteří mají členství prostřednictvím vnořené skupiny, neodebereme jejich členství do vnořené skupiny, a proto si zachovají přístup ke kontrole prostředku.
  • Uživatel nebyl nalezen / jiné chyby můžou také vést k tomu, že se nepodporuje výsledek použití.
  • Kontrola členů skupiny s povolenými e-maily: Skupinu nelze spravovat v MICROSOFT Entra ID, takže členství nelze změnit.
  • Kontrola aplikace, která používá přiřazení skupiny, neodebere členy těchto skupin, takže si zachovají stávající přístup ze vztahu skupiny pro přiřazení aplikace.

Akce provedené při odepření uživatelů typu host v kontrole přístupu

Při vytváření kontroly kontroly si tvůrce může vybrat mezi dvěma možnostmi odepření uživatelů typu host v kontrole přístupu.

  • Odepření uživatelům typu host může být odebrán přístup k prostředku. Tato možnost je výchozí.
  • Odepření uživatele typu host může být zablokováno přihlášení po dobu 30 dnů a potom odstraněno z tenanta. Během 30denního období může uživatel typu host obnovit přístup k tenantovi správcem. Po uplynutí 30denního období, pokud uživatel typu host neměl přístup k prostředku uděleného mu znovu, odebere se z tenanta trvale. Kromě toho pomocí Centra pro správu Microsoft Entra může globální Správa istrator explicitně trvale odstranit nedávno odstraněného uživatele před dosažením daného časového období. Po trvalém odstranění uživatele budou data o daném uživateli typu host odebrána z aktivních kontrol přístupu. Informace o auditování o odstraněných uživatelích zůstávají v protokolu auditu.

Akce provedené při odepření uživatelů přímého připojení B2B

Zamítnuto B2B přímé připojení uživatelů a týmů ztratí přístup ke všem sdíleným kanálům v týmu.

Další kroky