Vytvoření kontroly přístupu u skupin a aplikací v Microsoft Entra ID

Přístup ke skupinám a aplikacím pro zaměstnance a hosty se v průběhu času mění. Pokud chcete snížit riziko spojené se zastaralým přiřazením přístupu, můžou správci pomocí Microsoft Entra ID vytvořit kontroly přístupu pro členy skupiny nebo přístup k aplikacím.

Vlastníci skupin zabezpečení a Microsoft 365 můžou také pomocí Microsoft Entra ID vytvořit kontroly přístupu pro členy skupiny, pokud uživatel s alespoň rolí správce zásad správného řízení identit povolí nastavení v podokně Nastavení kontroly přístupu . Další informace o těchto scénářích najdete v tématu Správa kontrol přístupu.

Podívejte se na krátké video, které se týká povolení kontrol přístupu.

Tento článek popisuje, jak vytvořit jednu nebo více kontrol přístupu pro členy skupiny nebo přístup k aplikacím.

• Pokud chcete zkontrolovat přiřazení přístupového balíčku, podívejte se na konfiguraci kontroly přístupu ve správě nároků.
• Pokud chcete zkontrolovat prostředky Azure nebo role Microsoft Entra, přečtěte si téma Vytvoření kontroly přístupu k prostředkům Azure a rolím Microsoft Entra ve službě Privileged Identity Management.
• Recenze PIM pro skupiny najdete v tématu Vytvoření kontroly přístupu PIM pro skupiny.

Požadavky

Použití této funkce vyžaduje zásady správného řízení Microsoft Entra ID nebo licence sady Microsoft Entra Suite. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu Základy licencování zásad správného řízení microsoftu Entra ID.

Pokud kontrolujete přístup k aplikaci, přečtěte si článek o tom, jak se připravit na kontrolu přístupu uživatelů k aplikaci , abyste měli jistotu, že je aplikace integrovaná s Microsoft Entra ID ve vašem tenantovi.

Poznámka:

Kontroly přístupu zachycují snímek přístupu na začátku každé instance kontroly. Všechny změny provedené během procesu kontroly se projeví v dalším cyklu kontroly. Při zahájení každého nového opakování se v podstatě načtou příslušná data týkající se uživatelů, zdrojů posuzovaných, a jejich revidujících.

Poznámka:

Ve skupinové kontrole budou vnořené skupiny automaticky zploštěny, což znamená, že uživatelé z vnořených skupin se zobrazí jako jednotliví uživatelé. Pokud je uživatel označen k odebrání z důvodu svého členství ve vnořené skupině, nebude automaticky odebrán z vnořené skupiny, ale pouze z přímého členství.

Vytvořte jednofázovou kontrolu přístupu

Obor

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

2. Přejděte na Správu ID>kontroly přístupu.

3. Výběrem možnosti Nová kontrola přístupu vytvořte novou kontrolu přístupu.

   

4. V poli Vybrat, co chcete zkontrolovat , vyberte prostředek, který chcete zkontrolovat.

   

5. Pokud jste vybrali Teams + Skupiny, máte dvě možnosti:

   • Všechny skupiny Microsoftu 365 s uživateli typu host: Tuto možnost vyberte, pokud chcete vytvořit opakovaná hodnocení pro všechny uživatele typu host ve všech skupinách Microsoft Teams a Microsoft 365 ve vaší organizaci. Dynamické skupiny a skupiny s možností přiřazení role nejsou zahrnuty. Jednotlivé skupiny můžete vyloučit také tak, že vyberete Vybrat skupiny, které chcete vyloučit.

   • Vyberte Teams + skupiny: Tuto možnost vyberte, pokud chcete určit konečnou sadu týmů nebo skupin, které chcete zkontrolovat. Vpravo se zobrazí seznam skupin, ze které si můžete vybrat.

     

6. Pokud jste vybrali Aplikace, vyberte jednu nebo více aplikací.

   

Poznámka:

Výběr více skupin nebo aplikací způsobí vytvoření více kontrol přístupu. Pokud například vyberete pět skupin, které chcete zkontrolovat, výsledek je pět samostatných kontrol přístupu.

7. Teď můžete vybrat obor kontroly. Máte následující možnosti:

   • Pouze uživatelé typu host: Tato možnost omezuje kontrolu přístupu pouze na uživatele typu host Microsoft Entra B2B ve vašem adresáři.
   • Všichni: Tato možnost definuje kontrolu přístupu všem objektům uživatelů přidruženým k prostředku.

   Poznámka:

   Pokud jste vybrali všechny skupiny Microsoftu 365 s uživateli typu host, máte jedinou možnost zkontrolovat jenom uživatele typu host.

8. Nebo pokud provádíte kontrolu členství ve skupině, můžete vytvořit kontroly přístupu jenom pro neaktivní uživatele ve skupině. V části Obor uživatelé zaškrtněte políčko vedle neaktivních uživatelů (na úrovni tenanta). Pokud toto políčko zaškrtnete, rozsah kontroly se zaměřuje jenom na neaktivní uživatele, kteří se k tenantovi nepřihlásili interaktivně nebo neinteraktivně. Pak zadejte dny neaktivní s mnoha dny neaktivními až 730 dny (dva roky). Uživatelé ve skupině neaktivní po zadaný počet dní jsou jedinými uživateli v kontrole.

   Poznámka:

   Při konfiguraci doby nečinnosti nejsou nedávno vytvořená uživatelé ovlivněni. Kontrola přístupu zkontroluje, jestli byl uživatel vytvořen v nakonfigurovaném časovém rámci, a ignoruje uživatele, kteří alespoň tuto dobu neexistovali. Pokud například nastavíte dobu nečinnosti na 90 dní a uživatel typu host byl vytvořen nebo pozván před méně než 90 dny, nebude uživatel typu host v oboru kontroly přístupu. Tím se zajistí, že se uživatel může před odebráním přihlásit alespoň jednou.

9. Vyberte Další: Recenze.

Další: Recenze

1. Můžete vytvořit jednofázovou nebo vícefázovou kontrolu. Pokud chcete zkontrolovat jednu fázi, pokračujte tady. Pokud chcete vytvořit kontrolu přístupu ve více fázích, postupujte podle kroků v části Vytvoření kontroly přístupu s více fázemi.

2. V části Určení revidujících vyberte v poli Vybrat revidujících buď jeden nebo více lidí, kteří se budou rozhodovat v kontrolách přístupu. Lze vybrat následující možnosti:

   • Vlastníci skupiny: Tato možnost je dostupná jenom v případě, že provedete kontrolu týmu nebo skupiny.
   • Vybrané uživatele nebo skupiny
   • Uživatelé kontrolují svůj vlastní přístup
   • Správci uživatelů

   Pokud zvolíte správce uživatelů nebo vlastníky skupin, můžete také určit náhradního revidujícíma. Náhradní recenzent je vyzván k provedení revize, pokud uživatel nemá v adresáři zadaného žádného správce nebo pokud skupina nemá vlastníka.

   Poznámka:

   V rámci kontroly přístupu k týmu nebo skupině se jako revidujícím považují pouze vlastníci skupiny (v okamžiku zahájení kontroly). Pokud se během kontroly aktualizuje seznam vlastníků skupin, noví vlastníci skupin nebudou považováni za kontrolory, zatímco stávající vlastníci skupin jimi zůstanou. V případě opakované kontroly se však všechny změny v seznamu vlastníků skupiny budou považovat za další instanci této kontroly.

   Důležité

   U kontrol přístupu PIM pro skupiny (Preview) je při výběru vlastníka skupiny jako revidujícího povinné přiřadit alespoň jednoho záložního revidujícího. Revize přiřadí jako revidujícím pouze aktivní vlastníky. Oprávnění vlastníci nejsou zahrnuti. Pokud po zahájení kontroly nejsou žádní aktivní vlastníci, budou revidujícím přiřazeni náhradní revidoři.

   

3. V části Zadat opakování revize zadejte následující výběry:

   • Délka trvání (ve dnech): Jak dlouho je recenze otevřená pro příspěvky od recenzentů.

   • Počáteční datum: Kdy začíná řada recenzí.

   • Koncové datum: Kdy skončí řada recenzí. Můžete určit, že nikdy nekončí . Nebo můžete zvolit Konec na konkrétní datum nebo Konec po určitém počtu výskytů.

     

4. Vyberte Další: Nastavení.

Poznámka:

Při vytváření kontroly přístupu můžete zadat počáteční datum, ale počáteční čas se může v závislosti na zpracování systému lišit. Pokud například vytvoříte kontrolu přístupu v 03:00 UTC 9. 9., která je nastavena tak, aby běžela 12. 9., pak bude kontrola naplánována na spuštění v 03:00 UTC v den zahájení, ale může být zpožděna kvůli zpracování systému.

Můžete zadat počáteční datum, ale čas zahájení se může lišit několik hodin na základě zpracování systému.

Další: Nastavení

1. V části Nastavení po dokončení můžete určit, co se stane po dokončení kontroly.

   

   • Automaticky použít výsledky pro prostředek: Toto políčko zaškrtněte, pokud chcete, aby se po skončení doby trvání kontroly automaticky odebral přístup odepřených uživatelů. Pokud je tato možnost zakázaná, musíte výsledky po dokončení kontroly použít ručně. Další informace o použití výsledků kontroly najdete v tématu Správa kontrol přístupu.

   • Pokud revidující neodpovídají: Tuto možnost použijte k určení, co se stane s uživateli, kteří nebyli zkontrolováni žádným revidujícím během doby revize. Toto nastavení nemá vliv na uživatele, kteří byli zkontrolováni recenzentem. V rozevíracím seznamu jsou uvedené následující možnosti:

     • Beze změny: Přístup uživatele zůstane beze změny.
     • Odebrání přístupu: Odebere přístup uživatele.
     • Schválení přístupu: Schválí přístup uživatele.
     • Přijmout doporučení: Přijme doporučení systému, aby odepřel nebo schválil trvalý přístup uživatele.

     Varování

     Pokud je nastavení Pokud revidenti neodpoví nastaveno na Odebrat přístup nebo Přijmout doporučení a povolit automatické použití výsledků na prostředek, může se veškerý přístup k tomuto prostředku odvolat, pokud revidenti neodpoví.

   • Akce, která se má použít u odepřených uživatelů typu host: Tato možnost je dostupná jenom v případě, že je kontrola přístupu vymezená tak, aby zahrnovala jenom uživatele typu host, a abychom určili, co se stane uživatelům typu host, pokud jsou odepřeni buď posuzovatelem, nebo nastavením Pokud posuzovatelé neodpoví.

     • Odebrat členství uživatele z prostředku: Tato možnost odebere přístup zamítnutého hostujícího uživatele ke skupině nebo aplikaci, která je kontrolována. Stále se můžou přihlásit k tenantovi a nepřijdou o žádný jiný přístup.
     • Blokovat přihlášení uživatele po dobu 30 dnů a pak odebrat uživatele z tenanta: Tato možnost blokuje odepření uživatele typu host v přihlášení k tenantovi bez ohledu na to, jestli má přístup k jiným prostředkům. Pokud se tato akce proběhla omylem, správci můžou přístup uživatele typu host obnovit do 30 dnů od zakázání uživatele typu host. Pokud se po 30 dnech pro zakázaného hostujícího uživatele neprovede žádná akce, odstraní se z nájemce.

   Další informace o osvědčených postupech pro odebrání uživatelů typu host, kteří už nemají přístup k prostředkům ve vaší organizaci, najdete v tématu Použití zásad správného řízení ID Microsoft Entra k kontrole a odebrání externích uživatelů, kteří už nemají přístup k prostředkům.

   Poznámka:

   Akci, kterou chcete použít u odepřených uživatelů typu host, nelze nakonfigurovat u přehledů zahrnujících více uživatelů než jen uživatele typu host. Také není možné konfigurovat recenze všech skupin Microsoft 365 s hostujícími uživateli. Pokud není možné konfigurovat, použije se výchozí možnost odebrání členství uživatele ze zdroje pro uživatele, kterým byl přístup odepřen.

2. Použijte možnost Na konci kontroly poslat oznámení pro odeslání oznámení ostatním uživatelům nebo skupinám s aktualizacemi dokončení. Tato funkce umožňuje ostatním účastníkům, než je tvůrce revizí, aktualizovat průběh kontroly. Pokud chcete tuto funkci použít, zvolte Vybrat uživatele nebo skupiny a přidejte dalšího uživatele nebo skupinu, pro které chcete získat stav dokončení.

3. V části Povolit pomocníky pro rozhodování o kontrole zvolte, jestli má kontrolor během procesu kontroly dostávat doporučení:

   1. Pokud vyberete "Bez přihlášení do 30 dnů", jsou doporučeni ke schválení uživatelé, kteří se přihlásili během předchozího 30denního období. Uživatelům, kteří se během posledních 30 dnů nepřihlásili, se doporučuje odepřít přístup. Tento 30denní interval je bez ohledu na to, jestli byly přihlášení interaktivní, nebo ne. Spolu s doporučením se zobrazí také datum posledního přihlášení zadaného uživatele.
   2. Pokud vyberete přidružení uživatele ke skupině, posuzovatelé dostanou doporučení ke schválení nebo zamítnutí přístupu pro uživatele na základě průměrné vzdálenosti uživatele v organizační struktuře reportingu. Uživatelé, kteří jsou od všech ostatních uživatelů ve skupině vzdáleni, se považují za "nízkou afilaci" a v kontrolách přístupu ke skupině obdrží doporučení na odepření.

   Poznámka:

   Pokud vytvoříte kontrolu přístupu na základě aplikací, vaše doporučení vycházejí z 30denního intervalu v závislosti na tom, kdy se uživatel naposledy přihlásil k aplikaci místo tenanta.

   

4. V části Upřesnit nastavení můžete zvolit následující:

   • Požadováno odůvodnění: Toto políčko zaškrtněte, pokud chcete, aby kontrolor musel zadat důvod schválení nebo odepření.

   • E-mailová oznámení: Toto políčko zaškrtněte, pokud chcete, aby ID Microsoft Entra po zahájení kontroly přístupu a správcům po dokončení kontroly odesílala e-mailová oznámení revidujícím.

   • Připomenutí: Zaškrtněte toto políčko, pokud chcete, aby ID Microsoft Entra odeslalo připomenutí probíhajících kontrol přístupu všem kontrolorům. Revidujícím se zobrazí připomenutí v polovině recenze bez ohledu na to, jestli dokončili svoji recenzi nebo ne.

   • Dodatečný obsah e-mailu pro recenzenty: Obsah e-mailu zasílaného recenzentům je automaticky generován na základě podrobností recenze, jako je název recenze, název prostředku a termín splnění. Pokud potřebujete sdělit další informace, můžete do pole zadat podrobnosti, jako jsou pokyny nebo kontaktní údaje. Informace, které zadáte, jsou součástí pozvánky a e-maily s připomenutím se odesílají přiřazeným recenzentům. Část zvýrazněná na následujícím obrázku ukazuje, kde se tyto informace zobrazují.

     

5. Vyberte Další: Zkontrolovat a vytvořit.

   

Další: Zkontrolovat a vytvořit

1. Pojmenujte kontrolu přístupu. Volitelně zadejte popis recenze. Jméno a popis se zobrazí revidujícím.

2. Zkontrolujte informace a vyberte Vytvořit.

Vytvoření vícestupňové revize přístupu

Vícefázová kontrola umožňuje správci definovat dvě nebo tři sady revidujících, aby jeden po druhém dokončil kontrolu. V rámci jednofázové kontroly učiní všichni revizoři rozhodnutí ve stejném období a rozhodnutí posledního kontrolora se použije. V rámci vícefázové kontroly se každý ze dvou nebo tří nezávislých skupin kontrolorů rozhodne ve své vlastní fázi. Fáze jsou sekvenční a další fáze se nestane, dokud se v předchozí fázi nezaznamená rozhodnutí. Vícefázové kontroly lze použít ke snížení zátěže pro pozdější revidující, umožnění eskalace revidujících nebo k tomu, aby nezávislé skupiny revidujících souhlasily s rozhodnutími.

Poznámka:

Data uživatelů zahrnutých v kontrolách vícefázového přístupu jsou součástí záznamu auditu na začátku kontroly. Správci mohou data kdykoli odstranit odstraněním vícefázové řady kontroly přístupu. Obecné informace o GDPR a ochraně uživatelských dat najdete v části GDPR v Centru zabezpečení Microsoftu a v části GDPR portálu Service Trust Portal.

1. Po výběru prostředku a rozsahu kontroly přejděte na kartu Recenze .

2. Zaškrtněte políčko vedle vícefázové kontroly.

3. V části První fáze kontroly vyberte revidující z rozevírací nabídky vedle Vybrat revidující.

4. Pokud vyberete vlastníky skupin nebo správce uživatelů, máte možnost přidat náhradního revidujícího. Chcete-li přidat záložní revidenty, vyberte Vybrat záložní revidenty a přidejte uživatele, které chcete mít jako záložní revidenty.

   

5. Přidejte dobu trvání první fáze. Pokud chcete přidat dobu trvání, zadejte číslo do pole vedle doby trvání fáze (ve dnech). Jedná se o počet dní, po který chcete, aby se první fáze otevřela kontrolorům první fáze, aby se mohli rozhodovat.

6. V části Kontrola druhé fáze vyberte revidující v rozevírací nabídce vedle tlačítka Vybrat revidující. Tito recenzenti budou požádáni o kontrolu po ukončení první fáze recenzního procesu.

7. V případě potřeby přidejte náhradní recenzenty.

8. Přidejte dobu trvání druhé fáze.

9. Ve výchozím nastavení se při vytváření vícefázové kontroly zobrazí dvě fáze. Můžete ale přidat až tři fáze. Pokud chcete přidat třetí fázi, vyberte + Přidat fázi a vyplňte požadovaná pole.

10. Můžete se rozhodnout, že umožníte revidujícím 2. a třetí fázi zobrazit rozhodnutí provedená v předchozích fázích. Chcete-li jim umožnit vidět rozhodnutí z předchozích fází, zaškrtněte políčko vedle možnosti Zobrazit rozhodnutí z předchozích fází pro pozdější recenzenty v rámci možnosti Zobrazit výsledky kontroly. Pokud chcete, aby kontroloři mohli toto nastavení nezávisle kontrolovat, nechte toto políčko nezaškrtnuté.

    

11. Doba trvání každé opakování je nastavená na součet dnů trvání, které jste zadali v každé fázi.

12. Zadejte frekvenci kontroly, početční datum a koncové datum této kontroly. Typ opakování musí být alespoň tak dlouhý jako celková doba trvání opakování (tedy maximální doba trvání týdenní revize je 7 dní).

13. Pokud chcete určit, kteří hodnotitelé budou pokračovat z fáze do fáze, vyberte jednu nebo více z následujících možností vedle Zadejte hodnotitele pro přechod do další fáze :

    1. Schválení hodnocení – pouze hodnocení, která byla schválena, přejdou do další fáze.
    2. Odmítnutí hodnocení – Pouze hodnocení, která byla odmítnuta, se přesunou na další fázi.
    3. Nekontrolovaní hodnocení – Jenom hodnocení, která nebyla zkontrolována, budou postoupit do další fáze (fází).
    4. Posuzovaní označení jako "Nevím" – Pouze posuzovaní označení jako "Nevím" postupují do další fáze (fází).
    5. Vše: všichni se přesunou na další fázi, pokud chcete, aby se rozhodli všichni recenzenti.

14. Pokračujte na kartu Nastavení a dokončete zbývající nastavení a proveďte recenzi. Postupujte podle pokynů v části Další: Nastavení.

Zahrnout uživatele B2B Direct Connect a týmy, které přistupují ke sdíleným kanálům v Teams, do kontrol přístupu.

Můžete vytvořit kontroly přístupů pro uživatele B2B připojené přímo prostřednictvím sdílených kanálů v Microsoft Teams. Při externí spolupráci můžete pomocí kontrol přístupu Microsoft Entra zajistit, aby externí přístup ke sdíleným kanálům zůstal aktuální. Externí uživatelé ve sdílených kanálech se nazývají uživatelé s přímým připojením B2B. Další informace o sdílených kanálech v Teams a uživatelích B2B přímého připojení najdete v článku B2B přímé připojení.

Když vytvoříte kontrolu přístupu u týmu se sdílenými kanály, vaši recenzenti mohou přezkoumat další potřebu přístupu těchto externích uživatelů a týmů ve sdílených kanálech. Ve stejné kontrole můžete zkontrolovat přístup uživatelů připojení B2B a dalších podporovaných uživatelů spolupráce B2B a uživatelů, kteří nejsou interními uživateli B2B.

Poznámka:

V současné době jsou uživatelé a týmy přímého propojení B2B zahrnuti pouze do jednofázových kontrol. Pokud jsou povoleny vícefázové kontroly, uživatelé B2B s přímým připojením a týmy se do kontroly přístupu nezahrnou.

Uživatelé a týmy s přímým připojením B2B jsou zahrnuti do kontrol přístupu skupiny Microsoft 365 s povolenými Teams, do kterých patří sdílené kanály. Chcete-li vytvořit kontrolu, musíte mít alespoň roli správce uživatelů nebo správce zásad správného řízení identit.

Pomocí následujících pokynů vytvořte kontrolu přístupu u týmu se sdílenými kanály:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

2. Přejděte do Správa identity>kontroly přístupu.

3. Vyberte + Nová kontrola přístupu.

4. Vyberte Teams + Skupiny a pak vyberte Vybrat týmy a skupiny a nastavte obor Revize. B2B přímé propojení uživatelů a týmů nejsou zahrnuté v recenzích všech skupin Microsoftu 365 s uživateli typu host.

5. Vyberte tým, který sdílí kanály sdílené s 1 nebo více uživateli nebo týmy B2B s přímým připojením.

6. Nastavte rozsah.

   

   • Zvolte Všechny uživatele pro zahrnutí:
     • Všichni interní uživatelé
     • Uživatelé spolupráce B2B, kteří jsou členy týmu
     • Uživatelé přímého připojení B2B
     • Týmy, které přistupují ke sdíleným kanálům
   • Nebo zvolte pouze uživatele typu host, pokud chcete zahrnout pouze uživatele B2B s přímým připojením a uživatele pro spolupráci na Teams a B2B.

7. Pokračujte na kartu Revize . Vyberte revidujícím, který kontrolu dokončí, a pak zadejte dobu trvání a opakování kontroly.

   Poznámka:

   • Pokud nastavíte Vybrat revidující na Uživatelé revidují svůj vlastní přístup nebo Správci uživatelů, uživatelé přímého připojení B2B a Teams nebudou moci zkontrolovat svůj vlastní přístup ve vašem tenantovi. Vlastník týmu, který je předmětem kontroly, obdrží e-mail, který ho požádá o revizi uživatele B2B s přímým připojením a týmů na platformě Teams.
   • Pokud vyberete Správce uživatelů, vybraný náhradní kontrolor zkontroluje všechny uživatele bez manažera v domovském tenantovi. To zahrnuje přímé připojení uživatelů B2B a Teams bez manažera.

8. Přejděte na kartu Nastavení a nakonfigurujte další nastavení. Pak přejděte na kartu Zkontrolovat a Vytvořit a spusťte kontrolu přístupu. Podrobnější informace o vytvoření nastavení kontroly a konfigurace najdete v části Vytvoření kontroly přístupu s jednou fází.

Povolit vlastníkům skupin vytvářet a spravovat kontroly přístupu jejich skupin

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

2. Přejděte do správy ID>kontrol přístupu>nastavení.

3. Na stránce Delegát, který může vytvářet a spravovat kontroly přístupu nastavte na Ano možnost, aby Vlastníci skupiny mohli vytvářet a spravovat kontroly přístupu pro skupiny, které vlastní.

   

   Poznámka:

   Ve výchozím nastavení je nastavení nastaveno na Ne. Pokud chcete vlastníkům skupin povolit vytváření a správu kontrol přístupu, změňte nastavení na Ano.

Programatické vytvoření kontroly přístupu

Kontrolu přístupu můžete vytvořit také pomocí Microsoft Graphu nebo PowerShellu.

Pokud chcete vytvořit kontrolu přístupu pomocí Graphu, zavolejte rozhraní Graph API a vytvořte definici plánu kontroly přístupu. Volající musí být buď uživatelem v příslušné roli s aplikací, která má delegované AccessReview.ReadWrite.All oprávnění, nebo aplikací s oprávněním AccessReview.ReadWrite.All aplikace. Další informace najdete v tématu Přehled rozhraní API pro kontroly přístupu a kurzů, jak zkontrolovat členy skupiny zabezpečení nebo zkontrolovat hosty ve skupinách Microsoftu 365.

Kontrolu přístupu můžete vytvořit také v PowerShellu s rutinou New-MgIdentityGovernanceAccessReviewDefinition z modulu rutin Microsoft Graph PowerShell pro správu identit. Další informace najdete v příkladech.

Když začne kontrola přístupu

Po zadání nastavení kontroly přístupu a jejím vytvoření se kontrola přístupu zobrazí v seznamu s indikátorem jejího stavu.

Ve výchozím nastavení Microsoft Entra ID odešle revidujícím e-mail krátce po jednorázové kontrole nebo opakování opakované kontroly. Pokud se rozhodnete, že microsoft Entra ID neodesílá e-mail, nezapomeňte informovat revidujícím, že kontrola přístupu čeká na dokončení. Můžete jim ukázat pokyny, jak zkontrolovat přístup ke skupinám nebo aplikacím. Pokud je vaším úkolem umožnit hostům zkontrolovat jejich vlastní přístup, zobrazte jim pokyny, jak ověřit přístup pro sebe ke skupinám nebo aplikacím.

Pokud jste hostům přiřadili roli revidujících a oni nepřijali pozvání k nájemci, nebudou dostávat e-maily z přehledu přístupu. Před zahájením kontroly musí pozvánku nejprve přijmout.

Aktualizace kontroly přístupu

Po spuštění jedné nebo více kontrol přístupu můžete chtít upravit nebo aktualizovat nastavení existujících kontrol přístupu. Tady je několik běžných scénářů, které je potřeba vzít v úvahu:

• Aktualizace nastavení nebo recenzentů: Pokud se kontrola přístupu opakuje, v části Aktuální a v části Série existují samostatná nastavení. Aktualizace nastavení nebo recenzentů v části Aktuální provádí změny pouze na probíhající kontrolu přístupu. Aktualizace nastavení v části Řada aktualizuje nastavení pro všechna budoucí opakování.

  

• Přidání a odebrání revizorů: Při aktualizaci kontrol přístupu můžete kromě primárního revizora přidat i náhradního revizora. Při aktualizaci kontroly přístupu můžou být primární revidoři odebráni. Náhradní revidující nejsou úmyslně odstranitelní.

  Poznámka:

  Náhradní revidující lze přidat pouze tehdy, pokud je typ revidujícího manažerem nebo vlastníkem skupiny. Primární hodnotitelé mohou být přidáni, když je typ hodnotitele vybraným uživatelem.

• Připomeňte revidujícím: Při aktualizaci kontrol přístupu se můžete rozhodnout povolit možnost Připomenutí v části Upřesnit nastavení. Uživatelé pak dostanou e-mailové oznámení v polovině období kontroly bez ohledu na to, jestli kontrolu dokončili nebo ne.

  

Poznámka:

Jakmile je kontrola přístupu zahájena, můžete použít API volání contactedReviewers k zobrazení seznamu všech kontrolorů, kteří byli informováni, nebo kteří by byli informováni, pokud jsou oznámení vypnutá, prostřednictvím e-mailu o kontrole přístupu. K dispozici jsou také časová razítka, kdy byli tito uživatelé upozorněni.

Další kroky

• Dokončení kontroly přístupu skupin nebo aplikací
• Vytvoření hodnocení přístupu PIM pro skupiny (náhled)
• Kontrola přístupu ke skupinám nebo aplikacím
• Kontrola přístupu k skupinám nebo aplikacím
• Vytvořte revizi přístupu k prostředkům Azure a rolím Microsoft Entra v PIM