Felkészülés a felhasználók alkalmazáshoz való hozzáférésének hozzáférési felülvizsgálatára

Microsoft Entra Identitáskezelés lehetővé teszi, hogy a megfelelő folyamatokkal és láthatósággal egyensúlyba tudja hozni a szervezet biztonsági és alkalmazotti hatékonyságát. Olyan képességeket biztosít, amelyek biztosítják, hogy a megfelelő személyek megfelelő hozzáféréssel rendelkezzenek a megfelelő erőforrásokhoz.

A megfelelőségi követelményekkel vagy kockázatkezelési tervekkel rendelkező szervezetek érzékeny vagy üzleti szempontból kritikus alkalmazásokkal fognak rendelkezni. Az alkalmazás érzékenysége a célja vagy az általa tartalmazott adatok, például a szervezet ügyfeleinek pénzügyi adatai vagy személyes adatai alapján történhet. Ezekben az alkalmazásokban általában a szervezet összes felhasználójának csak egy részhalmaza jogosult a hozzáférésre, és a hozzáférés csak a dokumentált üzleti követelmények alapján engedélyezett. Azure AD számos népszerű SaaS-alkalmazással, helyszíni alkalmazással és a szervezet által fejlesztett alkalmazásokkal integrálhatók standard protokoll- és API-felületek használatával. Ezen felületeken keresztül Azure AD mérvadó forrás lehet annak szabályozására, hogy ki férhet hozzá ezekhez az alkalmazásokhoz. Amikor integrálja az alkalmazásokat a Azure AD, Microsoft Entra hozzáférési felülvizsgálatokkal újrakérheti azokat a felhasználókat, akik hozzáféréssel rendelkeznek az alkalmazásokhoz, és eltávolíthatja azoknak a felhasználóknak a hozzáférését, akiknek már nincs szükségük hozzáférésre. Az alkalmazásokhoz való hozzáférés szabályozásához egyéb funkciókat is használhat, beleértve a használati feltételeket, a feltételes hozzáférést és a jogosultságkezelést is, az alkalmazásokhoz való hozzáférés szabályozásáról a környezetben lévő alkalmazásokhoz való hozzáférés szabályozásáról szóló cikkben leírtak szerint.

A hozzáférés ellenőrzésének előfeltételei

Ha Azure AD szeretne használni egy alkalmazáshoz való hozzáférés hozzáférési felülvizsgálatához, a bérlőben az alábbi licencek egyikével kell rendelkeznie:

  • Prémium szintű Azure AD P2
  • Enterprise Mobility + Security (EMS) E5 licenc

A hozzáférési felülvizsgálatok funkció használata során a felhasználóknak nem kell hozzájuk rendelniük ezeket a licenceket a funkció használatához, legalább annyi licenccel kell rendelkeznie a bérlőben, mint a véleményezőként konfigurált tagfelhasználók (nem vendégfelhasználók) száma.

Emellett, bár nem szükséges az alkalmazásokhoz való hozzáférés ellenőrzéséhez, javasoljuk, hogy rendszeresen tekintse át a kiemelt címtár-szerepkörök tagságát is, amelyek képesek szabályozni más felhasználók hozzáférését az összes alkalmazáshoz. A , Identity Governance Administrator, User Administrator, Application AdministratorCloud Application Administrator és Privileged Role Administrator rendszergazdák módosításokat végezhetnek a Global Administratorfelhasználókon és az alkalmazásszerepkör-hozzárendeléseken, így gondoskodhatnak arról, hogy a címtárszerepkörök hozzáférési felülvizsgálata be legyen ütemezve.

Az alkalmazás integrálható Azure AD

Ahhoz, hogy Microsoft Entra hozzáférési felülvizsgálatokat lehessen használni egy alkalmazáshoz, először integrálva kell lennie az alkalmazással Azure AD. Az Azure AD integrált alkalmazásnak két követelmény egyikét kell teljesítenie:

  • Az alkalmazás az összevont egyszeri bejelentkezéshez Azure AD támaszkodik, és Azure AD szabályozza a hitelesítési jogkivonatok kiállítását. Ha Azure AD az alkalmazás egyetlen identitásszolgáltatója, akkor csak azok a felhasználók jelentkezhetnek be az alkalmazásba, akik az alkalmazás egyik szerepköréhez vannak hozzárendelve Azure AD. A felülvizsgálat által elutasított felhasználók elveszítik az alkalmazásszerepkör-hozzárendelésüket, és nem tudnak új jogkivonatot beszerezni az alkalmazásba való bejelentkezéshez.
  • Az alkalmazás olyan felhasználói vagy csoportlistákra támaszkodik, amelyeket a Azure AD biztosít az alkalmazásnak. Ezt a teljesítést egy olyan kiépítési protokollon keresztül végezheti el, mint a System for Cross-Domain Identity Management (SCIM), vagy a Azure AD Microsoft Graphon keresztül lekérdező alkalmazás vagy az AD DS-be írt csoportok. A felülvizsgálat által elutasított felhasználók elveszítik az alkalmazásszerepkör-hozzárendelésüket vagy a csoporttagságukat, és amikor ezeket a módosításokat elérhetővé teszik az alkalmazás számára, akkor a megtagadott felhasználók többé nem kapnak hozzáférést.

Ha egyik feltétel sem teljesül egy alkalmazás esetében, mivel az alkalmazás nem támaszkodik a Azure AD, akkor a hozzáférési felülvizsgálatok továbbra is használhatók, azonban lehetnek bizonyos korlátozások. Azok a felhasználók, akik nem szerepelnek a Azure AD, vagy nincsenek hozzárendelve az alkalmazásszerepkörökhöz Azure AD, nem lesznek belefoglalva a felülvizsgálatba. Emellett az eltávolítandó módosítások nem lesznek automatikusan elküldve az alkalmazásnak, ha nincs olyan kiépítési protokoll, amelyet az alkalmazás támogat. A szervezetnek ehelyett olyan eljárással kell rendelkeznie, amely elküldi a befejezett felülvizsgálat eredményeit az alkalmazásnak.

Annak érdekében, hogy az alkalmazások és az informatikai követelmények széles körét meg lehessen oldani a Azure AD, több minta is létezik az alkalmazások Azure AD való integrálhatóságára. Az alábbi folyamatábra bemutatja, hogyan választhat három olyan integrációs minta közül, az A-C-ből, amelyek megfelelnek az identitásszabályozással használható alkalmazásoknak. Ha tudja, hogy milyen mintát használ egy adott alkalmazáshoz, az segít konfigurálni a megfelelő erőforrásokat a Azure AD a hozzáférési felülvizsgálathoz.

Folyamatábra alkalmazásintegrációs mintákhoz

Mintázat Alkalmazásintegrációs minta A hozzáférési felülvizsgálat előkészítésének lépései
A Az alkalmazás támogatja az összevont egyszeri bejelentkezést, Azure AD az egyetlen identitásszolgáltató, és az alkalmazás nem támaszkodik csoport- vagy szerepkörjogcímekre. Ebben a mintában konfigurálja, hogy az alkalmazáshoz egyedi alkalmazásszerepkör-hozzárendelések szükségesek, és hogy a felhasználók hozzá legyenek rendelve az alkalmazáshoz. Ezután a felülvizsgálat elvégzéséhez egyetlen hozzáférési felülvizsgálatot fog létrehozni az alkalmazáshoz, az alkalmazás-szerepkörhöz rendelt felhasználókról. Ha a felülvizsgálat befejeződött, a rendszer eltávolítja a felhasználót az alkalmazásszerepkörből. Azure AD ezután nem ad ki a felhasználónak összevonási jogkivonatokat, és a felhasználó nem tud bejelentkezni az alkalmazásba.
B Ha az alkalmazás csoportjogcímeket használ az alkalmazásszerepkör-hozzárendelések mellett. Az alkalmazások AD-t vagy Azure AD csoporttagságot használhatnak, az alkalmazásszerepköröktől eltérően a részletesebb hozzáférés kifejezéséhez. Itt az üzleti követelmények alapján dönthet úgy, hogy az alkalmazásszerepkör-hozzárendeléssel rendelkező felhasználókat felülvizsgálja, vagy áttekinti a csoporttagságokkal rendelkező felhasználókat. Ha a csoportok nem biztosítanak átfogó hozzáférési lefedettséget, különösen ha a felhasználók akkor is hozzáférhetnek az alkalmazáshoz, ha nem tartoznak ezekhez a csoportokhoz, javasoljuk, hogy tekintse át az alkalmazásszerepkör-hozzárendeléseket, ahogy az a fenti A mintában látható.
C Ha az alkalmazás nem kizárólag az összevont SSO-Azure AD támaszkodik, de támogatja az SCIM-en keresztüli kiépítést, vagy a felhasználók SQL-táblájának vagy egy nem AD LDAP-címtárnak a frissítéseit. Ebben a mintában Azure AD konfigurálja, hogy alkalmazásszerepkör-hozzárendelésekkel rendelkező felhasználókat építsen ki az alkalmazás adatbázisába vagy könyvtárába, frissítse az alkalmazásszerepkör-hozzárendeléseket Azure AD a jelenleg hozzáféréssel rendelkező felhasználók listájával, majd hozzon létre egyetlen hozzáférési felülvizsgálatot az alkalmazásszerepkör-hozzárendelésekről. További információ: Alkalmazás meglévő felhasználóinak szabályozása az alkalmazásszerepkör-hozzárendelések frissítéséhez Azure AD.

Egyéb lehetőségek

A fent felsorolt integrációs minták harmadik féltől származó SaaS-alkalmazásokra vagy a szervezet által vagy számára fejlesztett alkalmazásokra vonatkoznak.

  • Egyes Microsoft online szolgáltatások, például a Exchange Online licenceket használnak. Bár a felhasználó licenceit nem lehet közvetlenül áttekinteni, ha csoportalapú licenc-hozzárendeléseket használ, a hozzárendelt felhasználókkal rendelkező csoportokkal együtt, a csoportok tagságát is áttekintheti.
  • Egyes alkalmazások delegált felhasználói hozzájárulással szabályozhatják Microsoft Graphhoz vagy más erőforrásokhoz való hozzáférést. Mivel az egyes felhasználók hozzájárulásait nem egy jóváhagyási folyamat szabályozza, a hozzájárulások nem tekinthetők át Azure AD. Ehelyett áttekintheti, hogy ki tud csatlakozni az alkalmazáshoz feltételes hozzáférési szabályzatokkal, amelyek alkalmazásszerepkör-hozzárendeléseken vagy csoporttagságokon alapulhatnak.
  • Ha az alkalmazás nem támogatja az összevonási vagy kiépítési protokollokat, akkor a felülvizsgálat befejezésekor manuálisan kell alkalmaznia az eredményeket. Olyan alkalmazások esetében, amelyek csak a jelszó SSO-integrációját támogatják, ha egy alkalmazás-hozzárendelést a felülvizsgálat befejezésekor eltávolítanak, akkor az alkalmazás nem jelenik meg a felhasználó myapps lapján, de nem akadályozza meg, hogy a jelszót már ismerő felhasználók továbbra is bejelentkezhessenek az alkalmazásba. Kérje meg az SaaS-szállítót, hogy regisztráljon az alkalmazáskatalógusba összevonás vagy kiépítés céljából úgy, hogy frissíti az alkalmazást egy szabványos protokoll támogatásához.

Ellenőrizze, hogy az alkalmazás és a csoportok készen állnak-e a felülvizsgálatra

Most, hogy azonosította az alkalmazás integrációs mintáját, ellenőrizze, hogy az alkalmazás Azure AD készen áll-e az áttekintésre.

  1. A Azure Portal kattintson az Azure Active Directory, majd a Vállalati alkalmazások elemre, és ellenőrizze, hogy az alkalmazás szerepel-e a Azure AD-bérlőben található vállalati alkalmazások listájában.

  2. Ha az alkalmazás még nem szerepel a listában, ellenőrizze, hogy az alkalmazás elérhető-e az összevont egyszeri bejelentkezéshez vagy üzembe helyezéshez integrálható alkalmazások alkalmazáskatalógusában . Ha a katalógusban található, akkor az oktatóanyagokkal konfigurálja az alkalmazást összevonásra, és ha támogatja a kiépítést, konfigurálja az alkalmazást a kiépítéshez is. Ha az alkalmazás AD biztonsági csoportokat használ, adja hozzá az alkalmazást a táveléréshez alkalmazásproxy keresztül, és konfigurálja a csoportvisszaírást az AD-be.

  3. Ha az alkalmazás szerepel a bérlőben lévő vállalati alkalmazások listájában, válassza ki az alkalmazást a listából.

  4. Váltson a Tulajdonságok lapra. Ellenőrizze, hogy a Felhasználó-hozzárendelés szükséges? beállítás Igen értékre van-e állítva. Ha a nem értékre van állítva, a címtár minden felhasználója , beleértve a külső identitásokat is, hozzáférhet az alkalmazáshoz, és nem tekintheti át az alkalmazáshoz való hozzáférést.

    Képernyőkép az alkalmazás-hozzárendelések megtervezéséről.

  5. Váltson a Szerepkörök és rendszergazdák lapra. Ez a lap azokat a rendszergazdai szerepköröket jeleníti meg, amelyek az alkalmazás Azure AD való megjelenítését szabályozzák, nem pedig az alkalmazás hozzáférési jogosultságait. Minden olyan rendszergazdai szerepkör esetében, amely rendelkezik az alkalmazásintegráció vagy -hozzárendelések módosításának engedélyezéséhez szükséges engedélyekkel, és rendelkezik az adott rendszergazdai szerepkörhöz tartozó hozzárendeléssel, győződjön meg arról, hogy csak a jogosult felhasználók vannak ebben a szerepkörben.

  6. Váltson a Kiépítés lapra. Ha az automatikus kiépítés nincs konfigurálva, akkor Azure AD nem tudja értesíteni az alkalmazást, ha a felülvizsgálat során megtagadják a felhasználó hozzáférését. Előfordulhat, hogy bizonyos integrációs minták esetében nincs szükség kiépítésre, ha az alkalmazás összevont, és kizárólag identitásszolgáltatóként Azure AD támaszkodik, vagy az alkalmazás AD DS-csoportokat használ. Ha azonban az alkalmazásintegráció C minta, és az alkalmazás nem támogatja az összevont egyszeri bejelentkezést Azure AD egyetlen identitásszolgáltatóként, akkor konfigurálnia kell a kiépítést Azure AD az alkalmazáshoz. A kiépítésre azért lesz szükség, hogy Azure AD automatikusan eltávolíthassa a felülvizsgált felhasználókat az alkalmazásból a felülvizsgálat befejezésekor, és ezt az eltávolítási lépést az SCIM, LDAP vagy SQL használatával Azure AD az alkalmazásnak küldött módosítással teheti meg.

  7. Ha a kiépítés konfigurálva van, kattintson az Attribútumleképezések szerkesztése elemre, bontsa ki a Leképezés szakaszt, majd kattintson az Azure Active Directory-felhasználók kiépítése elemre. Ellenőrizze, hogy az attribútumleképezések listájában van-e olyan leképezés az alkalmazás adattárában lévő attribútumhoz isSoftDeleted , amelyet hamis értékre szeretne állítani, ha egy felhasználó elveszíti a hozzáférést. Ha ez a leképezés nem jelenik meg, akkor Azure AD nem értesíti az alkalmazást, ha a felhasználó kikerült a hatókörből, ahogy az a kiépítés működéséről szól.

  8. Ha az alkalmazás támogatja az összevont egyszeri bejelentkezést, váltson a Feltételes hozzáférés lapra. Vizsgálja meg az alkalmazáshoz engedélyezett szabályzatokat. Ha vannak olyan házirendek, amelyek engedélyezve vannak, tiltsa le a hozzáférést, a felhasználókat hozzárendelje a szabályzatokhoz, de más feltételeket nem, akkor előfordulhat, hogy ezek a felhasználók már nem kapnak összevont egyszeri bejelentkezést az alkalmazáshoz.

  9. Váltson a Felhasználók és csoportok lapra. Ez a lista tartalmazza az összes felhasználót, aki hozzá van rendelve az alkalmazáshoz a Azure AD. Ha a lista üres, akkor az alkalmazás áttekintése azonnal befejeződik, mivel a felülvizsgálónak nincs végrehajtandó feladata.

  10. Ha az alkalmazás integrálva van a C mintával, akkor a felülvizsgálat megkezdése előtt ellenőriznie kell, hogy a listában szereplő felhasználók megegyeznek-e az alkalmazások belső adattárában lévőkkel. Azure AD nem importálja automatikusan a felhasználókat vagy hozzáférési jogosultságaikat egy alkalmazásból, de a PowerShell használatával hozzárendelhet felhasználókat egy alkalmazásszerepkörhöz. Az alkalmazás meglévő felhasználóinak szabályozása című cikkből megtudhatja, hogyan hozhatja be a különböző alkalmazásadattárak felhasználóit Azure AD, és hogyan rendelheti hozzá őket egy alkalmazásszerepkörhöz.

  11. Ellenőrizze, hogy az összes felhasználó ugyanahhoz az alkalmazásszerepkörhöz van-e hozzárendelve, például a Felhasználóhoz. Ha a felhasználók több szerepkörhöz vannak hozzárendelve, akkor ha létrehoz egy hozzáférési felülvizsgálatot az alkalmazásról, akkor az alkalmazás összes szerepköréhez tartozó összes hozzárendelés együtt lesz áttekintve.

  12. Ellenőrizze a szerepkörökhöz rendelt címtárobjektumok listáját, és ellenőrizze, hogy nincsenek-e hozzárendelt csoportok az alkalmazásszerepkörökhöz. Ezt az alkalmazást akkor lehet áttekinteni, ha van egy szerepkörhöz hozzárendelt csoport; A szerepkörhöz rendelt csoport tagjaként és hozzáférését megtagadó felhasználó azonban nem lesz automatikusan eltávolítva a csoportból. Ha az alkalmazás maga nem támaszkodik csoportokra, akkor javasoljuk, hogy először alakítsa át az alkalmazást közvetlen felhasználói hozzárendelésekká a csoportok tagjai helyett, hogy a hozzáférési felülvizsgálat során megtagadott felhasználók automatikusan eltávolíthassák az alkalmazásszerepkör-hozzárendelésüket. Ha az alkalmazás csoportokra támaszkodik, és az alkalmazás összes csoportja ugyanahhoz az alkalmazásszerepkörhöz van hozzárendelve, akkor az alkalmazás-hozzárendelések áttekintése helyett a csoporttagságokat fogja áttekinteni.

Ezután, ha az alkalmazásintegrációhoz egy vagy több csoportot is felül kell vizsgálni a B mintában leírtak szerint, ellenőrizze, hogy az egyes csoportok készen állnak-e a felülvizsgálatra.

  1. A Azure AD Azure Portal felületén kattintson a Csoportok elemre, majd válassza ki a csoportot a listából.
  2. Az Áttekintés lapon ellenőrizze, hogy a Tagság típusaHozzárendelve, a Forrás pedig a Felhő. Ha az alkalmazás dinamikus csoportot vagy helyszíniről szinkronizált csoportot használ, akkor ezek a csoporttagságok nem módosíthatók Azure AD. Javasoljuk, hogy konvertálja az alkalmazást a hozzárendelt tagsággal rendelkező Azure AD létrehozott csoportokká, majd másolja a tagfelhasználókat az új csoportba.
  3. Váltson a Szerepkörök és rendszergazdák lapra. Ez a lap azokat a felügyeleti szerepköröket jeleníti meg, amelyek a csoport Azure AD való megjelenítését szabályozzák, nem pedig az alkalmazás hozzáférési jogosultságait. Minden olyan rendszergazdai szerepkör esetében, amely lehetővé teszi a csoporttagság módosítását, és rendelkezik az adott rendszergazdai szerepkörrel rendelkező felhasználókat, győződjön meg arról, hogy csak a jogosult felhasználók szerepelnek ebben a szerepkörben.
  4. Váltson a Tagok lapra. Ellenőrizze, hogy a csoport tagjai felhasználók-e, és hogy nincsenek-e nem felhasználói vagy beágyazott csoportok. Ha a felülvizsgálat megkezdésekor nincsenek csoporttagok, a csoport áttekintése azonnal befejeződik.
  5. Váltson a Tulajdonosok lapra. Győződjön meg arról, hogy egyetlen jogosult felhasználó sem jelenik meg tulajdonosként. Ha megkéri a csoporttulajdonosokat, hogy végezhessék el egy csoport hozzáférési felülvizsgálatát, akkor győződjön meg arról, hogy a csoportnak legalább egy tulajdonosa van.

Megfelelő véleményezők kiválasztása

Az egyes hozzáférési felülvizsgálatok létrehozásakor a rendszergazdák választhatnak egy vagy több véleményezőt. A véleményezők felülvizsgálatot végezhetnek úgy, hogy kiválasztják a felhasználókat az erőforrásokhoz való folyamatos hozzáféréshez, vagy eltávolítják őket.

Általában az erőforrás tulajdonosa felelős a felülvizsgálat végrehajtásáért. Ha egy csoport áttekintését hozza létre a B mintában integrált alkalmazás hozzáférésének felülvizsgálata részeként, akkor véleményezőként kiválaszthatja a csoporttulajdonosokat. Mivel a Azure AD alkalmazásainak nem feltétlenül van tulajdonosuk, az alkalmazás tulajdonosának véleményezőként való kiválasztásának lehetősége nem lehetséges. Ehelyett a felülvizsgálat létrehozásakor megadhatja az alkalmazástulajdonosok nevét, hogy a véleményezők legyenek.

Egy csoport vagy alkalmazás felülvizsgálatának létrehozásakor többszakaszos felülvizsgálatot is választhat. Választhatja például, hogy az egyes hozzárendelt felhasználók felettese végezze el a felülvizsgálat első szakaszát, az erőforrás tulajdonosa pedig a második szakaszt. Így az erőforrás tulajdonosa azokra a felhasználókra összpontosíthat, akiket a felettese már jóváhagyott.

A felülvizsgálatok létrehozása előtt ellenőrizze, hogy legalább annyi Prémium P2 szintű Azure AD licenccel rendelkezik-e a bérlőben, mint a véleményezőkhöz rendelt tagfelhasználók. Azt is ellenőrizze, hogy az összes véleményező aktív e-mail-címmel rendelkező felhasználó-e. Amikor a hozzáférési felülvizsgálatok elindulnak, mindegyik áttekint egy e-mailt Azure AD. Ha a véleményezőnek nincs postaládája, nem kapja meg az e-mailt a véleményezés indításakor vagy e-mail-emlékeztetőkor. Ha pedig nem tudnak bejelentkezni a Azure AD, nem fogják tudni elvégezni a felülvizsgálatot.

Vélemények létrehozása

Miután azonosította az erőforrásokat, az alkalmazást és opcionálisan egy vagy több csoportot az integrációs minta alapján, és hogy kik legyenek a véleményezők, konfigurálhatja a Azure AD a felülvizsgálatok indításához.

  1. Ehhez a lépéshez a vagy Identity Governance administrator a Global administrator szerepkörben kell lennie.

  2. Az A és a C mintákban egy hozzáférési felülvizsgálatot fog létrehozni, kiválasztva az alkalmazást. A csoportok vagy alkalmazások hozzáférési felülvizsgálatának létrehozásához kövesse az útmutató utasításait az alkalmazás szerepkör-hozzárendeléseinek áttekintéséhez.

  3. Ha az alkalmazás integrálva van a B mintával, ugyanezzel az útmutatóval további hozzáférési felülvizsgálatokat hozhat létre az egyes csoportokhoz.

    Megjegyzés

    Ha hozzáférési felülvizsgálatot hoz létre, és engedélyezi a döntési segédek felülvizsgálatát, a döntési segéd a felülvizsgálandó erőforrástól függően változik. Ha az erőforrás egy alkalmazás, a javaslatok a 30 napos intervallumon alapulnak attól függően, hogy a felhasználó mikor jelentkezett be utoljára az alkalmazásba. Ha az erőforrás egy csoport, akkor a javaslatok azon az időtartamon alapulnak, amikor a felhasználó legutóbb bejelentkezett a bérlő bármely alkalmazásába, nem csak az adott csoportokat használó alkalmazásba.

  4. Amikor a hozzáférési felülvizsgálatok elindulnak, kérje meg a véleményezőket, hogy adjanak meg bemenetet. Alapértelmezés szerint mindegyik e-mailt kap a Azure AD a hozzáférési panelre mutató hivatkozással, ahol áttekintik a csoportok tagságát vagy az alkalmazáshoz való hozzáférést.

A felülvizsgálatok befejezésekor frissülő hozzárendelések megtekintése

A felülvizsgálatok elkezdése után figyelheti az előrehaladásukat, és szükség esetén frissítheti a jóváhagyókat, amíg a felülvizsgálat befejeződik. Ezután ellenőrizheti, hogy azok a felhasználók, akiknek a hozzáférését a felülvizsgálók megtagadták, eltávolítják-e a hozzáférésüket az alkalmazásból.

  1. Monitorozza a hozzáférési felülvizsgálatokat, és győződjön meg arról, hogy a felülvizsgálók olyan kijelöléseket végeznek, amelyek jóváhagyják vagy megtagadják a felhasználó folyamatos hozzáférésre való igényét, amíg a hozzáférési felülvizsgálat befejeződik.

  2. Ha az automatikus alkalmazás nem lett kiválasztva a felülvizsgálat létrehozásakor, akkor a befejezéskor alkalmaznia kell a felülvizsgálati eredményeket.

  3. Várja meg, amíg a felülvizsgálat állapota alkalmazott eredményre változik. Várhatóan néhány perc múlva el kell távolítani a csoporttagságból vagy alkalmazás-hozzárendelésből a megtagadott felhasználókat, ha vannak ilyenek.

  4. Ha korábban már konfigurálta a felhasználók alkalmazását, akkor az eredmények alkalmazásakor Azure AD megkezdi a megtagadott felhasználók megszüntetését az alkalmazásból. Figyelheti a felhasználók megszüntetésének folyamatát. Ha a kiépítés hibát jelez az alkalmazással kapcsolatban, letöltheti a kiépítési naplót annak vizsgálatához, hogy történt-e probléma az alkalmazással.

  5. Ha konfigurálta a csoportvisszaírót az ellenőrzött csoportokhoz, várjon, amíg a csoportvisszaírás befejeződik Azure AD Connectben, és a módosítások az összes tartományvezérlőre propagálnak.

  6. Ha a kiépítés nincs konfigurálva az alkalmazáshoz, akkor előfordulhat, hogy külön kell átmásolnia a letiltott felhasználók listáját az alkalmazásba. Egy Windows Server AD felügyelt csoport hozzáférési felülvizsgálataiban például használja ezt a PowerShell-mintaszkriptet. A szkript felvázolja a szükséges Microsoft Graph-hívásokat, és exportálja a Windows Server AD PowerShell-parancsmagokat a módosítások végrehajtásához.

  7. Ha szeretné, letöltheti a befejezett felülvizsgálatok áttekintési előzményeiről szóló jelentést is.

  8. Az, hogy egy felhasználó, aki megtagadta a folyamatos hozzáférést, továbbra is használhatja az összevont alkalmazást, az alkalmazás saját munkamenet-élettartamától és a hozzáférési jogkivonat élettartamától függ. Ha az alkalmazások Kerberost használtak, mivel a Kerberos gyorsítótárazza egy felhasználó csoporttagságait, amikor bejelentkeznek egy tartományba, a felhasználók továbbra is hozzáférhetnek, amíg le nem járnak a Kerberos-jegyeik. A hozzáférési jogkivonatok élettartamának szabályozásáról további információt a konfigurálható jogkivonat-élettartamok című témakörben talál.

Következő lépések