Csoportok és alkalmazások hozzáférési felülvizsgálatának befejezése a hozzáférési felülvizsgálatokban

  • Cikk

Rendszergazdaként létrehoz egy hozzáférési felülvizsgálatot a csoportokról vagy alkalmazásokról, és a véleményezők elvégzik a hozzáférési felülvizsgálatot. Ez a cikk bemutatja, hogyan tekintheti meg és alkalmazhatja a hozzáférési felülvizsgálat eredményeit.

Megjegyzés:

Ez a cikk a személyes adatok eszközről vagy szolgáltatásból való törlésének lépéseit ismerteti, és a GDPR szerinti kötelezettségek támogatására használható. A GDPR-rel kapcsolatos általános információkért tekintse meg a Microsoft Adatvédelmi központ GDPR szakaszát és a Szolgáltatás megbízhatósági portáljának GDPR szakaszát.

Előfeltételek

  • Microsoft Entra ID P2 vagy Microsoft Entra ID-kezelés
  • Globális rendszergazda, felhasználóadminisztrátor vagy identitásirányítási rendszergazda a csoportokra és alkalmazásokra vonatkozó felülvizsgálatok hozzáférésének kezeléséhez. A Globális Rendszergazda istrator vagy a Privileged Role Rendszergazda istrator szerepkört használó felhasználók kezelhetik a szerepkör-hozzárendelhető csoportok véleményezéseit. Lásd: Microsoft Entra-csoportok használata szerepkör-hozzárendelések kezeléséhez
  • A biztonsági olvasók olvasási hozzáféréssel rendelkeznek.

További információ: Licenckövetelmények.

Hozzáférési felülvizsgálat állapotának megtekintése

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A hozzáférési felülvizsgálatok előrehaladását a befejezésükkor követheti nyomon.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

  2. Keresse meg az identitásszabályozási>hozzáférési felülvizsgálatokat.

  3. A listában válasszon egy hozzáférési felülvizsgálatot.

    Az Áttekintés lapon láthatja a felülvizsgálat aktuális példányának állapotát. Ha jelenleg nincs megnyitva aktív példány, az előző példány adatait fogja látni. A címtárban a hozzáférési jogosultságok nem változnak a felülvizsgálat befejezéséig.

    Review of All company group

    Az Aktuális panelek csak az egyes felülvizsgálati példányok időtartama alatt tekinthetők meg.

    Megjegyzés:

    Bár az aktuális hozzáférés-felülvizsgálat csak az aktív felülvizsgálati példányra vonatkozó információkat jeleníti meg, az Ütemezett felülvizsgálat szakaszban az Adatsorban még lezajlott felülvizsgálatokról kaphat információt.

    Az Eredmények lap további információkat tartalmaz a példányban felülvizsgálat alatt álló felhasználókról, beleértve a leállítási, alaphelyzetbe állítási és letöltési eredményeket.

    Review guest access across Microsoft 365 groups

    Ha a Microsoft 365-csoportok vendéghozzáféréseit áttekintő hozzáférési felülvizsgálatot tekint meg, az Áttekintés panel felsorolja a véleményben szereplő csoportokat.

    review guest access across Microsoft 365 groups

    A csoportra kattintva megtekintheti a csoport véleményezésének előrehaladását, valamint a Leállítás, Alaphelyzetbe állítás, Alkalmazás és Törlés parancsot is.

    review guest access across Microsoft 365 groups in detail

  4. Ha le szeretne állítani egy hozzáférési felülvizsgálatot, mielőtt elérte volna az ütemezett befejezési dátumot, válassza a Leállítás gombot.

    Ha leállítja a felülvizsgálatot, a véleményezők már nem fognak tudni válaszokat adni. A felülvizsgálat leállítása után nem indítható újra.

  5. Ha már nem érdekli a hozzáférési felülvizsgálat, a Törlés gombra kattintva törölheti.

Többszakaszos felülvizsgálat állapotának megtekintése (előzetes verzió)

Többszakaszos hozzáférési felülvizsgálat állapotának és szakaszának megtekintéséhez:

  1. Válassza ki azt a többszakaszos felülvizsgálatot, amelyben ellenőrizni szeretné annak állapotát, vagy hogy milyen fázisban van.

  2. Válassza az Eredmények lehetőséget a bal oldali navigációs menü Aktuális menüjében.

  3. Ha az eredmények oldalon van, az Állapot területen jelzi, hogy a többszakaszos felülvizsgálat melyik szakaszában van. A felülvizsgálat következő szakasza csak akkor válik aktívvá, ha a hozzáférési felülvizsgálat beállítása során megadott időtartam lejárt.

  4. Ha döntés született, de a szakasz véleményezési időtartama még nem járt le, az eredményoldalon az Aktuális szakasz leállítása gombot választhatja. Ez elindítja a felülvizsgálat következő szakaszát.

Az eredmény lekérése

A véleményezés eredményeinek megtekintéséhez válassza az Eredmények lapot. Egy felhasználó hozzáférésének megtekintéséhez a Keresőmezőbe írja be annak a felhasználónak a megjelenített nevét vagy egyszerű felhasználónevét, akinek a hozzáférését felülvizsgálták.

Retrieve results for an access review

Ha meg szeretné tekinteni egy ismétlődő hozzáférési felülvizsgálat befejezett példányának eredményeit, válassza az Előzmények áttekintése lehetőséget, majd a példány kezdő és záró dátuma alapján válassza ki az adott példányt a befejezett hozzáférés-felülvizsgálati példányok listájából. A példány eredményei az Eredmények oldalról kérhetők le. Az ismétlődő hozzáférési felülvizsgálatok lehetővé teszik, hogy állandó képet adjon az erőforrásokhoz való hozzáférésről, amelyeket esetleg gyakrabban kell frissíteni, mint az egyszeri hozzáférési felülvizsgálatok.

A folyamatban lévő vagy befejezett hozzáférési felülvizsgálat eredményeinek lekéréséhez válassza a Letöltés gombot. Az eredményül kapott CSV-fájl megtekinthető az Excelben vagy más programban, amely meg tudja nyitni az UTF-8 kódolású CSV-fájlokat.

Az eredmények programozott lekérése

A hozzáférési felülvizsgálat eredményeit a Microsoft Graph vagy a PowerShell használatával is lekérheti.

Először meg kell keresnie a hozzáférési felülvizsgálat példányát . Ha az accessReviewScheduleDefinition ismétlődő hozzáférési felülvizsgálat, a példányok az egyes ismétlődéseket jelölik. A nem ismétlődő felülvizsgálatnak pontosan egy példánya lesz. A példányok az ütemezés definíciójában áttekintett egyedi csoportokat is jelölik. Ha egy ütemezésdefiníció több csoportot tekint át, minden csoportnak egyedi példánya lesz az egyes ismétlődésekhez. Minden példány tartalmazza azoknak a döntéseknek a listáját, amelyeken a véleményezők műveletet hajthatnak végre, identitásonként egy döntéssel.

Miután azonosította a példányt, a graph használatával lekérheti a döntéseket, és meghívja a Graph API-t egy példány döntéseinek listázásához. Ha ez egy többszakaszos felülvizsgálat, hívja meg a Graph API-t, hogy listázza a többszakaszos hozzáférési felülvizsgálat döntéseit. A hívónak olyan felhasználónak kell lennie, aki megfelelő szerepkörrel rendelkezik egy delegált vagy AccessReview.ReadWrite.All engedéllyel rendelkező alkalmazással, vagy egy olyan alkalmazással, amely rendelkezik a delegált AccessReview.Read.All vagy AccessReview.ReadWrite.All az AccessReview.Read.All alkalmazás engedélyével. További információkért tekintse át a biztonsági csoportokat ismertető oktatóanyagot.

A PowerShellben hozott döntéseket a Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision Microsoft Graph PowerShell identitásszabályozási parancsmagjai modulból is lekérheti. Vegye figyelembe, hogy az API alapértelmezett oldalmérete 100 döntési elem.

A módosítások alkalmazása

Ha az automatikus alkalmazás az erőforrásra a befejezési beállításokban megadott beállítások alapján lett engedélyezve, a rendszer automatikusan végrehajtja az automatikus alkalmazást, ha egy felülvizsgálati példány befejeződik, vagy korábban, ha manuálisan állítja le a felülvizsgálatot.

Ha az erőforrás automatikus alkalmazása nem volt engedélyezve a felülvizsgálathoz, keresse meg a Véleményezés előzményei szakaszt a Sorozat területen, miután a véleményezési időtartam véget ért, vagy a felülvizsgálat korai leállt, és válassza ki az alkalmazni kívánt felülvizsgálat példányát.

Apply access review changes

Válassza az Alkalmaz lehetőséget a módosítások manuális alkalmazásához. Ha egy felhasználó hozzáférése megtagadva lett a felülvizsgálatban, az Alkalmaz lehetőség kiválasztásakor a Microsoft Entra-azonosító eltávolítja a tagságot vagy az alkalmazás-hozzárendelést.

Apply access review changes button

A felülvizsgálat állapota a Befejezve állapottól a köztes állapotokon keresztül változik, például az Alkalmazás és végül az alkalmazott állapoteredmény állapotra. Várhatóan néhány percen belül el lesznek távolítva a csoporttagságból vagy az alkalmazás-hozzárendelésből a megtagadott felhasználók, ha vannak ilyenek.

Az eredmények manuális vagy automatikus alkalmazása nem befolyásolja a helyszíni címtárból származó csoportokat. Ha módosítani szeretne egy, a helyszínről származó csoportot, töltse le az eredményeket, és alkalmazza ezeket a módosításokat a csoportnak a címtárban való megjelenítésére.

Megjegyzés:

Egyes megtagadott felhasználók nem tudják alkalmazni rájuk az eredményeket. Ilyen forgatókönyvek például a következők:

  • Szinkronizált helyszíni Windows Server AD-csoport tagjainak áttekintése: Ha a csoport szinkronizálva van a helyszíni Windows Server AD-ből, a csoport nem kezelhető a Microsoft Entra-azonosítóban, ezért a tagság nem módosítható.
  • Egy beágyazott csoportokkal rendelkező erőforrás (szerepkör, csoport, alkalmazás) áttekintése: A beágyazott csoporton keresztül tagsággal rendelkező felhasználók számára nem távolítjuk el a tagságukat a beágyazott csoporthoz, ezért továbbra is hozzáférnek a vizsgált erőforráshoz.
  • A felhasználó nem található /egyéb hibák azt is eredményezhetik, hogy az alkalmazás eredménye nem támogatott.
  • A levelezési csoport tagjainak áttekintése: A csoport nem kezelhető a Microsoft Entra-azonosítóban, így a tagság nem módosítható.
  • A csoporthozzárendelést használó alkalmazások áttekintése nem távolítja el a csoportok tagjait, így megtartják az alkalmazás-hozzárendelés csoportkapcsolatából a meglévő hozzáférést.

A hozzáférés-felülvizsgálat során a megtagadott vendégfelhasználókon végrehajtott műveletek

A felülvizsgálat létrehozásakor a létrehozó két lehetőség közül választhat a megtagadott vendégfelhasználók számára a hozzáférési felülvizsgálatban.

  • A megtagadott vendégfelhasználók hozzáférhetnek az erőforráshoz. Ez az alapértelmezett beállítás.
  • A megtagadott vendégfelhasználó 30 napig letiltható, majd törölhető a bérlőből. A 30 napos időszak alatt a vendégfelhasználó visszaállíthatja a bérlőhöz való hozzáférést egy rendszergazda által. A 30 napos időszak leteltével, ha a vendégfelhasználó nem fért hozzá ismét a számára biztosított erőforráshoz, a rendszer véglegesen eltávolítja őket a bérlőből. Emellett a Microsoft Entra felügyeleti központ használatával a globális Rendszergazda istrator explicit módon véglegesen törölhet egy nemrég törölt felhasználót az adott időszak elérése előtt. A felhasználó végleges törlése után a vendégfelhasználó adatai el lesznek távolítva az aktív hozzáférési felülvizsgálatokból. A törölt felhasználókkal kapcsolatos naplózási információk az auditnaplóban maradnak.

A megtagadott B2B közvetlen kapcsolódási felhasználókon végrehajtott műveletek

A megtagadott B2B közvetlen kapcsolódási felhasználók és csapatok elveszítik a hozzáférést a csoport összes megosztott csatornája számára.

További lépések