Csoportok és alkalmazások hozzáférési felülvizsgálatának befejezése a hozzáférési felülvizsgálatokban

Rendszergazdaként létrehoz egy hozzáférési felülvizsgálatot a csoportokról vagy alkalmazásokról , és a véleményezők elvégzik a hozzáférési felülvizsgálatot. Ez a cikk bemutatja, hogyan tekintheti meg és alkalmazhatja a hozzáférési felülvizsgálat eredményeit.

Feljegyzés

Ez a cikk a személyes adatok eszközről vagy szolgáltatásból való törlésének lépéseit ismerteti, és a GDPR szerinti kötelezettségek támogatására használható. A GDPR-ról a Microsoft Adatvédelmi központ GDPR-szakaszában, valamint a Szolgáltatásmegbízhatósági portál GDPR-szakaszában találhat általános információkat.

Előfeltételek

• Microsoft Entra ID P2 vagy Microsoft Entra ID-kezelés
• Legalább a felhasználói rendszergazda vagy az identitásirányítási rendszergazda szerepköre a csoportok és alkalmazások véleményezéseinek hozzáférésének kezeléséhez. Azok a felhasználók, akik legalább kiemelt szerepkör-rendszergazdai szerepkörökhöz tartoznak, kezelhetik a szerepkör-hozzárendeléssel rendelkező csoportok felülvizsgálatát. Lásd: Szerepkör-hozzárendelések kezelése a Microsoft Entra-csoportok használatával
• A biztonsági olvasók olvasási hozzáféréssel rendelkeznek.

További információ: Licenckövetelmények.

Hozzáférési felülvizsgálat állapotának megtekintése

Végezze el az alábbi lépéseket a hozzáférési felülvizsgálatok előrehaladásának nyomon követéséhez.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.

2. Keresse meg az azonosítószabályozási>hozzáférési felülvizsgálatokat.

3. A listában válasszon egy hozzáférési felülvizsgálatot.

   Az Áttekintés lapon láthatja a felülvizsgálat aktuális példányának állapotát. Ha jelenleg nincs megnyitva aktív példány, az előző példány adatai láthatók. A címtárban a hozzáférési jogosultságok nem változnak a felülvizsgálat befejezéséig.

   

   Az Aktuális lapok csak az egyes felülvizsgálatok időtartama alatt tekinthetők meg.

   Feljegyzés

   Bár az Aktuális hozzáférési felülvizsgálat csak az aktív felülvizsgálati példányra vonatkozó információkat jeleníti meg, a Többszakaszos áttekintés (előzetes verzió) szakasz Nézet állapota alatt az Adatsorban még lezajlott felülvizsgálatokról kaphat információt.

   Az Eredmények oldal további információkat nyújt a példányban felülvizsgálat alatt álló felhasználókról, beleértve az eredmények leállításának, alaphelyzetbe állításának és letöltésének lehetőségét.

   

   Ha olyan hozzáférési felülvizsgálatot tekint meg, amely a Microsoft 365-csoportok vendéghozzáféréseit ellenőrzi, az Áttekintés panel felsorolja a felülvizsgálatban szereplő csoportokat.

   

   A csoportra kattintva megtekintheti a csoport véleményezésének előrehaladását, valamint a Leállítás, Alaphelyzetbe állítás, Alkalmazás és Törlés parancsot is.

   

4. Ha le szeretne állítani egy hozzáférési felülvizsgálatot, mielőtt az elérené az ütemezett befejezési dátumot, válassza a Leállítás gombot.

   Ha leállítja a felülvizsgálatot, a véleményezők már nem fognak tudni válaszokat adni. A felülvizsgálat leállítása után nem indítható újra.

   Feljegyzés

   A Leállítás beállítás csak egy adott felülvizsgálati példányhoz érhető el, a teljes ismétlődő felülvizsgálati sorozathoz nem. Ha le szeretne állítani egy ismétlődő felülvizsgálati sorozatot, szerkesztheti az adatsort, és frissítheti a Befejezés beállítást a kívánt dátumra, amikor le szeretné állítani az adatsort. Ez a módosítás megakadályozza, hogy a jövőbeli felülvizsgálati példányok a frissített befejezési dátumon túl létrejönnek.

5. Ha már nem érdekli a hozzáférési felülvizsgálat, a Törlés gombra kattintva törölheti.

Többszakaszos felülvizsgálat állapotának megtekintése (előzetes verzió)

Többszakaszos hozzáférési felülvizsgálat állapotának és szakaszának megtekintéséhez:

1. Válassza ki azt a többszakaszos felülvizsgálatot, amelyben ellenőrizni szeretné annak állapotát, vagy hogy milyen fázisban van.

2. Válassza az Eredmények lehetőséget a bal oldali navigációs menü Aktuális menüjében.

3. Ha az eredmények oldalon van, az Állapot területen jelzi, hogy a többszakaszos felülvizsgálat melyik szakaszában van. A felülvizsgálat következő szakasza csak akkor válik aktívvá, ha a hozzáférési felülvizsgálat beállítása során megadott időtartam el nem telik.

4. Ha döntés születik, de a szakasz véleményezési időtartama még nem járt le, a Találatok lapon az Aktuális szakasz leállítása gombot választhatja. Ez elindítja a felülvizsgálat következő szakaszát.

Az eredmény lekérése

A véleményezés eredményeinek megtekintéséhez válassza az Eredmények lapot. Egy felhasználó hozzáférésének megtekintéséhez a Keresőmezőbe írja be annak a felhasználónak a megjelenített nevét vagy egyszerű felhasználónevét, akinek a hozzáférését felülvizsgálták.

Ha meg szeretné tekinteni egy ismétlődő hozzáférési felülvizsgálat befejezett példányának eredményeit, válassza az Előzmények áttekintése lehetőséget, majd a példány kezdő és záró dátuma alapján válassza ki az adott példányt a befejezett hozzáférés-felülvizsgálati példányok listájából. A példány eredményei az Eredmények lapon olvashatók le. Az ismétlődő hozzáférési felülvizsgálatok lehetővé teszik, hogy állandó képet adjon az erőforrásokhoz való hozzáférésről, amelyeket esetleg gyakrabban kell frissíteni, mint az egyszeri hozzáférési felülvizsgálatok.

A folyamatban lévő vagy befejezett hozzáférési felülvizsgálat eredményeinek lekéréséhez válassza a Letöltés gombot. Az eredményül kapott CSV-fájl megtekinthető az Excelben vagy más programban, amely meg tudja nyitni az UTF-8 kódolású CSV-fájlokat.

Az eredmények programozott lekérése

A hozzáférési felülvizsgálat eredményeit a Microsoft Graph vagy a PowerShell használatával is lekérheti.

Először meg kell találnia a hozzáférési felülvizsgálat példányát. Ha az accessReviewScheduleDefinition ismétlődő hozzáférési felülvizsgálat, az alkalmak képviselik az egyes ismétlődéseket. Egy nem ismétlődő felülvizsgálatnak pontosan egy példánya van. A példányok továbbá az ütemezés definíciójában áttekintett egyedi csoportokat képviselik. Ha egy ütemezési beállítás több csoportot vizsgál, akkor minden csoportnak egyedi példánya van minden ismétlődéshez. Minden példány tartalmaz egy listát azokról a döntésekről, amelyeken a véleményezők cselekedhetnek, és minden egyes identitás esetében egy döntést vizsgálnak felül.

Miután azonosította a példányt, hogy lekérje a döntéseket a Graph használatával, hívja meg a Graph API-t egy példány döntéseinek listázásához. Ha az eset többszakaszos hozzáférési felülvizsgálat, használja a Graph API-t, hogy megjelenítse a döntéseket a többszakaszos hozzáférési felülvizsgálat keretében. A hívónak vagy olyan felhasználónak kell lennie, aki megfelelő szerepkörrel rendelkezik egy alkalmazással, amelynek delegált AccessReview.Read.All vagy AccessReview.ReadWrite.All engedélye van, vagy egy olyan alkalmazásnak, amely AccessReview.Read.All vagy AccessReview.ReadWrite.All alkalmazás engedéllyel rendelkezik. További információért nézze meg a biztonsági csoportok áttekintéséről szóló oktatóanyagot.

A PowerShellben hozott döntéseket a Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecisionMicrosoft Graph PowerShell identitásszabályozási parancsmagjai modulból is lekérheti. Az API alapértelmezett oldalmérete 100 döntési elem.

A módosítások alkalmazása

Ha az automatikus alkalmazás az erőforrásra a megadott választásai szerint a befejezési beállításokban lett engedélyezve, automatikusan végrehajtódik a felülvizsgálati folyamat befejeződése után, vagy korábban, ha manuálisan megszakítja a felülvizsgálatot.

Ha az eredmények automatikus alkalmazása az erőforrásra nem volt engedélyezve a felülvizsgálathoz, keresse meg a Felülvizsgálat előzményei szakaszt a Sorozat területen, amikor a véleményezési időtartam véget ér, vagy ha a felülvizsgálatot korábban leállították, és válassza ki annak a felülvizsgálatnak a példányát, amelyet alkalmazni szeretne.

Válassza az Alkalmaz lehetőséget a módosítások manuális alkalmazásához. Ha egy felhasználó hozzáférése megtagadva lett a felülvizsgálatban, az Alkalmaz lehetőség kiválasztásakor a Microsoft Entra-azonosító eltávolítja a tagságot vagy az alkalmazás-hozzárendelést.

A felülvizsgálat állapota a Befejezve állapottól a köztes állapotokon keresztül változik, például az Alkalmazás és végül az alkalmazott állapoteredmény állapotra. Várhatóan néhány percen belül el lesznek távolítva a csoporttagságból vagy az alkalmazás-hozzárendelésből a megtagadott felhasználók, ha vannak ilyenek.

Az eredmények manuális vagy automatikus alkalmazása nem befolyásolja a helyszíni címtárból származó csoportokat. Ha módosítani szeretne egy, a helyszínről származó csoportot, töltse le az eredményeket, és alkalmazza ezeket a módosításokat a csoportnak a címtárban való megjelenítésére.

Feljegyzés

Egyes megtagadott felhasználók nem tudják alkalmazni rájuk az eredményeket. Ilyen forgatókönyvek például a következők:

• Szinkronizált helyszíni Windows Server AD-csoport tagjainak áttekintése: Ha a csoport a helyszíni Windows Server AD-ből van szinkronizálva, a csoport nem kezelhető a Microsoft Entra-azonosítóban, ezért a tagság nem módosítható.
• Egy erőforrás (szerepkör, csoport, alkalmazás) áttekintése beágyazott csoportokkal: A beágyazott csoporton keresztül tagsággal rendelkező felhasználók számára nem távolítjuk el a tagságukat a beágyazott csoporthoz, ezért továbbra is hozzáférhetnek a vizsgált erőforráshoz.
• A felhasználó nem található /egyéb hibák azt is eredményezhetik, hogy az alkalmazás eredménye nem támogatott.
• A levelezési csoport tagjainak áttekintése: A csoport nem kezelhető a Microsoft Entra-azonosítóban, így a tagság nem módosítható.
• A csoporthozzárendelést használó alkalmazások áttekintése nem távolítja el a csoportok tagjait, így megtartják az alkalmazás-hozzárendelés csoportkapcsolatából a meglévő hozzáférést.

Feljegyzés

A hozzáférési felülvizsgálattal kapcsolatos döntések nem módosítják a dinamikus csoportok tagságát. Ezeket a csoportokat szabályok felhasználói kezelik, és mindaddig tagok maradnak, amíg megfelelnek a szabályfeltételeknek.

A hozzáférés-felülvizsgálat során a megtagadott vendégfelhasználókon végrehajtott műveletek

A felülvizsgálat létrehozásakor a létrehozó két lehetőség közül választhat a megtagadott vendégfelhasználók számára a hozzáférési felülvizsgálatban.

• A megtagadott vendégfelhasználóknak megszüntethetik a hozzáférésüket az erőforráshoz. Ez az alapértelmezett beállítás.
• A megtagadott vendégfelhasználó 30 napig letiltható, majd törölhető a bérlőből. A 30 napos időszak alatt a vendégfelhasználó visszaállíthatja a bérlőhöz való hozzáférést egy rendszergazda által. A 30 napos időszak leteltével, ha a vendégfelhasználó nem fért hozzá ismét a számára biztosított erőforráshoz, a rendszer véglegesen eltávolítja őket a bérlőből. Emellett a Microsoft Entra felügyeleti központ használatával a globális rendszergazda explicit módon véglegesen törölhet egy nemrég törölt felhasználót az adott időszak elérése előtt. A felhasználó végleges törlése után a vendégfelhasználó adatai el lesznek távolítva az aktív hozzáférés-felülvizsgálatokból. A törölt felhasználókkal kapcsolatos naplózási információk az auditnaplóban maradnak.

A megtagadott B2B közvetlen kapcsolódási felhasználókon végrehajtott műveletek

A megtagadott B2B közvetlen kapcsolódási felhasználók és csapatok elveszítik a hozzáférést a csoport összes megosztott csatornája számára.

Következő lépések

• Hozzáférési felülvizsgálatok kezelése
• Csoportok vagy alkalmazások hozzáférési felülvizsgálatának létrehozása
• A Microsoft Entra felügyeleti szerepkörrel rendelkező felhasználók hozzáférési felülvizsgálatának létrehozása