Menyelesaikan tinjauan akses grup dan aplikasi dalam tinjauan akses

  • Artikel

Sebagai admin, Anda membuat tinjauan akses grup atau aplikasi dan peninjau yang melakukan tinjauan akses. Artikel ini menjelaskan cara melihat hasil tinjauan akses dan menerapkannya.

Catatan

Artikel ini memberikan langkah-langkah tentang cara menghapus data privat dari perangkat atau layanan dan dapat digunakan untuk mendukung kewajiban Anda berdasarkan GDPR. Untuk informasi umum tentang GDPR, lihat bagian GDPR di Pusat Kepercayaan Microsoft dan bagian GDPR di portal Kepercayaan Layanan.

Prasyarat

  • Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra
  • Administrator global, Administrator pengguna, atau administrator Tata Kelola Identitas untuk mengelola akses ulasan pada grup dan aplikasi. Pengguna yang memiliki peran Administrator Global atau peran Administrator Peran Istimewa dapat mengelola tinjauan grup yang dapat ditetapkan peran, lihat Menggunakan grup Microsoft Entra untuk mengelola penetapan peran
  • Pembaca keamanan memiliki akses baca.

Untuk informasi selengkapnya, lihat Persyaratan lisensi.

Lihat status tinjauan akses

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Anda dapat melacak kemajuan tinjauan akses saat selesai.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri Tinjauan Akses tata kelola identitas>.

  3. Dalam daftar, pilih tinjauan akses.

    Pada halaman Ringkasan, Anda dapat melihat kemajuan instans tinjauan Saat ini. Jika tidak ada instans aktif yang terbuka pada saat itu, Anda akan melihat informasi pada instans sebelumnya. Tidak ada hak akses yang diubah dalam direktori sebelum tinjauan selesai.

    Review of All company group

    Semua blade di bagian Saat ini hanya dapat dilihat selama durasi setiap instans tinjauan.

    Catatan

    Meskipun tinjauan akses Saat ini hanya menampilkan informasi tentang instans tinjauan aktif, Anda bisa mendapatkan informasi tentang tinjauan yang belum dilakukan di Seri di bawah bagian Peninjauan terjadwal.

    Halaman Hasil memberikan lebih banyak informasi tentang setiap pengguna yang sedang ditinjau dalam instans, termasuk kemampuan untuk Menghentikan, Mengatur Ulang, dan Mengunduh hasil.

    Review guest access across Microsoft 365 groups

    Jika Anda melihat tinjauan akses yang meninjau akses tamu di seluruh grup Microsoft 365, bilah Gambaran Umum mencantumkan setiap grup dalam tinjauan.

    review guest access across Microsoft 365 groups

    Pilih grup untuk melihat kemajuan tinjauan pada grup tersebut, juga untuk Menghentikan, Mereset, Menerapkan, dan Menghapus.

    review guest access across Microsoft 365 groups in detail

  4. Jika Anda ingin menghentikan tinjauan akses sebelum mencapai tanggal akhir terjadwal, pilih tombol Hentikan .

    Apakah Anda ingin menghentikan peninjauan saat ini? Peninjau tidak dapat lagi memberikan respons. Anda tidak dapat memulai ulang tinjauan setelah dihentikan.

  5. Jika Anda tidak lagi tertarik dengan tinjauan akses, Anda dapat menghapusnya dengan mengklik tombol Hapus.

Melihat status tinjauan multitahap (pratinjau)

Untuk melihat status dan tahap tinjauan akses multitahap:

  1. Pilih tinjauan multitahap yang ingin Anda periksa statusnya atau lihat apa tahapnya.

  2. Pilih Hasil di menu navigasi kiri di bawah Saat ini.

  3. Setelah Anda berada di halaman hasil, di bawah Status , itu memberi tahu Anda tahap mana tinjauan multi-tahap berada. Tahap berikutnya dari tinjauan tidak akan aktif sampai durasi yang ditentukan selama penyiapan tinjauan akses telah berlalu.

  4. Jika keputusan telah dibuat, tetapi durasi peninjauan untuk tahap ini belum kedaluwarsa, Anda dapat memilih tombol Hentikan tahap saat ini di halaman hasil. Ini akan memicu tahap peninjauan berikutnya.

Mengambil hasil

Untuk melihat hasil tinjauan, pilih halaman Hasil . Untuk melihat akses pengguna saja, dalam kotak Pencarian, ketik nama tampilan atau nama prinsipal pengguna yang aksesnya ditinjau.

Retrieve results for an access review

Untuk melihat hasil instans lengkap dari tinjauan akses yang berulang, pilih Tinjau riwayat, lalu pilih instans tertentu dari daftar instans tinjauan akses yang telah selesai, berdasarkan tanggal mulai dan berakhir instans. Hasil instans ini dapat diperoleh dari halaman Hasil. Tinjauan akses berulang memungkinkan Anda memiliki gambaran konstan tentang akses ke sumber daya yang mungkin perlu diperbarui lebih sering daripada tinjauan akses satu kali.

Untuk mengambil hasil tinjauan akses, baik yang sedang berlangsung maupun selesai, pilih tombol Unduh . File CSV yang dihasilkan bisa ditampilkan di Excel atau di program lain yang membuka file CSV UTF-8 yang dikodekan.

Mengambil hasil secara terprogram

Anda juga dapat mengambil hasil tinjauan akses menggunakan Microsoft Graph atau PowerShell.

Anda harus terlebih dahulu menemukan instans tinjauan akses. Jika accessReviewScheduleDefinition adalah tinjauan akses berulang, instans mewakili setiap pengulangan. Tinjauan yang tidak berulang akan memiliki tepat satu instans. Instans juga mewakili setiap grup unik yang sedang ditinjau dalam definisi jadwal. Jika definisi jadwal meninjau beberapa grup, setiap grup akan memiliki instans unik untuk setiap pengulangan. Setiap instans berisi daftar keputusan yang dapat diambil peninjau, dengan satu keputusan per identitas sedang ditinjau.

Setelah Anda mengidentifikasi instans, untuk mengambil keputusan menggunakan Graph, panggil Graph API untuk mencantumkan keputusan dari instans. Jika ini adalah tinjauan multi-tahap, panggil Graph API untuk mencantumkan keputusan dari tinjauan akses multi-tahap. Pemanggil harus menjadi pengguna dalam peran yang sesuai dengan aplikasi yang memiliki izin atau AccessReview.ReadWrite.All yang didelegasikanAccessReview.Read.All, atau aplikasi dengan AccessReview.Read.All izin atau AccessReview.ReadWrite.All aplikasi. Untuk informasi selengkapnya, lihat tutorial tentang cara meninjau grup keamanan.

Anda juga dapat mengambil keputusan Di PowerShell dengan Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul Tata Kelola Identitas. Perhatikan bahwa ukuran halaman default API ini adalah 100 item keputusan.

Tidak dapat menerapkan perubahan

Jika Menerapkan hasil secara otomatis ke sumber daya diaktifkan berdasarkan pilihan Anda di Pengaturan setelah selesai, penerapan otomatis akan dijalankan setelah instans peninjauan selesai, atau sebelumnya jika Anda menghentikan tinjauan secara manual.

Jika Terapkan hasil secara otomatis ke sumber daya tidak diaktifkan untuk tinjauan, navigasikan ke Riwayat Tinjauan di bawah Seri setelah durasi peninjauan berakhir atau tinjauan dihentikan lebih awal, dan pilih instans tinjauan yang ingin Anda Terapkan.

Apply access review changes

Pilih Terapkan untuk menerapkan perubahan secara manual. Jika akses pengguna ditolak dalam tinjauan, saat Anda memilih Terapkan, ID Microsoft Entra akan menghapus keanggotaan atau penetapan aplikasi mereka.

Apply access review changes button

Status tinjauan berubah dari Selesai melalui status menengah seperti Menerapkan dan akhirnya ke status Hasil diterapkan. Anda akan berharap untuk melihat pengguna yang ditolak, jika ada, dihapus dari keanggotaan grup atau penugasan aplikasi dalam beberapa menit.

Menerapkan hasil secara manual atau otomatis tidak berpengaruh pada grup yang berasal dari direktori lokal. Jika Anda ingin mengubah grup yang berasal dari lokal, unduh hasilnya dan terapkan perubahan tersebut pada representasi grup di direktori tersebut.

Catatan

Beberapa pengguna yang ditolak tidak dapat menerapkan hasil. Skenario di mana hal ini dapat terjadi meliputi:

  • Meninjau anggota grup Windows Server AD lokal yang disinkronkan: Jika grup disinkronkan dari Windows Server AD lokal, grup tidak dapat dikelola di ID Microsoft Entra dan oleh karena itu keanggotaan tidak dapat diubah.
  • Meninjau sumber daya (peran, grup, aplikasi) dengan grup bertumpuk yang ditetapkan: Untuk pengguna yang memiliki keanggotaan melalui grup bertumpuk, kami tidak akan menghapus keanggotaan mereka ke grup bertumpuk dan oleh karena itu mereka akan mempertahankan akses ke sumber daya yang sedang ditinjau.
  • Pengguna tidak ditemukan/kesalahan lain juga dapat mengakibatkan hasil penerapan tidak didukung.
  • Meninjau anggota grup yang diaktifkan email: Grup tidak dapat dikelola di ID Microsoft Entra, sehingga keanggotaan tidak dapat diubah.
  • Meninjau Aplikasi yang menggunakan penetapan grup tidak akan menghapus anggota grup tersebut, sehingga mereka akan mempertahankan akses yang ada dari hubungan grup untuk penetapan aplikasi

Tindakan yang diambil pada pengguna tamu yang ditolak dalam tinjauan akses

Pada pembuatan ulasan, kreator dapat memilih di antara dua opsi untuk pengguna tamu yang ditolak dalam tinjauan akses.

  • Pengguna tamu yang ditolak dapat memiliki akses ke sumber daya yang dihapus. Ini adalah default.
  • Pengguna tamu yang ditolak dapat diblokir agar tidak masuk selama 30 hari, lalu dihapus dari penyewa. Selama periode 30 hari, pengguna tamu dapat dipulihkan aksesnya ke penyewa oleh administrator. Setelah periode 30 hari selesai, jika pengguna tamu belum memiliki akses ke sumber daya yang diberikan kepada mereka lagi, mereka akan dihapus dari penyewa secara permanen. Selain itu, menggunakan pusat admin Microsoft Entra, Administrator Global dapat secara eksplisit menghapus pengguna yang baru dihapus secara permanen sebelum periode waktu tersebut tercapai. Setelah pengguna dihapus secara permanen, data tentang pengguna tamu tersebut akan dihapus dari tinjauan akses aktif. Informasi audit tentang pengguna yang dihapus tetap berada di log audit.

Tindakan yang diambil untuk pengguna koneksi langsung B2B yang ditolak

Pengguna dan tim koneksi langsung B2B yang ditolak kehilangan akses ke semua saluran bersama di Tim.

Langkah berikutnya