Een toegangsbeoordeling voltooien van groepen en toepassingen in toegangsbeoordelingen

  • Artikel

Als beheerder maakt u een toegangsbeoordeling voor groepen of toepassingen en wordt de toegangsbeoordeling uitgevoerd door revisoren. In dit artikel wordt beschreven hoe u de resultaten van de toegangsbeoordeling kunt bekijken en toepassen.

Notitie

Dit artikel bevat stappen voor het verwijderen van persoonlijke gegevens van het apparaat of de service. U kunt het ook gebruiken om uw verplichtingen met betrekking tot de AVG (Algemene Verordening Gegevensbescherming) na te komen. Zie voor algemene informatie over AVG de AVG-sectie van het Vertrouwenscentrum van Microsoft en de AVG-sectie van de Service Trust Portal.

Vereisten

  • Microsoft Entra ID P2 of Microsoft Entra ID-governance
  • Globale beheerder, gebruikersbeheerder of Identity Governance-beheerder voor het beheren van beoordelingen voor groepen en toepassingen. Gebruikers met de rol Global Beheer istrator of de rol Privileged Role Beheer istrator kunnen beoordelingen van roltoewijsbare groepen beheren. Zie Microsoft Entra-groepen gebruiken om roltoewijzingen te beheren
  • Beveiligingslezers hebben leestoegang.

Zie Licentievereisten voor meer informatie.

De status van een toegangsbeoordeling weergeven

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

U kunt de voortgang van toegangsbeoordelingen bijhouden wanneer ze zijn voltooid.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.

  2. Blader naar toegangsbeoordelingen voor identiteitsbeheer>.

  3. Selecteer een toegangsbeoordeling in de lijst.

    Op de pagina Overzicht ziet u de voortgang van het huidige exemplaar van de beoordeling. Als er op dat moment geen actief exemplaar is geopend, ziet u informatie over het vorige exemplaar. Er worden geen toegangsrechten gewijzigd in de map totdat de beoordeling is voltooid.

    Review of All company group

    Alle blades onder Huidig zijn alleen zichtbaar tijdens de duur van elke beoordeling.

    Notitie

    Hoewel in de huidige toegangsbeoordeling alleen informatie wordt weergegeven over het actieve beoordelingsexemplaar, kunt u in het veld Reeks onder de sectie Geplande beoordeling informatie krijgen over beoordelingen die nog moeten worden uitgevoerd.

    Op de pagina Resultaten vindt u meer informatie over elke gebruiker die wordt bekeken in het exemplaar, inclusief de mogelijkheid om de resultaten te stoppen, opnieuw in te stellen en te downloaden.

    Review guest access across Microsoft 365 groups

    Als u een toegangsbeoordeling bekijkt die gasttoegang beoordeelt in Microsoft 365-groepen, worden in de blade Overzicht elke groep in de beoordeling weergegeven.

    review guest access across Microsoft 365 groups

    Selecteer een groep om de voortgang van de beoordeling voor die groep te bekijken, ook om te stoppen, opnieuw instellen, toepassen en verwijderen.

    review guest access across Microsoft 365 groups in detail

  4. Als u een toegangsbeoordeling wilt stoppen voordat deze de geplande einddatum heeft bereikt, selecteert u de knop Stoppen .

    Wanneer u een beoordeling stopt, kunnen revisoren geen antwoord meer geven. U kunt een beoordeling niet opnieuw starten nadat deze is gestopt.

  5. Als u niet meer geïnteresseerd bent in de toegangsbeoordeling, kunt u deze verwijderen door op de knop Verwijderen te klikken.

Status van beoordeling met meerdere fasen weergeven (preview)

U kunt de status en fase van een toegangsbeoordeling met meerdere fasen als volgt bekijken:

  1. Selecteer de beoordeling met meerdere fasen waarvan u wilt controleren in welke status of in welke fase deze zich bevindt.

  2. Selecteer Resultaten in het linkernavigatiemenu onder Huidig.

  3. Zodra u zich op de resultatenpagina bevindt, wordt onder Status aangegeven in welke fase de beoordeling voor meerdere fasen zich bevindt. De volgende fase van de beoordeling wordt pas actief als de duur die is opgegeven tijdens de installatie van de toegangsbeoordeling, is verstreken.

  4. Als er een beslissing is genomen, maar de beoordelingsduur voor deze fase nog niet is verlopen, kunt u de knop Huidige fase stoppen selecteren op de resultatenpagina. Hierdoor wordt de volgende fase van de beoordeling geactiveerd.

De resultaten ophalen

Als u de resultaten voor een beoordeling wilt bekijken, selecteert u de pagina Resultaten . Als u alleen de toegang van een gebruiker wilt bekijken, typt u in het vak Zoeken de weergavenaam of user principal name van een gebruiker van wie de toegang is beoordeeld.

Retrieve results for an access review

Als u de resultaten van een voltooid exemplaar van een terugkerende toegangsbeoordeling wilt weergeven, selecteert u De geschiedenis controleren en selecteert u vervolgens het specifieke exemplaar in de lijst met voltooide exemplaren van toegangsbeoordeling, op basis van de begin- en einddatum van het exemplaar. De resultaten van dit exemplaar kunnen worden opgehaald op de pagina Resultaten. Terugkerende toegangsbeoordelingen bieden een constant beeld van toegang tot resources die mogelijk vaker moeten worden bijgewerkt dan eenmalige toegangsbeoordelingen.

Als u de resultaten van een toegangsbeoordeling wilt ophalen, wordt zowel in uitvoering als voltooid, selecteert u de knop Downloaden . Het resulterende CSV-bestand kan worden bekeken in Excel of in andere programma's waarin UTF-8 gecodeerde CSV-bestanden kunnen worden geopend.

De resultaten programmatisch ophalen

U kunt ook de resultaten van een toegangsbeoordeling ophalen met Behulp van Microsoft Graph of PowerShell.

U moet eerst het exemplaar van de toegangsbeoordeling zoeken. Als accessReviewScheduleDefinition een terugkerende toegangsbeoordeling is, vertegenwoordigen exemplaren elk terugkeerpatroon. Een beoordeling die niet opnieuw optreedt, heeft precies één exemplaar. Exemplaren vertegenwoordigen ook elke unieke groep die wordt gecontroleerd in de planningsdefinitie. Als een planningsdefinitie meerdere groepen beoordeelt, heeft elke groep een uniek exemplaar voor elk terugkeerpatroon. Elk exemplaar bevat een lijst met beslissingen waarmee revisoren actie kunnen ondernemen, waarbij één beslissing per identiteit wordt beoordeeld.

Zodra u het exemplaar hebt geïdentificeerd, roept u de Graph API aan om de beslissingen van een exemplaar op te halen met behulp van Graph. Als dit een beoordeling met meerdere fasen is, roept u de Graph API aan om beslissingen van een toegangsbeoordeling met meerdere fasen weer te geven. De aanroeper moet een gebruiker in een juiste rol zijn met een toepassing met de gedelegeerde AccessReview.Read.All of AccessReview.ReadWrite.All machtiging, of een toepassing met de AccessReview.Read.All machtiging of AccessReview.ReadWrite.All toepassing. Zie de zelfstudie voor meer informatie over het controleren van een beveiligingsgroep.

U kunt de beslissingen in PowerShell ook ophalen met de Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision cmdlet uit de Microsoft Graph PowerShell-cmdlets voor de module Identity Governance . Houd er rekening mee dat de standaardpaginagrootte van deze API 100 beslissingsitems is.

De wijzigingen toepassen

Als automatisch resultaten op de resource zijn ingeschakeld op basis van uw selecties in Bij voltooiingsinstellingen, wordt Automatisch toepassen uitgevoerd zodra een controle-exemplaar is voltooid of eerder als u de beoordeling handmatig stopt.

Als resultaten automatisch zijn toegepast op de resource niet is ingeschakeld voor de beoordeling, gaat u naarGeschiedenis controleren onder Reeks nadat de beoordelingsduur is beëindigd of de beoordeling vroeg is gestopt en selecteert u het exemplaar van de beoordeling die u wilt toepassen.

Apply access review changes

Selecteer Toepassen om de wijzigingen handmatig toe te passen. Als de toegang van een gebruiker in de beoordeling is geweigerd, verwijdert Microsoft Entra ID de lidmaatschaps- of toepassingstoewijzing wanneer u Toepassen selecteert.

Apply access review changes button

De status van de revisie verandert van Voltooid tot tussenliggende statussen, zoals Toepassen en ten slotte op statusresultaat toegepast. Als het goed is, ziet u dat geweigerde gebruikers (indien aanwezig) binnen enkele minuten uit het groepslidmaatschap of de toepassingstoewijzing worden verwijderd.

Handmatig of automatisch toepassen van resultaten heeft geen effect op een groep die afkomstig is uit een on-premises directory. Als u een groep wilt wijzigen die afkomstig is van on-premises, downloadt u de resultaten en past u deze wijzigingen toe op de representatie van de groep in die directory.

Notitie

Op sommige geweigerde gebruikers kunnen geen resultaten worden toegepast. Scenario's waarin dit kan gebeuren, zijn onder meer:

  • Leden van een gesynchroniseerde on-premises Windows Server AD-groep controleren: als de groep wordt gesynchroniseerd vanuit on-premises Windows Server AD, kan de groep niet worden beheerd in Microsoft Entra-id en kan het lidmaatschap daarom niet worden gewijzigd.
  • Een resource (rol, groep, toepassing) waaraan geneste groepen zijn toegewezen: voor gebruikers die lidmaatschap hebben via een geneste groep, wordt het lidmaatschap van de geneste groep niet verwijderd. Daarom behouden ze de toegang tot de resource die wordt beoordeeld.
  • Fouten als 'Gebruiker niet gevonden' of andere fouten kunnen er ook toe leiden dat het toepassen van resultaten niet wordt ondersteund.
  • De leden van de groep e-mail controleren: de groep kan niet worden beheerd in De Microsoft Entra-id, zodat het lidmaatschap niet kan worden gewijzigd.
  • Als u een toepassing bekijkt die gebruikmaakt van groepstoewijzing, worden de leden van deze groepen niet verwijderd, zodat ze de bestaande toegang behouden uit de groepsrelatie voor de toepassingstoewijzing

Acties die worden uitgevoerd voor geweigerde gastgebruikers in een toegangsbeoordeling

Bij het uitvoeren van de beoordeling kan de maker kiezen tussen twee opties voor geweigerde gastgebruikers in een toegangsbeoordeling.

  • Geweigerde gastgebruikers kunnen hun toegang tot de resource verwijderen. Dit is de standaardinstelling.
  • De geweigerde gastgebruiker kan 30 dagen worden geblokkeerd voor aanmelding en vervolgens uit de tenant worden verwijderd. Gedurende de periode van 30 dagen kan de toegang van de gastgebruiker tot de tenant worden hersteld door een beheerder. Nadat de periode van 30 dagen is voltooid, worden ze permanent verwijderd uit de tenant als de gastgebruiker geen toegang heeft gehad tot de resource die aan hen is verleend. Bovendien kan een Globale Beheer istrator met behulp van het Microsoft Entra-beheercentrum expliciet een onlangs verwijderde gebruiker definitief verwijderen voordat die periode is bereikt. Als een gebruiker definitief is verwijderd, worden gegevens over die gastgebruiker uit actieve toegangsbeoordelingen verwijderd. Controle-informatie over verwijderde gebruikers blijft in het auditlogboek aanwezig.

Acties die worden uitgevoerd voor geweigerde gebruikers van B2B direct verbinden

B2B heeft geweigerd dat gebruikers en teams rechtstreeks verbinding maken met alle gedeelde kanalen in het team.

Volgende stappen