Ukończ przegląd dostępu grup i aplikacji w przeglądach dostępu

  • Artykuł

Jako administrator utworzysz przegląd dostępu grup lub aplikacji i recenzentów wykonujących przegląd dostępu. W tym artykule opisano, jak wyświetlić wyniki przeglądu dostępu i zastosować je.

Uwaga

Ten artykuł zawiera kroki usuwania danych osobowych z urządzenia lub usługi i może służyć do wspierania zobowiązań wynikających z RODO. Aby uzyskać ogólne informacje o RODO, zobacz sekcję RODO w Centrum zaufania Microsoft i sekcję RODO w portalu zaufania usług.

Wymagania wstępne

  • Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra
  • Administrator globalny, administrator użytkowników lub administrator zarządzania tożsamościami w celu zarządzania dostępem do przeglądów grup i aplikacji. Użytkownicy, którzy mają rolę globalnego Administracja istratora lub rolę privileged role Administracja istrator mogą zarządzać przeglądami grup z możliwością przypisywania ról, zobacz Zarządzanie przypisaniami ról przy użyciu grup firmy Microsoft Entra
  • Czytelnicy zabezpieczeń mają dostęp do odczytu.

Aby uzyskać więcej informacji, zobacz Wymagania licencyjne.

Wyświetlanie stanu przeglądu dostępu

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Możesz śledzić postęp przeglądów dostępu w miarę ich ukończenia.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

  2. Przejdź do strony Przeglądy dostępu do ładu>tożsamości.

  3. Na liście wybierz przegląd dostępu.

    Na stronie Przegląd możesz zobaczyć postęp bieżącego wystąpienia przeglądu. Jeśli w tym czasie nie ma aktywnego wystąpienia otwartego, zobaczysz informacje na temat poprzedniego wystąpienia. Żadne prawa dostępu nie zostaną zmienione w katalogu do momentu ukończenia przeglądu.

    Review of All company group

    Wszystkie bloki w obszarze Bieżące są widoczne tylko w czasie trwania każdego wystąpienia przeglądu.

    Uwaga

    Przegląd bieżący dostępu zawiera tylko informacje o aktywnym wystąpieniu przeglądu, ale można uzyskać informacje o recenzjach, które jeszcze mają miejsce w seriiw sekcji Zaplanowane przeglądy.

    Strona Wyniki zawiera więcej informacji na temat każdego użytkownika w ramach przeglądu w wystąpieniu, w tym możliwość zatrzymywania, resetowania i pobierania wyników.

    Review guest access across Microsoft 365 groups

    Jeśli przeglądasz przegląd dostępu przeglądający dostęp gości w grupach platformy Microsoft 365, blok Przegląd zawiera listę każdej grupy w przeglądzie.

    review guest access across Microsoft 365 groups

    Wybierz grupę, aby wyświetlić postęp przeglądu w tej grupie, a także zatrzymać, zresetować, zastosować i usunąć.

    review guest access across Microsoft 365 groups in detail

  4. Jeśli chcesz zatrzymać przegląd dostępu przed osiągnięciem zaplanowanej daty zakończenia, wybierz przycisk Zatrzymaj.

    Po zatrzymaniu przeglądu recenzenci nie będą już mogli udzielać odpowiedzi. Nie można ponownie uruchomić przeglądu po jego zatrzymaniu.

  5. Jeśli nie interesuje Cię przegląd dostępu, możesz go usunąć, klikając przycisk Usuń .

Wyświetlanie stanu przeglądu wieloetapowego (wersja zapoznawcza)

Aby wyświetlić stan i etap przeglądu dostępu wieloetapowego:

  1. Wybierz przegląd wieloetapowy, w którym chcesz sprawdzić stan lub sprawdzić, w jakim etapie się znajduje.

  2. Wybierz pozycję Wyniki w menu nawigacji po lewej stronie w obszarze Bieżący.

  3. Po przejściu na stronę wyników w obszarze Stan informuje o tym, w którym etapie znajduje się przegląd wieloetapowy. Następny etap przeglądu nie będzie aktywny, dopóki czas trwania określony podczas konfiguracji przeglądu dostępu nie zostanie przekazany.

  4. Jeśli podjęto decyzję, ale czas trwania przeglądu dla tego etapu jeszcze nie wygasł, możesz wybrać przycisk Zatrzymaj bieżący etap na stronie wyników. Spowoduje to wyzwolenie następnego etapu przeglądu.

Pobieranie wyników

Aby wyświetlić wyniki przeglądu, wybierz stronę Wyniki . Aby wyświetlić dostęp tylko określonego użytkownika, w polu Wyszukaj wpisz nazwę wyświetlaną lub główną nazwę użytkownika dla użytkownika, którego dostęp był przeglądany.

Retrieve results for an access review

Aby wyświetlić wyniki ukończonego wystąpienia przeglądu dostępu, które jest cykliczne, wybierz pozycję Przejrzyj historię, a następnie wybierz określone wystąpienie z listy ukończonych wystąpień przeglądu dostępu na podstawie daty rozpoczęcia i zakończenia wystąpienia. Wyniki tego wystąpienia można uzyskać na stronie Wyniki. Przeglądy dostępu cyklicznego umożliwiają stały obraz dostępu do zasobów, które mogą być często aktualizowane częściej niż przeglądy dostępu jednorazowego.

Aby pobrać wyniki przeglądu dostępu, zarówno w toku, jak i ukończono, wybierz przycisk Pobierz . Wynikowy plik CSV można wyświetlić w programie Excel lub w innych programach, które otwierają pliki CSV zakodowane w formacie UTF-8.

Programowe pobieranie wyników

Możesz również pobrać wyniki przeglądu dostępu przy użyciu programu Microsoft Graph lub programu PowerShell.

Najpierw należy zlokalizować wystąpienie przeglądu dostępu. Jeśli parametr accessReviewScheduleDefinition jest cyklicznym przeglądem dostępu, wystąpienia reprezentują każdy cykl. Przegląd, który nie jest powtarzany, będzie miał dokładnie jedno wystąpienie. Wystąpienia reprezentują również każdą unikatową grupę przeglądaną w definicji harmonogramu. Jeśli definicja harmonogramu przegląda wiele grup, każda grupa będzie mieć unikatowe wystąpienie dla każdego cyklu. Każde wystąpienie zawiera listę decyzji, nad którymi recenzenci mogą podejmować działania, przy czym jedna decyzja jest przeglądana dla każdej tożsamości.

Po zidentyfikowaniu wystąpienia, aby pobrać decyzje przy użyciu programu Graph, wywołaj interfejs API programu Graph, aby wyświetlić listę decyzji z wystąpienia. Jeśli jest to przegląd wieloetapowy, wywołaj interfejs API programu Graph, aby wyświetlić listę decyzji z przeglądu dostępu wieloetapowego. Obiekt wywołujący musi być użytkownikiem odpowiedniej roli z aplikacją, która ma delegowane AccessReview.Read.All lub AccessReview.ReadWrite.All uprawnienie, albo aplikację z AccessReview.Read.All uprawnieniem lub AccessReview.ReadWrite.All aplikacji. Aby uzyskać więcej informacji, zobacz samouczek dotyczący przeglądania grupy zabezpieczeń.

Możesz również pobrać decyzje w programie PowerShell za pomocą Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision polecenia cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance . Należy pamiętać, że domyślny rozmiar strony tego interfejsu API to 100 elementów decyzyjnych.

Stosowanie zmian

Jeśli automatyczne stosowanie wyników do zasobu zostało włączone na podstawie wybranych opcji w obszarze Po zakończeniu ustawień, autoaplikowanie zostanie wykonane po zakończeniu przeglądu wystąpienia lub wcześniejszego, jeśli ręcznie zatrzymasz przegląd.

Jeśli automatyczne stosowanie wyników do zasobu nie zostało włączone dla przeglądu, przejdź do obszaru Historia przeglądu w obszarze Seria po zakończeniu trwania przeglądu lub przegląd został zatrzymany wcześnie, a następnie wybierz wystąpienie przeglądu, które chcesz zastosować.

Apply access review changes

Wybierz pozycję Zastosuj , aby ręcznie zastosować zmiany. Jeśli dostęp użytkownika został odrzucony w przeglądzie, po wybraniu pozycji Zastosuj identyfikator Entra firmy Microsoft usuwa swoje członkostwo lub przypisanie aplikacji.

Apply access review changes button

Stan przeglądu zmienia się z Ukończono za pośrednictwem stanów pośrednich, takich jak Stosowanie , a na koniec do stanu Zastosowano wynik. W ciągu kilku minut odmówiono użytkownikom usunięcia z członkostwa w grupie lub przypisania aplikacji.

Ręczne lub automatyczne stosowanie wyników nie ma wpływu na grupę, która pochodzi z katalogu lokalnego. Jeśli chcesz zmienić grupę, która pochodzi ze środowiska lokalnego, pobierz wyniki i zastosuj te zmiany do reprezentacji grupy w tym katalogu.

Uwaga

Niektórzy użytkownicy nie mogą mieć do nich zastosowanych wyników. Scenariusze, w których może się to zdarzyć, obejmują:

  • Przeglądanie członków zsynchronizowanej lokalnej grupy usługi AD systemu Windows Server: jeśli grupa jest synchronizowana z lokalnej usługi AD systemu Windows Server, nie można zarządzać grupą w identyfikatorze Entra firmy Microsoft i dlatego nie można zmienić członkostwa.
  • Przeglądanie zasobu (roli, grupy, aplikacji) z przypisanymi grupami zagnieżdżonym: w przypadku użytkowników, którzy mają członkostwo w zagnieżdżonej grupie, nie usuniemy ich członkostwa z zagnieżdżoną grupą i w związku z tym zachowają dostęp do przeglądanego zasobu.
  • Nie znaleziono użytkownika / inne błędy mogą również spowodować, że zastosowanie wyniku nie jest obsługiwane.
  • Przeglądanie członków grupy z włączoną obsługą poczty: nie można zarządzać grupą w identyfikatorze Entra firmy Microsoft, więc nie można zmienić członkostwa.
  • Przeglądanie aplikacji korzystającej z przypisania grupy nie spowoduje usunięcia członków tych grup, dlatego zachowa istniejący dostęp z relacji grupy dla przypisania aplikacji

Akcje podjęte w przypadku odmowy użytkowników-gości w przeglądzie dostępu

Podczas tworzenia przeglądu twórca może wybrać między dwiema opcjami odmowy użytkowników-gości w przeglądzie dostępu.

  • Odmowa dostępu użytkowników-gości może mieć dostęp do usuniętego zasobu. Jest to opcja domyślna.
  • Odmowa użytkownika-gościa może zostać zablokowana przez 30 dni, a następnie usunięta z dzierżawy. W ciągu 30 dni użytkownik-gość może przywrócić dostęp do dzierżawy przez administratora. Po zakończeniu 30-dniowego okresu, jeśli użytkownik-gość nie miał dostępu do zasobu przyznanego im ponownie, zostanie on trwale usunięty z dzierżawy. Ponadto przy użyciu centrum administracyjnego firmy Microsoft Entra administrator globalny Administracja istrator może jawnie trwale usunąć ostatnio usuniętego użytkownika przed osiągnięciem tego okresu. Po trwałym usunięciu użytkownika dane dotyczące tego użytkownika-gościa zostaną usunięte z aktywnych przeglądów dostępu. Informacje inspekcji dotyczące usuniętych użytkowników pozostają w dzienniku inspekcji.

Akcje podjęte przy odmowie połączenia bezpośredniego B2B użytkowników

Odmowa bezpośredniego połączenia B2B użytkowników i zespołów utraci dostęp do wszystkich udostępnionych kanałów w zespole.

Następne kroki