Ukończ przegląd dostępu grup i aplikacji w przeglądach dostępu
Jako administrator utworzysz przegląd dostępu grup lub aplikacji i recenzentów wykonujących przegląd dostępu. W tym artykule opisano, jak wyświetlić wyniki przeglądu dostępu i zastosować je.
Uwaga
Ten artykuł zawiera kroki usuwania danych osobowych z urządzenia lub usługi i może służyć do wspierania zobowiązań wynikających z RODO. Aby uzyskać ogólne informacje o RODO, zobacz sekcję RODO w Centrum zaufania Microsoft i sekcję RODO w portalu zaufania usług.
Wymagania wstępne
- Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra
- Administrator globalny, administrator użytkowników lub administrator ładu tożsamości w celu zarządzania dostępem do przeglądów w grupach i aplikacjach. Użytkownicy z rolą Administratora globalnego lub Administrator ról uprzywilejowanych mogą zarządzać przeglądami grup z możliwością przypisywania ról, zobacz: Zarządzanie przypisaniami ról przy użyciu grup firmy Microsoft Entra
- Czytelnicy zabezpieczeń mają dostęp do odczytu.
Aby uzyskać więcej informacji, zobacz: Wymagania licencyjne.
Wyświetlanie stanu przeglądu dostępu
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Wykonaj poniższe kroki, aby śledzić postęp przeglądów dostępu w miarę ich ukończenia.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.
Przejdź do strony Przeglądy dostępu do ładu>tożsamości.
Na liście wybierz przegląd dostępu.
Na stronie Przegląd możesz zobaczyć postęp bieżącego wystąpienia przeglądu. Jeśli w tym czasie nie ma aktywnego wystąpienia otwartego, zobaczysz informacje o poprzednim wystąpieniu. Żadne prawa dostępu nie zostaną zmienione w katalogu do momentu ukończenia przeglądu.
Wszystkie bloki w obszarze Bieżące są widoczne tylko w czasie trwania każdego wystąpienia przeglądu.
Uwaga
Przegląd bieżący dostępu zawiera tylko informacje o aktywnym wystąpieniu przeglądu, ale można uzyskać informacje o recenzjach, które jeszcze mają miejsce w serii w sekcji Zaplanowane przeglądy.
Strona Wyniki zawiera więcej informacji na temat każdego użytkownika w ramach przeglądu w wystąpieniu, w tym możliwość zatrzymywania, resetowania i pobierania wyników.
Jeśli przeglądasz przegląd dostępu, który przegląda dostęp gościa w grupach platformy Microsoft 365, okienko Przegląd zawiera listę każdej grupy w przeglądzie.
Wybierz grupę, aby wyświetlić postęp przeglądu w tej grupie, a także zatrzymać, zresetować, zastosować i usunąć.
Jeśli chcesz zatrzymać przegląd dostępu przed osiągnięciem zaplanowanej daty zakończenia, wybierz przycisk Zatrzymaj.
Po zatrzymaniu przeglądu recenzenci nie będą już mogli udzielać odpowiedzi. Nie można ponownie uruchomić przeglądu po jego zatrzymaniu.
Jeśli nie interesuje Cię przegląd dostępu, możesz go usunąć, klikając przycisk Usuń .
Wyświetlanie stanu przeglądu wieloetapowego (wersja zapoznawcza)
Aby wyświetlić stan i etap przeglądu dostępu wieloetapowego:
Wybierz przegląd wieloetapowy, w którym chcesz sprawdzić stan lub sprawdzić, w jakim etapie się znajduje.
Wybierz pozycję Wyniki w menu nawigacji po lewej stronie w obszarze Bieżący.
Po przejściu na stronę wyników w obszarze Stan informuje o tym, w którym etapie znajduje się przegląd wieloetapowy. Następny etap przeglądu nie będzie aktywny, dopóki czas trwania określony podczas konfiguracji przeglądu dostępu nie zostanie pomyślnie określony.
Jeśli podjęto decyzję, ale czas trwania przeglądu dla tego etapu jeszcze nie wygasł, możesz wybrać przycisk Zatrzymaj bieżący etap na stronie wyników. Spowoduje to wyzwolenie następnego etapu przeglądu.
Pobieranie wyników
Aby wyświetlić wyniki przeglądu, wybierz stronę Wyniki . Aby wyświetlić dostęp tylko określonego użytkownika, w polu Wyszukaj wpisz nazwę wyświetlaną lub główną nazwę użytkownika dla użytkownika, którego dostęp był przeglądany.
Aby wyświetlić wyniki ukończonego wystąpienia przeglądu dostępu, które jest cykliczne, wybierz pozycję Przejrzyj historię, a następnie wybierz określone wystąpienie z listy ukończonych wystąpień przeglądu dostępu na podstawie daty rozpoczęcia i zakończenia wystąpienia. Wyniki tego wystąpienia można uzyskać na stronie Wyniki. Przeglądy dostępu cyklicznego umożliwiają stały obraz dostępu do zasobów, które mogą wymagać aktualizacji częściej niż jednorazowe przeglądy dostępu.
Aby pobrać wyniki przeglądu dostępu, zarówno w toku, jak i ukończono, wybierz przycisk Pobierz . Wynikowy plik CSV można wyświetlić w programie Excel lub w innych programach, które otwierają pliki CSV zakodowane w formacie UTF-8.
Programowe pobieranie wyników
Możesz również pobrać wyniki przeglądu dostępu przy użyciu programu Microsoft Graph lub programu PowerShell.
Najpierw należy zlokalizować wystąpienie przeglądu dostępu. Jeśli parametr accessReviewScheduleDefinition jest cyklicznym przeglądem dostępu, wystąpienia reprezentują każdy cykl. Przegląd, który nie jest powtarzany, zawiera dokładnie jedno wystąpienie. Wystąpienia reprezentują również każdą unikatową grupę przeglądaną w definicji harmonogramu. Jeśli definicja harmonogramu przegląda wiele grup, każda grupa ma unikatowe wystąpienie dla każdego cyklu. Każde wystąpienie zawiera listę decyzji, nad którymi recenzenci mogą podejmować działania, przy czym jedna decyzja jest przeglądana dla każdej tożsamości.
Po zidentyfikowaniu wystąpienia, aby pobrać decyzje przy użyciu programu Graph, wywołaj interfejs API programu Graph, aby wyświetlić listę decyzji z wystąpienia. Jeśli wystąpienie jest przeglądem wieloetapowym, wywołaj interfejs API programu Graph, aby wyświetlić listę decyzji z przeglądu dostępu wieloetapowego. Obiekt wywołujący musi być użytkownikiem odpowiedniej roli z aplikacją, która ma delegowane AccessReview.Read.All
lub AccessReview.ReadWrite.All
uprawnienie, albo aplikację z AccessReview.Read.All
uprawnieniem lub AccessReview.ReadWrite.All
aplikacji. Aby uzyskać więcej informacji, zobacz samouczek dotyczący przeglądania grupy zabezpieczeń.
Możesz również pobrać decyzje w programie PowerShell za pomocą Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision
polecenia cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance . Domyślny rozmiar strony tego interfejsu API to 100 elementów decyzyjnych.
Stosowanie zmian
Jeśli automatyczne stosowanie wyników do zasobu zostało włączone w oparciu o wybrane opcje w obszarze Ustawienia uzupełniania, autoaplikowanie jest wykonywane po zakończeniu przeglądu lub wcześniej, jeśli ręcznie zatrzymasz przegląd.
Jeśli automatyczne stosowanie wyników do zasobu nie zostało włączone dla przeglądu, przejdź do obszaru Historia przeglądu w obszarze Seria po zakończeniu trwania przeglądu lub przegląd został zatrzymany wcześnie, a następnie wybierz wystąpienie przeglądu, które chcesz zastosować.
Wybierz pozycję Zastosuj , aby ręcznie zastosować zmiany. Jeśli dostęp użytkownika został odrzucony w przeglądzie, po wybraniu pozycji Zastosuj identyfikator Entra firmy Microsoft usuwa swoje członkostwo lub przypisanie aplikacji.
Stan przeglądu zmienia się z Ukończono za pośrednictwem stanów pośrednich, takich jak Stosowanie , a na koniec do stanu Zastosowano wynik. W ciągu kilku minut odmówiono użytkownikom usunięcia z członkostwa w grupie lub przypisania aplikacji.
Ręczne lub automatyczne stosowanie wyników nie ma wpływu na grupę, która pochodzi z katalogu lokalnego. Jeśli chcesz zmienić grupę, która pochodzi ze środowiska lokalnego, pobierz wyniki i zastosuj te zmiany do reprezentacji grupy w tym katalogu.
Uwaga
Niektórzy użytkownicy nie mogą mieć do nich zastosowanych wyników. Scenariusze, w których może się to zdarzyć, obejmują:
- Przeglądanie członków zsynchronizowanej lokalnej grupy usługi AD systemu Windows Server: jeśli grupa jest synchronizowana z lokalnej usługi AD systemu Windows Server, nie można zarządzać grupą w identyfikatorze Entra firmy Microsoft i dlatego nie można zmienić członkostwa.
- Przeglądanie zasobu (roli, grupy, aplikacji) z przypisanymi grupami zagnieżdżonym: w przypadku użytkowników, którzy mają członkostwo w zagnieżdżonej grupie, nie usuniemy ich członkostwa z zagnieżdżoną grupą i w związku z tym zachowają dostęp do przeglądanego zasobu.
- Nie znaleziono użytkownika / inne błędy mogą również spowodować, że zastosowanie wyniku nie jest obsługiwane.
- Przeglądanie członków grupy z włączoną obsługą poczty: nie można zarządzać grupą w identyfikatorze Entra firmy Microsoft, więc nie można zmienić członkostwa.
- Przeglądanie aplikacji korzystającej z przypisania grupy nie spowoduje usunięcia członków tych grup, dlatego zachowa istniejący dostęp z relacji grupy dla przypisania aplikacji
Akcje podjęte w przypadku odmowy użytkowników-gości w przeglądzie dostępu
Podczas tworzenia przeglądu twórca może wybrać między dwiema opcjami odmowy użytkowników-gości w przeglądzie dostępu.
- Odmowa dostępu użytkowników-gości może mieć dostęp do usuniętego zasobu. Jest to ustawienie domyślne.
- Odmowa użytkownika-gościa może zostać zablokowana przez 30 dni, a następnie usunięta z dzierżawy. W ciągu 30 dni użytkownik-gość może przywrócić dostęp do dzierżawy przez administratora. Po zakończeniu 30-dniowego okresu, jeśli użytkownik-gość nie miał dostępu do zasobu przyznanego im ponownie, zostanie on trwale usunięty z dzierżawy. Ponadto przy użyciu centrum administracyjnego firmy Microsoft Entra administrator globalny może jawnie trwale usunąć ostatnio usuniętego użytkownika przed osiągnięciem tego okresu. Gdy użytkownik zostanie trwale usunięty, dane dotyczące tego użytkownika-gościa zostaną usunięte z aktywnych przeglądów dostępu. Informacje inspekcji dotyczące usuniętych użytkowników pozostają w dzienniku inspekcji.
Akcje podjęte przy odmowie połączenia bezpośredniego B2B użytkowników
Odmowa bezpośredniego połączenia B2B użytkowników i zespołów utraci dostęp do wszystkich udostępnionych kanałów w zespole.