Przeglądanie dostępu do grup i aplikacji w przeglądach dostępu

  • Artykuł

Microsoft Entra ID upraszcza sposób, w jaki przedsiębiorstwa zarządzają dostępem do grup i aplikacji w usłudze Microsoft Entra ID i innych usług internetowych firmy Microsoft z funkcją nazywaną przeglądami dostępu. W tym artykule opisano, w jaki sposób wyznaczony recenzent przeprowadza przegląd dostępu dla członków grupy lub użytkowników z dostępem do aplikacji. Jeśli chcesz przejrzeć dostęp do pakietu dostępu, przeczytaj artykuł Przeglądanie dostępu do pakietu dostępu w zarządzaniu upoważnieniami.

Przeprowadzanie przeglądu dostępu przy użyciu opcji Mój dostęp

Dostęp do grup i aplikacji można przeglądać za pośrednictwem pozycji Mój dostęp. Mój dostęp to przyjazny dla użytkownika portal umożliwiający udzielanie, zatwierdzanie i przeglądanie potrzeb dostępu.

Użyj poczty e-mail, aby przejść do pozycji Mój dostęp

Ważne

Mogą wystąpić opóźnienia w odbieraniu wiadomości e-mail. W niektórych przypadkach może upłynąć do 24 godzin. Dodaj azure-noreply@microsoft.com do listy bezpiecznych adresatów, aby upewnić się, że otrzymujesz wszystkie wiadomości e-mail.

  1. Poszukaj wiadomości e-mail od firmy Microsoft z prośbą o przejrzenie dostępu. Oto przykładowa wiadomość e-mail:

    Screenshot of example email from Microsoft to review access to a group.

  2. Wybierz link Rozpocznij przegląd, aby otworzyć przegląd dostępu.

Przejdź bezpośrednio do pozycji Mój dostęp

Możesz również wyświetlić oczekujące przeglądy dostępu za pomocą przeglądarki, aby otworzyć mój dostęp.

  1. Zaloguj się do mojego dostępu pod adresem https://myaccess.microsoft.com/.

  2. Wybierz pozycję Przeglądy dostępu z menu po lewej stronie, aby wyświetlić listę oczekujących przeglądów dostępu przypisanych do Ciebie.

Przeglądanie dostępu dla co najmniej jednego użytkownika

Po otwarciu pozycji Mój dostęp w obszarze Grupy i aplikacje zobaczysz:

  • Nazwa: nazwa przeglądu dostępu.
  • Termin ukończenia: data ukończenia przeglądu. Po tej dacie można usunąć użytkowników z przeglądanej grupy lub aplikacji.
  • Zasób: nazwa zasobu w przeglądzie.
  • Postęp: liczba użytkowników przeglądanych przez łączną liczbę użytkowników w ramach tego przeglądu dostępu.

Wybierz nazwę przeglądu dostępu, aby rozpocząć pracę.

Screenshot of pending access reviews list for apps and groups.

Po jego otworaniu zostanie wyświetlona lista użytkowników w zakresie przeglądu dostępu.

Uwaga

Jeśli żądanie dotyczy przeglądania własnego dostępu, strona będzie wyglądać inaczej. Aby uzyskać więcej informacji, zobacz Przeglądanie dostępu dla siebie do grup lub aplikacji.

Istnieją dwa sposoby zatwierdzania lub odmowy dostępu:

  • Możesz ręcznie zatwierdzić lub odmówić dostępu dla co najmniej jednego użytkownika.
  • Możesz zaakceptować zalecenia systemowe.

Ręczne przeglądanie dostępu dla co najmniej jednego użytkownika

  1. Przejrzyj listę użytkowników i zdecyduj, czy zatwierdzić lub odmówić ich dalszego dostępu.

  2. Wybierz co najmniej jednego użytkownika, wybierając okrąg obok swoich nazw.

  3. Wybierz pozycję Zatwierdź lub Odmów na pasku.

    Jeśli nie masz pewności, czy użytkownik powinien nadal mieć dostęp, możesz wybrać pozycję Nie wiem. Użytkownik uzyskuje dostęp, a wybór jest rejestrowany w dziennikach inspekcji. Należy pamiętać, że wszystkie podane informacje są dostępne dla innych recenzentów. Mogą odczytywać komentarze i uwzględniać je podczas przeglądania żądania.

    Screenshot of open access review listing the users who need review.

  4. Administrator przeglądu dostępu może wymagać podania przyczyny decyzji w polu Przyczyna , nawet jeśli przyczyna nie jest wymagana. Nadal możesz podać przyczynę swojej decyzji. Dołączone informacje są dostępne dla innych osób zatwierdzających do przeglądu.

  5. Wybierz Prześlij.

    Odpowiedź można zmienić w dowolnym momencie do momentu zakończenia przeglądu dostępu. Jeśli chcesz zmienić odpowiedź, wybierz wiersz i zaktualizuj odpowiedź. Możesz na przykład zatwierdzić wcześniej odrzuconego użytkownika lub odmówić wcześniej zatwierdzonego użytkownika.

Ważne

  • Jeśli użytkownik nie ma dostępu, nie zostanie natychmiast usunięty. Użytkownik zostanie usunięty po zakończeniu okresu przeglądu lub zatrzymaniu przeglądu przez administratora.
  • Jeśli istnieje wielu recenzentów, zostanie zarejestrowana ostatnia przesłana odpowiedź. Rozważmy przykład, w którym administrator wyznacza dwóch recenzentów: Alice i Bob. Alicja najpierw otwiera przegląd dostępu i zatwierdza żądanie dostępu użytkownika. Przed zakończeniem okresu przeglądu Bob otwiera przegląd dostępu i odmawia dostępu na tym samym żądaniu, które zostało wcześniej zatwierdzone przez Alice. Ostatnią decyzją odmawiającą dostępu jest odpowiedź, która zostanie zarejestrowana.

Przeglądanie dostępu na podstawie zaleceń

Aby ułatwić i przyspieszyć przeglądy dostępu, udostępniamy również rekomendacje, które można zaakceptować za pomocą pojedynczego wyboru. Istnieją dwa sposoby generowania przez system zaleceń dla recenzenta. Jedną z metod jest działanie logowania użytkownika. Jeśli użytkownik był nieaktywny przez 30 dni lub więcej, system zaleca, aby recenzent odmawiał dostępu.

Druga metoda jest oparta na dostępie, który ma komunikacja równorzędna użytkownika. Jeśli użytkownik nie ma takiego samego dostępu, jak ich rówieśnicy, system zaleca, aby recenzent zaprzeczył temu użytkownikowi dostępu.

Jeśli nie masz żadnego logowania w ciągu 30 dni lub włączono element odstępny elementu równorzędnego, wykonaj następujące kroki, aby zaakceptować zalecenia:

  1. Wybierz co najmniej jednego użytkownika, a następnie wybierz pozycję Zaakceptuj zalecenia.

    Screenshot of open access review listing that shows the Accept recommendations button.

    Możesz też zaakceptować zalecenia dla wszystkich nieoglądanych użytkowników, upewnij się, że nie wybrano żadnych użytkowników, a następnie wybierz przycisk Akceptuj zalecenia na górnym pasku.

  2. Wybierz pozycję Prześlij , aby zaakceptować zalecenia.

Uwaga

Po zaakceptowaniu zaleceń poprzednie decyzje nie zostaną zmienione.

Przeglądanie dostępu dla co najmniej jednego użytkownika w przeglądzie dostępu wieloetapowego (wersja zapoznawcza)

Jeśli administrator włączył przeglądy dostępu wieloetapowego, będą dostępne dwa lub trzy etapy przeglądu. Każdy etap przeglądu ma określonego recenzenta.

Możesz przejrzeć dostęp ręcznie lub zaakceptować zalecenia na podstawie działania logowania dla etapu, który został przypisany jako recenzent.

Jeśli jesteś recenzentem drugiego lub trzeciego etapu, podczas tworzenia przeglądu dostępu zobaczysz również decyzje podejmowane przez recenzentów na poprzednich etapach. Jeśli administrator włączył to ustawienie. Decyzja podjęta przez recenzenta drugiego lub trzeciego etapu zastąpi poprzedni etap. Dlatego decyzja, że recenzent drugiego etapu zastąpi pierwszy etap. A decyzja recenzenta trzeciego etapu zastąpi drugi etap.

Screenshot showing selection of a user to show the multi-stage access review results.

Zatwierdź lub odmów dostępu zgodnie z opisem w temacie Przeglądanie dostępu dla co najmniej jednego użytkownika.

Uwaga

Następny etap przeglądu nie będzie aktywny, dopóki czas trwania określony podczas konfiguracji przeglądu dostępu nie zostanie przekazany. Jeśli administrator uważa, że etap został wykonany, ale czas przeglądu dla tego etapu jeszcze nie wygasł, może użyć przycisku Zatrzymaj bieżący etap w przeglądzie przeglądu dostępu w centrum administracyjnym firmy Microsoft Entra. Ta akcja spowoduje zamknięcie aktywnego etapu i rozpoczęcie następnego etapu.

Przejrzyj dostęp dla użytkowników korzystających z połączenia bezpośredniego B2B w kanałach udostępnionych usługi Teams i grupach platformy Microsoft 365 (wersja zapoznawcza)

Aby przejrzeć dostęp użytkowników programu B2B Direct Connect, wykonaj następujące instrukcje:

  1. Jako recenzent powinien zostać wyświetlony wiadomość e-mail z prośbą o przejrzenie dostępu do zespołu lub grupy. Wybierz link w wiadomości e-mail lub przejdź bezpośrednio do strony https://myaccess.microsoft.com/.

  2. Postępuj zgodnie z instrukcjami w artykule Przeglądanie dostępu dla co najmniej jednego użytkownika , aby podjąć decyzje dotyczące zatwierdzania lub odmowy dostępu użytkowników do zespołów.

Uwaga

W przeciwieństwie do użytkowników wewnętrznych i użytkowników współpracy B2B funkcja B2B bezpośrednio łączy użytkowników i zespołów nie ma zaleceń opartych na ostatniej aktywności logowania w celu podejmowania decyzji podczas przeprowadzania przeglądu.

Jeśli przeglądany zespół ma udostępnione kanały, wszystkie bezpośrednie połączenia B2B łączą użytkowników i zespoły, które uzyskują dostęp do tych udostępnionych kanałów, są częścią przeglądu. Obejmuje to użytkowników współpracy B2B i użytkowników wewnętrznych. Gdy użytkownik lub zespół połączenia bezpośredniego B2B zostanie odrzucony w przeglądzie dostępu, użytkownik utraci dostęp do każdego udostępnionego kanału w zespole. Aby dowiedzieć się więcej na temat użytkowników B2B direct connect, przeczytaj B2B direct connect.

Skonfiguruj, co się stanie, jeśli w przeglądzie dostępu nie zostanie podjęta żadna akcja

Po skonfigurowaniu przeglądu dostępu administrator ma możliwość użycia ustawień zaawansowanych w celu określenia, co się stanie, jeśli recenzent nie odpowie na żądanie przeglądu dostępu.

Administrator może skonfigurować przegląd tak, aby jeśli recenzenci nie odpowiadali na koniec okresu przeglądu, wszyscy nieoświetleni użytkownicy mogą mieć automatyczną decyzję w sprawie dostępu. Obejmuje to utratę dostępu do grupy lub aplikacji w ramach przeglądu.

Następne kroki