Проверка доступа к группам и приложениям в проверках доступа

  • Статья

Идентификатор Microsoft Entra упрощает управление доступом к группам и приложениям в идентификаторе Microsoft Entra и других веб-службах Майкрософт с помощью функции проверки доступа. В этой статье описывается, как назначенный рецензент выполняет проверку доступа для членов группы или пользователей с доступом к приложению. Если вы хотите просмотреть доступ к пакету доступа, ознакомьтесь с доступом к пакету доступа в управлении правами.

Выполнение проверки доступа с помощью портала "Мой доступ"

Можно проверить доступ к группам и приложениям через портал "Мой доступ". Мой доступ — это удобный для пользователей портал для предоставления, утверждения прав доступа и проверки необходимости в них.

Использование электронной почты для перехода к порталу "Мой доступ"

Важно!

При получении электронной почты могут быть задержки. В некоторых случаях может потребоваться до 24 часов. Добавьте azure-noreply@microsoft.com в список надежных получателей, чтобы убедиться, что получены все сообщения электронной почты.

  1. Найдите сообщение электронной почты от Майкрософт, предлагающее проверить доступ. Ниже приведен пример сообщения.

    Screenshot of example email from Microsoft to review access to a group.

  2. Щелкните ссылку Start review (Начать проверку), чтобы открыть проверку доступа.

Переход на портал "Мой доступ" напрямую

Вы также можете просмотреть свои ожидающие проверки доступа, открыв в браузере портал Мой доступ.

  1. Войдите на портал "Мой доступ" по ссылке https://myaccess.microsoft.com/.

  2. Выберите Проверки доступа в меню слева, чтобы просмотреть список назначенных вам ожидающих проверок доступа.

Проверка доступа для одного или нескольких пользователей

На портале "Мой доступ" в разделе Группы и приложения будут отображаться следующие параметры:

  • Имя — имя проверки доступа.
  • Срок проверки — дата выполнения проверки. После этой даты из проверяемой группы или приложения можно будет удалить пользователей, доступ которым был запрещен.
  • Ресурс — имя проверяемого ресурса.
  • Ход выполнения — количество проверенных пользователей по сравнению с общим числом пользователей, указанным для этой проверки доступа.

Выберите имя проверки доступа, чтобы начать.

Screenshot of pending access reviews list for apps and groups.

После открытия проверки доступа отобразится список пользователей, подлежащих проверке доступа.

Примечание.

При запросе проверки собственного доступа страница будет выглядеть иначе. Дополнительные сведения см. в статье Проверка собственного доступа к группам или приложениям с помощью функции проверки доступа Azure AD.

Существует два способа утверждения или запрета доступа.

  • Вы можете вручную утвердить или запретить доступ одному или нескольким пользователям.
  • Вы можете принять рекомендации системы.

Проверка доступа вручную для одного или нескольких пользователей

  1. Просмотр списка пользователей и принятие решения о том, следует ли утверждать или отказывать в доступе.

  2. Выберите одного или нескольких пользователей, выберите кружок рядом с их именами.

  3. Выберите Утвердить или Запретить на панели.

    Если вы не уверены, что пользователь должен сохранить право доступа, можно нажать кнопку Не знаю. У пользователя сохранится право доступа, а ваш выбор будет записан в журналы аудита. Помните, что любая информация, которую вы предоставляете, доступна другим рецензентам. Они могут прочитать ваши комментарии и учесть их при просмотре запроса.

    Screenshot of open access review listing the users who need review.

  4. Администратор проверки доступа может потребовать указать причину вашего решения в поле "Причина ", даже если причина не требуется. Вы по-прежнему можете указать причину своего решения. Сведения, которые вы включаете, доступны другим утверждающим для проверки.

  5. Выберите Отправить.

    Вы можете изменить свой ответ в любое время до окончания проверки доступа. Если вы хотите изменить ответ, выберите строку и обновите ответ. Например, можно утвердить ранее отклоненного пользователя или запретить ранее одобренного пользователя.

Важно!

  • Если пользователю отказано в доступе, он не удаляется немедленно. Пользователь удаляется по окончании периода проверки или после того, как администратор останавливает проверку.
  • При наличии нескольких рецензентов записывается последний отправленный ответ. Рассмотрим пример, в котором администратор назначает двух рецензентов: Алису и Боба. Алиса сначала открывает проверку доступа и утверждает запрос на доступ пользователя. До окончания периода проверки Боб открывает проверку доступа и запрещает доступ к тому же запросу, который ранее был утвержден Алисой. Последнее решение, запрещающее доступ, — это ответ, который записывается.

Проверка доступа на основе рекомендаций

Для упрощения и ускорения проверок доступа мы также предоставляем рекомендации, которые можно принять одиночным выбором. Существует два способа создания системой рекомендаций для рецензента. Один из методов — действие входа пользователя. Если пользователь неактивен в течение 30 дней или более, система рекомендует рецензенту запретить доступ.

Другой метод основан на доступе, который имеют одноранговые узлы пользователя. Если у пользователя нет того же доступа, что и их одноранговые узлы, система рекомендует рецензенту запретить доступ к пользователю.

Если у вас включен параметр Входы не выполнялись в течение 30 дней или Выброс однорангового узла, выполните эти действия, чтобы принять рекомендации:

  1. Выберите одного или нескольких пользователей и нажмите кнопку Принять рекомендации.

    Screenshot of open access review listing that shows the Accept recommendations button.

    Или чтобы принять рекомендации для всех непроверенных пользователей, убедитесь, что никто не выбран, а затем нажмите кнопку Принять рекомендации на верхней панели.

  2. Выберите Отправить, чтобы принять рекомендации.

Примечание.

При принятии рекомендаций предыдущие решения не изменяются.

Проверка доступа для одного или нескольких пользователей в ходе многоэтапной проверки доступа (предварительная версия)

Если администратор включил многоэтапные проверки доступа, то всего будет два или три этапа проверки. Каждый этап проверки имеет указанный рецензент.

Вы будете просматривать доступ вручную или принимать рекомендации на основе действий входа для этапа, назначаемого рецензентом.

Если вы являетесь рецензентом второго или третьего этапа, вы также увидите решения, принятые рецензентами на предыдущих этапах (если администратор включил этот параметр при создании проверки доступа). Решение, принятое рецензентом второго или третьего этапа, перезапишет предыдущий этап. Таким образом, решение, принимаемое рецензентом второго этапа, перезапишет первый этап. А решение рецензента третьего этапа перезапишет второй этап.

Screenshot showing selection of a user to show the multi-stage access review results.

Утвердите или отклоните доступ, как описано в разделе Проверка доступа для одного или нескольких пользователей.

Примечание.

Следующий этап проверки станет активен по истечении времени, указанного при настройке проверки доступа. Если администратор считает, что этап выполнен, но срок проверки для этого этапа еще не истек, он может использовать кнопку "Остановить текущий этап " в обзоре проверки доступа в Центре администрирования Microsoft Entra. Активный этап будет закрыт, и запустится следующий этап.

Проверка доступа для пользователей с прямым соединением B2B с совместно используемыми каналами в Teams и группами Microsoft 365 (предварительная версия)

Чтобы проверить доступ пользователей B2B с прямым соединением выполните следующие действия:

  1. В качестве рецензента вы должны получить сообщение по электронной почте с запросом на проверку доступа для команды или группы. Щелкните ссылку в сообщении электронной почты или перейдите непосредственно по адресу https://myaccess.microsoft.com/.

  2. Следуйте инструкциям в разделе Проверка доступа для одного или нескольких пользователей, чтобы принимать решения на утверждение или отклонение доступа пользователей к командам.

Примечание.

В отличие от локальных пользователей и пользователей Службы "Совместная работа B2B", пользователи и команды с прямым соединением B2B не имеют рекомендаций на основе действия последнего входа для принятия решений при выполнении проверки.

Если у команды, которую вы просматриваете, есть общие каналы, все пользователи с прямым соединением B2B и команды, у которых есть доступ к этим общим каналам, то такая команда является частью проверки. Это распространяется на пользователей службы совместной работы B2B и локальных пользователей. Если пользователю или команде прямого подключения B2B в проверке доступа запрещен доступ, пользователь теряет доступ к каждому общему каналу в команде. Дополнительные сведения о пользователях B2B с прямым соединением см. в статье B2B прямое соединение.

Настройка действий, если при проверке доступа не предпринимаются никакие действия

При настройке проверки доступа администратор может использовать дополнительные параметры, чтобы определить, что произойдет, если рецензент не отвечает на запрос проверки доступа.

Администратор может настроить проверку таким образом, что если рецензенты не ответят до окончания периода проверки, для всех непроверенных пользователей будет принято автоматическое решение о предоставлении доступа. Сюда входит отказ в доступе к рассматриваемой группе или приложению.

Следующие шаги