Skapa en åtkomstgranskning av grupper och program i Azure AD

Åtkomst till grupper och program för anställda och gäster ändras över tid. För att minska risken för inaktuella åtkomsttilldelningar kan administratörer använda Azure Active Directory (Azure AD) för att skapa åtkomstgranskningar för gruppmedlemmar eller programåtkomst.

Microsoft 365- och säkerhetsgruppsägare kan också använda Azure AD för att skapa åtkomstgranskningar för gruppmedlemmar så länge som global administratör eller användaradministratör aktiverar inställningen via fönstret Inställningar för åtkomstgranskningar. Mer information om dessa scenarier finns i Hantera åtkomstgranskningar.

Titta på en kort video som talar om att aktivera åtkomstgranskningar.

Den här artikeln beskriver hur du skapar en eller flera åtkomstgranskningar för gruppmedlemmar eller programåtkomst.

Krav

  • Azure AD Premium P2.
  • глобальный администратор, användaradministratör eller identitetsstyrningsadministratör för att skapa granskningar av grupper eller program.
  • Globala administratörer och privilegierade rolladministratörer kan skapa granskningar av rolltilldelningsbara grupper. Mer information finns i Använda Azure AD grupper för att hantera rolltilldelningar.
  • Microsoft 365- och säkerhetsgruppsägare.

Mer information finns i Licenskrav.

Om du granskar åtkomsten till ett program kan du läsa artikeln om hur du förbereder en åtkomstgranskning av användarnas åtkomst till ett program innan du skapar granskningen för att säkerställa att programmet är integrerat med Azure AD.

Skapa en åtkomstgranskning i en fas

Omfång

  1. Logga in på Azure-Portal och öppna sidan Identitetsstyrning.

  2. Välj Åtkomstgranskningar på den vänstra menyn.

  3. Välj Ny åtkomstgranskning för att skapa en ny åtkomstgranskning.

    Skärmbild som visar fönstret Åtkomstgranskningar i Identitetsstyrning.

  4. I rutan Välj vad du vill granska väljer du vilken resurs du vill granska.

    Skärmbild som visar hur du skapar en åtkomstgranskning.

  5. Om du har valt Teams + Grupper har du två alternativ:

    • Alla Microsoft 365 grupper med gästanvändare: Välj det här alternativet om du vill skapa återkommande recensioner för alla gästanvändare i alla dina Microsoft Teams och Microsoft 365 grupper i din organisation. Dynamiska grupper och rolltilldelningsbara grupper ingår inte. Du kan också välja att undanta enskilda grupper genom att välja Välj grupper att exkludera.

    • Välj Teams + grupper: Välj det här alternativet om du vill ange en begränsad uppsättning team eller grupper att granska. En lista över grupper att välja mellan visas till höger.

      Skärmbild som visar hur du väljer Teams + Grupper.

  6. Om du har valt Program väljer du ett eller flera program.

    Skärmbild som visar gränssnittet som visas om du har valt program i stället för grupper.

Anteckning

Om du väljer flera grupper eller program skapas flera åtkomstgranskningar. Om du till exempel väljer fem grupper att granska blir resultatet fem separata åtkomstgranskningar.

  1. Nu kan du välja ett omfång för granskningen. Alternativen är:

    • Endast gästanvändare: Det här alternativet begränsar åtkomstgranskningen till endast Azure AD B2B-gästanvändare i din katalog.
    • Alla: Det här alternativet omfattar åtkomstgranskningen för alla användarobjekt som är associerade med resursen.

    Anteckning

    Om du har valt Alla Microsoft 365 grupper med gästanvändare är ditt enda alternativ att endast granska gästanvändare.

  2. Eller om du granskar gruppmedlemskap kan du skapa åtkomstgranskningar för endast de inaktiva användarna i gruppen. I avsnittet Omfång för användare markerar du kryssrutan bredvid Inaktiva användare (på klientorganisationsnivå). Om du markerar kryssrutan fokuserar granskningsomfånget endast på inaktiva användare, de som inte har loggat in interaktivt eller icke-interaktivt till klientorganisationen. Ange sedan Inaktiva dagar med ett antal inaktiva dagar upp till 730 dagar (två år). Användare i gruppen som är inaktiva under det angivna antalet dagar är de enda användarna i recensionen.

    Anteckning

    Nyligen skapade användare påverkas inte när de konfigurerar inaktivitetstiden. Åtkomstgranskningen kontrollerar om en användare har skapats inom den konfigurerade tidsramen och ignorerar användare som inte har funnits under minst den tiden. Om du till exempel anger inaktivitetstiden som 90 dagar och en gästanvändare skapades eller bjöds in för mindre än 90 dagar sedan, kommer gästanvändaren inte att omfattas av åtkomstgranskningen. Detta säkerställer att en användare kan logga in minst en gång innan de tas bort.

  3. Välj Nästa: Recensioner.

Nästa: Recensioner

  1. Du kan skapa en granskning i en eller flera steg. För en enskild steggranskning fortsätter du här. Om du vill skapa en åtkomstgranskning i flera steg följer du stegen i Skapa en åtkomstgranskning i flera steg

  2. I avsnittet Ange granskare går du till rutan Välj granskare och väljer antingen en eller flera personer för att fatta beslut i åtkomstgranskningarna. Du kan välja mellan:

    • Gruppägare: Det här alternativet är bara tillgängligt när du granskar ett team eller en grupp.
    • Valda användare eller grupper
    • Användare granskar sin egen åtkomst
    • Användares chefer

    Om du väljer antingen Chefer för användare eller Gruppägare kan du också ange en reservgranskare. Återställningsgranskare uppmanas att göra en granskning när användaren inte har någon hanterare angiven i katalogen eller om gruppen inte har någon ägare.

    Viktigt

    För Privilegierade åtkomstgrupper (förhandsversion) måste du välja Gruppägare. Det är obligatoriskt att tilldela minst en reservgranskare till granskningen. Granskningen tilldelar endast aktiva ägare som granskare. Berättigade ägare ingår inte. Om det inte finns några aktiva ägare när granskningen börjar tilldelas granskaren/granskarna för återställning till granskningen.

    Skärmbild som visar Ny åtkomstgranskning.

  3. I avsnittet Ange upprepning av granskning anger du följande val:

    • Varaktighet (i dagar): Hur länge en granskning är öppen för indata från granskare.

    • Startdatum: När granskningsserien börjar.

    • Slutdatum: När serien med recensioner slutar. Du kan ange att den aldrig slutar. Eller så kan du välja Avsluta på ett visst datum eller Slut efter antal förekomster.

      Skärmbild som visar hur ofta granskningen ska ske.

  4. Välj Nästa: Inställningar.

Nästa: Inställningar

  1. I avsnittet Efter slutförandeinställningar kan du ange vad som händer när granskningen har slutförts.

    Skärmbild som visar när inställningarna har slutförts.

    • Tillämpa resultat automatiskt på resursen: Markera den här kryssrutan om du vill att åtkomsten till nekade användare ska tas bort automatiskt när granskningstiden är slut. Om alternativet är inaktiverat måste du tillämpa resultaten manuellt när granskningen är klar. Mer information om hur du tillämpar resultatet av granskningen finns i Hantera åtkomstgranskningar.

    • Om granskarna inte svarar: Använd det här alternativet för att ange vad som händer för användare som inte granskas av någon granskare inom granskningsperioden. Den här inställningen påverkar inte användare som har granskats av en granskare. Listrutan visar följande alternativ:

      • Ingen ändring: Lämnar en användares åtkomst oförändrad.
      • Ta bort åtkomst: Tar bort en användares åtkomst.
      • Godkänn åtkomst: Godkänner en användares åtkomst.
      • Ta rekommendationer: Tar systemets rekommendation att neka eller godkänna användarens fortsatta åtkomst.
    • Åtgärd som ska tillämpas på nekade gästanvändare: Det här alternativet är endast tillgängligt om åtkomstgranskningen är begränsad till att endast omfatta gästanvändare för att ange vad som händer med gästanvändare om de nekas antingen av en granskare eller av inställningen Om granskare inte svarar .

      • Ta bort användarens medlemskap från resursen: Det här alternativet tar bort en nekad gästanvändares åtkomst till gruppen eller programmet som granskas. De kan fortfarande logga in på klientorganisationen och förlorar inte någon annan åtkomst.
      • Blockera användaren från att logga in i 30 dagar och ta sedan bort användaren från klientorganisationen: Det här alternativet blockerar en nekad gästanvändare från att logga in på klientorganisationen, oavsett om de har åtkomst till andra resurser. Om den här åtgärden utfördes av misstag kan administratörerna återaktivera gästanvändarens åtkomst inom 30 dagar efter att gästanvändaren inaktiverades. Om ingen åtgärd vidtas för den inaktiverade gästanvändaren efter 30 dagar tas de bort från klientorganisationen.

    Mer information om metodtips för att ta bort gästanvändare som inte längre har åtkomst till resurser i din organisation finns i Använda Azure AD identitetsstyrning för att granska och ta bort externa användare som inte längre har resursåtkomst.

    Anteckning

    Åtgärder som ska tillämpas på nekade gästanvändare kan inte konfigureras för granskningar som är begränsade till fler än gästanvändare. Det går inte heller att konfigurera för granskningar av Alla Microsoft 365 grupper med gästanvändare. När det inte går att konfigurera används standardalternativet att ta bort en användares medlemskap från resursen för nekade användare.

  2. Använd alternativet Skicka meddelanden till i slutet av granskningen för att skicka meddelanden till andra användare eller grupper med slutförandeuppdateringar. Med den här funktionen kan andra intressenter än den som skapat granskningen uppdateras om granskningens förlopp. Om du vill använda den här funktionen väljer du Välj användare eller grupper och lägger till en annan användare eller grupp som du vill få statusen slutförd för.

  3. I avsnittet Aktivera beslutshjälp för granskning väljer du om du vill att granskaren ska få rekommendationer under granskningsprocessen:

    1. Om du väljer Ingen inloggning inom 30 dagar rekommenderas användare som har loggat in under den föregående 30-dagarsperioden för godkännande. Användare som inte har loggat in under de senaste 30 dagarna rekommenderas för avslag. Det här 30-dagarsintervallet gäller oavsett om inloggningarna var interaktiva eller inte. Det senaste inloggningsdatumet för den angivna användaren visas också tillsammans med rekommendationen.
    2. Om du väljer (förhandsversion) Anknytning från användare till grupp får granskarna rekommendationen godkänn eller neka åtkomst för användarna baserat på användarens genomsnittliga avstånd i organisationens rapporteringsstruktur. Användare som är mycket avlägsna från alla andra användare i gruppen anses ha "låg anknytning" och får en neka-rekommendation i gruppåtkomstgranskningarna.

    Anteckning

    Om du skapar en åtkomstgranskning baserat på program baseras dina rekommendationer på 30-dagarsintervallet beroende på när användaren senast loggade in i programmet i stället för klientorganisationen.

    Skärmbild som visar alternativen Aktivera beslutshjälp för granskare.

  4. I avsnittet Avancerade inställningar kan du välja följande:

    • Motivering krävs: Markera den här kryssrutan om du vill kräva att granskaren anger en orsak till godkännande eller avslag.

    • Email meddelanden: Markera den här kryssrutan om du vill att Azure AD ska skicka e-postmeddelanden till granskare när en åtkomstgranskning startar och till administratörer när en granskning har slutförts.

    • Påminnelser: Markera den här kryssrutan om du vill att Azure AD ska skicka påminnelser om pågående åtkomstgranskningar till alla granskare. Granskarna får påminnelserna halvvägs genom granskningen, oavsett om de har slutfört sin granskning eller inte.

    • Ytterligare innehåll för granskarens e-post: Innehållet i e-postmeddelandet som skickas till granskarna genereras automatiskt baserat på granskningsinformationen, till exempel granskningsnamn, resursnamn och förfallodatum. Om du behöver förmedla mer information kan du ange information, till exempel instruktioner eller kontaktinformation i rutan. Den information som du anger ingår i inbjudan och påminnelsemeddelanden skickas till tilldelade granskare. Avsnittet som är markerat i följande bild visar var den här informationen visas.

      Skärmbild som visar ytterligare innehåll för granskare.

  5. Välj Nästa: Granska och skapa.

    Skärmbild som visar fliken Granska + skapa.

Nästa: Granska + skapa

  1. Ge åtkomstgranskningen ett namn. Du kan också ge recensionen en beskrivning. Namnet och beskrivningen visas för granskarna.

  2. Granska informationen och välj Skapa.

Skapa en åtkomstgranskning i flera steg

Med en granskning i flera steg kan administratören definiera två eller tre uppsättningar granskare för att slutföra en granskning en efter en. I en granskning i en enda fas fattar alla granskare ett beslut inom samma period och den sista granskaren att fatta ett beslut om "vinner". I en granskning i flera steg fattar två eller tre oberoende uppsättningar granskare ett beslut inom sitt eget stadium, och nästa steg inträffar inte förrän ett beslut fattas i föregående steg. Granskningar i flera steg kan användas för att minska bördan för granskare i senare skeden, möjliggöra eskalering av granskare eller låta oberoende grupper av granskare komma överens om beslut.

Varning

Data för användare som ingår i åtkomstgranskningar i flera steg är en del av granskningsposten i början av granskningen. Administratörer kan ta bort data när som helst genom att ta bort granskningsserien för åtkomst i flera steg. Allmän information om GDPR och skydd av användardata finns i GDPR-avsnittet i avsnittet Microsoft Säkerhetscenter och GDPR i Service Trust Portal.

  1. När du har valt resursen och omfånget för din granskning går du vidare till fliken Granskningar .

  2. Klicka på kryssrutan bredvid Granskning i flera steg.

  3. Under Första stegets granskning väljer du granskarna från listrutan bredvid Välj granskare.

  4. Om du väljer Gruppägare eller Användares hanterare kan du lägga till en reservgranskare. Om du vill lägga till en återställning klickar du på Välj reservgranskare och lägger till de användare som du vill ska vara reservgranskare.

    Skärmbild som visar granskning i flera steg aktiverat och granskningsinställningar för flera steg.

  5. Lägg till varaktigheten för den första fasen. Om du vill lägga till varaktigheten anger du ett tal i fältet bredvid Varaktighet för fas (i dagar). Det här är det antal dagar som du vill att det första steget ska vara öppet för granskarna i första steget för att fatta beslut.

  6. Under Andra fasens granskning väljer du granskarna från den nedrullningsbara menyn bredvid Välj granskare. Dessa granskare uppmanas att granska när den första fasgranskningen är slut.

  7. Lägg till eventuella reservgranskare om det behövs.

  8. Lägg till varaktigheten för det andra steget.

  9. Som standard visas två faser när du skapar en granskning i flera steg. Du kan dock lägga till upp till tre steg. Om du vill lägga till en tredje fas klickar du på + Lägg till en fas och fyller i de obligatoriska fälten.

  10. Du kan bestämma dig för att tillåta granskare i andra och tredje steget att se beslut som fattades i föregående steg. Om du vill att de ska kunna se de beslut som fattats tidigare klickar du på rutan bredvid Visa tidigare stegbeslut för senare steggranskare under Visa granskningsresultat. Låt rutan vara avmarkerad om du vill inaktivera den här inställningen om du vill att granskarna ska granska oberoende av varandra.

    Skärmbild som visar varaktighet och visar inställningen för föregående steg aktiverad för granskning i flera steg.

  11. Varaktigheten för varje upprepning anges till summan av de varaktighetsdagar som du angav i varje steg.

  12. Ange granska upprepning, Startdatum och Slutdatum för granskningen. Upprepningstypen måste vara minst så länge den totala varaktigheten för upprepningen (dvs. den maximala varaktigheten för en veckovis granskningsrecidiv är 7 dagar).

  13. Om du vill ange vilka granskare som ska fortsätta från steg till steg väljer du ett eller flera av följande alternativ bredvid Ange granskare för att gå till nästa steg : Skärmbild som visar inställningen för granskningar och alternativ för granskning i flera steg.

    1. Godkända granskare – Endast granskare som har godkänts går vidare till nästa steg.
    2. Nekade granskare – Endast granskare som nekades går vidare till nästa steg.
    3. Inte granskade granskare – Endast granskare som inte har granskats går vidare till nästa steg.
    4. Granskare som markerats som "Vet inte" – Endast granskare som markerats som "Vet inte" går vidare till nästa steg.
    5. Alla: alla går vidare till nästa steg om du vill att alla stadier av granskare ska fatta ett beslut.
  14. Fortsätt till inställningsfliken och slutför resten av inställningarna och skapa granskningen. Följ anvisningarna i Nästa: Inställningar.

Inkludera B2B-direktanslutningsanvändare och team som har åtkomst till delade Teams-kanaler i åtkomstgranskningar

Du kan skapa åtkomstgranskningar för B2B-direktanslutna användare via delade kanaler i Microsoft Teams. När du samarbetar externt kan du använda Azure AD åtkomstgranskningar för att se till att extern åtkomst till delade kanaler förblir aktuell. Mer information om delade Teams-kanaler och B2B-direktanslutningsanvändare finns i artikeln B2B Direct Connect .

När du skapar en åtkomstgranskning i ett team med delade kanaler kan granskarna granska det fortsatta behovet av åtkomst för dessa externa användare och Teams i de delade kanalerna. Externa användare i de delade kanalerna kallas B2B-direktanslutningsanvändare. Du kan granska åtkomsten för B2B Connect-användare och andra B2B-samarbetsanvändare som stöds och interna användare som inte är B2B-användare i samma granskning.

Anteckning

För närvarande ingår B2B-direktanslutningsanvändare och team endast i granskningar i en fas. Om granskningar i flera steg är aktiverade inkluderas inte direktanslutna användare och team i åtkomstgranskningen.

B2B-direktanslutningsanvändare och team ingår i åtkomstgranskningar av den Teams-aktiverade Microsoft 365-gruppen som de delade kanalerna ingår i. Om du vill skapa recensionen måste du vara:

  • Global administratör
  • Användaradministratör
  • Identitetsstyrningsadministratör

Använd följande instruktioner för att skapa en åtkomstgranskning i ett team med delade kanaler:

  1. Logga in på Azure-Portal som global Admin, Admin eller identitetsstyrning Admin.

  2. Öppna sidan Identitetsstyrning .

  3. Välj Åtkomstgranskningar på den vänstra menyn.

  4. Välj + Ny åtkomstgranskning.

  5. Välj Teams + Grupper och klicka sedan på Välj team + grupper för att ange granskningsomfånget. B2B-direktanslutningsanvändare och team ingår inte i granskningar av Alla Microsoft 365 grupper med gästanvändare.

  6. Välj ett team som har delade kanaler som delas med 1 eller fler B2B-direktanslutningsanvändare eller Teams.

  7. Ange omfånget.

    Skärmbild som visar hur granskningsomfånget anges för granskning av delade kanaler.

    • Välj Alla användare att ta med:
      • Alla interna användare
      • B2B-samarbetsanvändare som är medlemmar i teamet
      • B2B-direktanslutningsanvändare
      • Team som har åtkomst till delade kanaler
    • Eller välj Endast gästanvändare för att endast inkludera B2B-direktanslutningsanvändare och Teams- och B2B-samarbetsanvändare.
  8. Fortsätt till fliken Recensioner . Välj en granskare för att slutföra granskningen och ange sedan varaktigheten och granska upprepningen.

    Anteckning

    • Om du ställer in Välj granskareAnvändare granskar deras egen åtkomst eller Användares chefer kan B2B-direktanslutna användare och Teams inte granska sin egen åtkomst i din klientorganisation. Teamets ägare får ett e-postmeddelande som ber ägaren att granska B2B-direktanslutningsanvändaren och Teams.
    • Om du väljer Användares chefer granskar en vald reservgranskare alla användare utan en chef i hemklientorganisationen. Detta inkluderar B2B-direktanslutningsanvändare och Teams utan chef.
  9. Gå vidare till fliken Inställningar och konfigurera ytterligare inställningar. Gå sedan till fliken Granska och skapa för att starta åtkomstgranskningen. Mer detaljerad information om hur du skapar en granskning och konfigurationsinställningar finns i vår granskning av skapa en åtkomst i en fas.

Tillåt gruppägare att skapa och hantera åtkomstgranskningar av sina grupper

Den nödvändiga rollen är global administratör eller användaradministratör.

  1. Logga in på Azure-Portal och öppna sidan Identitetsstyrning.

  2. Välj Inställningar under Åtkomstgranskningar på menyn till vänster.

  3. På sidan Delegera vem som kan skapa och hantera åtkomstgranskningar ställer du in Gruppägare kan skapa och hantera åtkomstgranskningar för grupper som de äger till Ja.

    Skärmbild som visar hur gruppägare kan granska.

    Anteckning

    Som standard är inställningen inställd på Nej. Om du vill tillåta gruppägare att skapa och hantera åtkomstgranskningar ändrar du inställningen till Ja.

Starta åtkomstgranskningen

När du har angett inställningarna för en åtkomstgranskning väljer du Start. Åtkomstgranskningen visas i listan med en indikator på dess status.

Skärmbild som visar en lista över åtkomstgranskningar och deras status.

Som standard skickar Azure AD ett e-postmeddelande till granskare kort efter att granskningen har startats. Om du väljer att inte ha Azure AD skicka e-postmeddelandet måste du informera granskarna om att en åtkomstgranskning väntar på att de ska slutföras. Du kan visa instruktionerna för hur du granskar åtkomsten till grupper eller program. Om din recension är avsedd för gäster att granska sin egen åtkomst visar du instruktionerna för hur du granskar åtkomst för dig själv till grupper eller program.

Om du har tilldelat gäster som granskare och de inte har accepterat sin inbjudan till klientorganisationen får de inget e-postmeddelande från åtkomstgranskningar. De måste först acceptera inbjudan innan de kan börja granska.

Uppdatera åtkomstgranskningen

När en eller flera åtkomstgranskningar har startats kanske du vill ändra eller uppdatera inställningarna för dina befintliga åtkomstgranskningar. Här följer några vanliga scenarier att tänka på:

  • Uppdatera inställningar eller granskare: Om en åtkomstgranskning är återkommande finns det separata inställningar under Aktuell och under Serie. Om du uppdaterar inställningarna eller granskarna under Aktuell gäller endast ändringar i den aktuella åtkomstgranskningen. Uppdatering av inställningarna under Serie uppdaterar inställningarna för alla framtida upprepningar.

    Skärmbild som visar uppdatering av inställningar för åtkomstgranskning.

  • Lägg till och ta bort granskare: När du uppdaterar åtkomstgranskningar kan du välja att lägga till en reservgranskare utöver den primära granskaren. Primära granskare kan tas bort när du uppdaterar en åtkomstgranskning. Återställningsgranskare är inte flyttbara avsiktligt.

    Anteckning

    Återställningsgranskare kan bara läggas till när granskartypen är en chef eller en gruppägare. Primära granskare kan läggas till när granskartypen är den valda användaren.

  • Påminn granskarna: När du uppdaterar åtkomstgranskningar kan du välja att aktivera alternativet Påminnelser under Avancerade inställningar. Användarna får sedan ett e-postmeddelande i mitten av granskningsperioden, oavsett om de har slutfört granskningen eller inte.

    Skärmbild som visar påminn granskare.

Nästa steg