Skapa en åtkomstgranskning av ett åtkomstpaket i berättigandehantering

  • Artikel

För att minska risken för inaktuell åtkomst bör du aktivera regelbundna granskningar av användare som har aktiva tilldelningar till ett åtkomstpaket i berättigandehantering. Du kan aktivera granskningar när du skapar ett nytt åtkomstpaket eller redigerar en befintlig tilldelningsprincip för åtkomstpaket. I den här artikeln beskrivs hur du aktiverar åtkomstgranskningar av åtkomstpaket.

Förutsättningar

Om du vill aktivera granskningar av åtkomstpaket måste du uppfylla kraven för att skapa ett åtkomstpaket:

  • Microsoft Entra ID P2 eller Microsoft Entra ID-styrning
  • Global administratör, identitetsstyrningsadministratör, katalogägare eller Åtkomstpakethanterare

Mer information finns i Licenskrav.

Skapa en åtkomstgranskning av ett åtkomstpaket

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Du kan aktivera åtkomstgranskningar när du skapar ett nytt åtkomstpaket eller redigerar en befintlig princip för tilldelning av åtkomstpaket . Om du har flera principer kan du ha oberoende åtkomstgranskningsscheman för varje princip för olika användargrupper för att begära åtkomst. Följ de här stegen för att aktivera åtkomstgranskningar av ett åtkomstpakets tilldelningar:

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Åtkomstgranskningar av åtkomstpaket för identitetsstyrning>.>

  3. Om du vill skapa en ny åtkomstprincip väljer du Nytt åtkomstpaket .

  4. Om du vill redigera en befintlig åtkomstprincip går du till den vänstra menyn och väljer Åtkomstpaket och öppnar det åtkomstpaket som du vill redigera. I den vänstra menyn väljer du Sedan Principer och väljer den princip som har de livscykelinställningar som du vill redigera.

  5. Öppna fliken Livscykel för en tilldelningsprincip för åtkomstpaket för att ange när en användares tilldelning till åtkomstpaketet upphör att gälla. Du kan också ange om användare kan utöka sina tilldelningar.

  6. I avsnittet Förfallodatum anger du Åtkomstpakettilldelningar upphör att gälla till På datum, Antal dagar, Antal timmar eller Aldrig.

    För På-datum väljer du ett förfallodatum i framtiden.

    För Antal dagar anger du ett tal mellan 0 och 3 660 dagar.

    För Antal timmar anger du antalet timmar.

    Baserat på ditt val upphör en användares tilldelning till åtkomstpaketet att gälla ett visst datum, ett visst antal dagar efter att de har godkänts eller aldrig.

    Åtkomstpaket – Förfalloinställningar för livscykel

  7. Välj Visa avancerade förfalloinställningar för att visa andra inställningar.

  8. Om du vill tillåta att användaren utökar sina tilldelningar anger du Tillåt användare att utöka åtkomsten till Ja.

    Om tillägg tillåts i principen får användaren ett e-postmeddelande 14 dagar och även en dag innan deras åtkomstpakettilldelning har angetts att upphöra, vilket uppmanar dem att förlänga tilldelningen. Användaren måste fortfarande vara inom omfånget för principen när de begär ett tillägg. Om principen har ett uttryckligt slutdatum för tilldelningar och en användare skickar en begäran om att utöka åtkomsten, måste tilläggsdatumet i begäran vara vid eller före när tilldelningarna upphör att gälla, enligt definitionen i principen som användes för att ge användaren åtkomst till åtkomstpaketet. Om principen till exempel anger att tilldelningarna ska upphöra att gälla den 30 juni är det maximala tillägget som en användare kan begära den 30 juni.

    Om en användares åtkomst utökas kan de inte begära åtkomstpaketet efter det angivna tilläggsdatumet (datum som angetts i tidszonen för den användare som skapade principen).

  9. Om du vill kräva godkännande för att bevilja ett tillägg anger du Kräv godkännande för att bevilja tillägget till Ja.

    Samma godkännandeinställningar som angavs på fliken Begäranden används.

  10. Flytta sedan växlingsknappen Kräv åtkomstgranskning till Ja.

    Lägg till åtkomstgranskningen

  11. Ange det datum då granskningarna börjar bredvid Start på.

  12. Ange sedan granskningsfrekvensen till Årligt, Varannan år, Kvartalsvis eller Varje månad. Den här inställningen avgör hur ofta åtkomstgranskningar sker.

  13. Ange Varaktighet för att definiera hur många dagar varje granskning av den återkommande serien ska vara öppen för indata från granskare. Du kan till exempel schemalägga en årlig granskning som börjar den 1 januari och är öppen för granskning i 30 dagar så att granskarna har till slutet av månaden på sig att svara.

  14. Bredvid Granskare väljer du Självgranskning om du vill att användarna ska utföra sin egen åtkomstgranskning eller väljer Specifika granskare om du vill utse en granskare. Du kan också välja Chef om du vill utse granskarens chef till granskare. Om du väljer det här alternativet måste du lägga till en återställning för att vidarebefordra granskningen till om chefen inte kan hittas i systemet.

  15. Om du har valt Specifika granskare anger du vilka användare som gör åtkomstgranskningen:

    Välj Lägg till granskare

    1. Välj Lägg till granskare.
    2. I fönstret Välj granskare söker du efter och väljer de användare som du vill ska vara granskare.
    3. När du har valt granskare väljer du knappen Välj .

    Ange granskarna

  16. Om du har valt Chef anger du återställningsgranskaren:

    1. Välj Lägg till reservgranskare.
    2. I fönstret Välj reservgranskare söker du efter och väljer de användare som du vill ska vara reservgranskare för granskarens chef.
    3. När du har valt återställningsgranskare väljer du knappen Välj .

    Lägg till reservgranskare

  17. Det finns andra avancerade inställningar som du kan konfigurera. Om du vill konfigurera andra inställningar för avancerad åtkomstgranskning väljer du Visa inställningar för avancerad åtkomstgranskning:

    1. Om du vill ange vad som händer med användarnas åtkomst när en granskare inte svarar väljer du Om granskare inte svarar och väljer sedan något av följande:

      • Ingen ändring om du inte vill att ett beslut ska fattas om användarnas åtkomst.
      • Ta bort åtkomst om du vill att användarnas åtkomst ska tas bort.
      • Ta rekommendationer om du vill att ett beslut ska fattas baserat på rekommendationer från MyAccess.

      Lägga till inställningar för avancerad åtkomstgranskning

    2. Om du vill se systemrekommendationer väljer du Visa beslutshjälpare för granskare. Systemets rekommendationer baseras på användarnas aktivitet. Granskarna ser någon av följande rekommendationer:

      • godkänn granskningen om användaren har loggat in minst en gång under de senaste 30 dagarna.
      • neka granskning om användaren inte har loggat in under de senaste 30 dagarna.

    3. Om du vill att granskaren ska dela med sig av sina skäl för godkännandebeslutet väljer du Kräv motivering för granskaren. Deras motivering är synlig för andra granskare och beställaren.

  18. Välj Granska + Skapa eller välj nästa om du skapar ett nytt åtkomstpaket. Välj Uppdatera om du redigerar ett åtkomstpaket längst ned på sidan.

Visa status för åtkomstgranskningen

Efter startdatumet visas en åtkomstgranskning i avsnittet Åtkomstgranskningar . Följ dessa steg för att visa status för en åtkomstgranskning:

  1. I Identitetsstyrning väljer du Åtkomstpaket och sedan åtkomstpaketet med den åtkomstgranskningsstatus som du vill kontrollera.

  2. När du är med i översikten över åtkomstpaketet väljer du Åtkomstgranskningar på den vänstra menyn.

    Välj åtkomstgranskningar

  3. En lista visas som innehåller alla principer som har åtkomstgranskningar associerade med dem. Välj recensionen för att se rapporten.

    Lista över åtkomstgranskningar

  4. När du visar rapporten visas antalet användare som granskats och vilka åtgärder som granskaren har vidtagit.

    Visa granskningsstatus

Få åtkomst till e-postaviseringar för åtkomstgranskningar

Du kan utse granskare eller användare kan granska sin åtkomst själva. Som standard skickar Microsoft Entra-ID ett e-postmeddelande till granskare eller självgranskare kort efter att granskningen har startats.

E-postmeddelandet innehåller instruktioner om hur du granskar åtkomsten till åtkomstpaket. Om granskningen är avsedd för användare att granska sin åtkomst visar du instruktionerna för hur de utför en självgranskning av sina åtkomstpaket.

Om du har tilldelat gästanvändare som granskare och de inte har accepterat sin Microsoft Entra-gästinbjudan får de inte e-postmeddelanden från åtkomstgranskningar. De måste först acceptera inbjudan och skapa ett konto med Microsoft Entra-ID innan de kan ta emot e-postmeddelandena.

Nästa steg