Dokončení kontroly přístupu skupin a aplikací v kontrolách přístupu

Jako správce vytvoříte kontrolu přístupu skupin nebo aplikací a recenzenti provádí tuto kontrolu přístupu. Tento článek popisuje, jak zobrazit výsledky kontroly přístupu a použít je.

Požadavky

• Microsoft Entra ID P2 nebo Microsoft Entra ID Governance
• Alespoň role správce uživatelů nebo správce zásad správného řízení identit ke správě přístupu ke kontrolům skupin a aplikací. Uživatelé, kteří mají aspoň roli Správce privilegovaných rolí, můžou spravovat kontroly skupin s možností přiřazení rolí, viz: Správa přiřazení rolí pomocí skupin Microsoft Entra
• Čtečky zabezpečení mají přístup pro čtení.

Další informace najdete v tématu: Licenční požadavky.

Zobrazení stavu kontroly přístupu

Podle následujících kroků můžete sledovat průběh kontrol přístupu při jejich dokončení.

1. Přihlaste se do administračního centra Microsoft Entra jako alespoň Správce správy identit.

2. Přejděte na Správa identit>Kontroly přístupu.

3. V seznamu vyberte kontrolu přístupu.

   Na stránce Přehled uvidíte průběh aktuální instance recenze. Pokud v tuto chvíli není otevřená aktivní instance, zobrazí se informace o předchozí instanci. V adresáři nejsou změněna žádná přístupová práva, dokud se kontrola nedokončila.

   

   Všechna okna v části Aktuální se dají zobrazit jenom během doby trvání každé instance kontroly.

   Poznámka:

   Ačkoli aktuální kontrola přístupu zobrazuje pouze informace o aktivní instanci kontroly, můžete získat informace o kontrolách, které se teprve uskuteční, v Řadě v části Naplánovaná kontrola.

   Stránka Výsledky poskytuje více informací o jednotlivých uživatelích, kteří jsou v instanci podrobeni kontrole, včetně možnosti zastavit, resetovat a stáhnout výsledky.

   

   Pokud si prohlížíte kontrolu přístupu, která kontroluje přístup hostů napříč skupinami Microsoftu 365, zobrazí se v podokně Přehled všechny skupiny v revizi.

   

   Vyberte skupinu, abyste viděli průběh kontroly v této skupině, a to také pro zastavení, resetování, použití a odstranění.

   

4. Pokud chcete ukončit kontrolu přístupu před dosažením plánovaného koncového data, vyberte tlačítko Zastavit .

   Když zastavíte kontrolu, posuzovatelé už nebudou moci poskytovat odpovědi. Po zastavení se recenze nedá restartovat.

5. Pokud už nemáte zájem o kontrolu přístupu, můžete ji odstranit kliknutím na tlačítko Odstranit .

Zobrazení stavu vícefázové kontroly (Preview)

Zobrazení stavu a fáze kontroly přístupu ve vícefázové fázi:

1. Vyberte vícefázovou kontrolu, u které chcete zkontrolovat stav nebo zjistit, v jaké fázi je.

2. V levé navigační nabídce v části Aktuální vyberte Výsledky.

3. Jakmile budete na stránce s výsledky, v části Stav se dozvíte, ve které fázi je kontrola ve více fázích. Další fáze kontroly se neaktivuje, dokud doba trvání zadaná během nastavení kontroly přístupu neprojde.

4. Pokud se rozhodnete, ale doba trvání kontroly pro tuto fázi ještě nevypršela, můžete na stránce výsledků vybrat tlačítko Zastavit aktuální fázi . Tím se aktivuje další fáze kontroly.

Získání výsledků

Pokud chcete zobrazit výsledky kontroly, vyberte stránku Výsledky . Pokud chcete zobrazit přístup konkrétního uživatele, do vyhledávacího pole zadejte zobrazované jméno nebo uživatelský hlavní název (UPN) uživatele, jehož přístup se kontroloval.

Pokud chcete zobrazit výsledky dokončené instance kontroly přístupu, která se opakuje, vyberte Zkontrolovat historii a pak v seznamu dokončených instancí kontroly přístupu vyberte konkrétní instanci na základě počátečního a koncového data instance. Výsledky této instance jsou dostupné na stránce Výsledky. Opakované kontroly přístupu umožňují mít konstantní přehled o přístupu k prostředkům, které můžou být potřeba aktualizovat častěji než jednorázové kontroly přístupu.

Pokud chcete načíst výsledky hodnocení přístupu, ať už probíhá nebo je dokončena, vyberte tlačítko Stáhnout. Výsledný soubor CSV lze zobrazit v Excelu nebo v jiných programech, které otevřou soubory CSV s kódováním UTF-8.

Načíst výsledky programově

Výsledky kontroly přístupu můžete načíst také pomocí Microsoft Graphu nebo PowerShellu.

Nejprve budete muset vyhledat instanci kontroly přístupu. Pokud accessReviewScheduleDefinition je opakovaná kontrola přístupu, instance představují každé opakování. Kontrola, která se neopakuje, má přesně jednu instanci. Instance také představují každou jedinečnou skupinu kontrolovanou v definici plánu. Pokud je v definici plánu zahrnuto více skupin, každá skupina má pro každé opakování jedinečnou instanci. Každá instance obsahuje seznam rozhodnutí, s nimiž mohou recenzenti učinit akce, přičemž jedno rozhodnutí odpovídá jedné kontrolované identitě.

Jakmile instanci identifikujete, aby se rozhodnutí načetla pomocí Graphu, zavolejte rozhraní Graph API k výpisu rozhodnutí z instance. Pokud je instance vícefázovou kontrolou, zavolejte rozhraní Graph API pro výpis rozhodnutí z vícefázové kontroly přístupu. Volající musí být buď uživatelem v příslušné roli s aplikací, která má delegovaná oprávnění AccessReview.Read.All nebo AccessReview.ReadWrite.All, nebo aplikací s oprávněními AccessReview.Read.All nebo AccessReview.ReadWrite.All. Další informace najdete v kurzu jak zkontrolovat skupinu zabezpečení.

Rozhodnutí můžete v PowerShellu načíst také pomocí rutiny Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision ze sady rutin Microsoft Graph PowerShell pro modul správy identit. Výchozí velikost stránky tohoto rozhraní API je 100 položek rozhodování.

Použití změn

Pokud je Automatické použití výsledků na prostředek povoleno na základě vašich výběrů v Nastavení po dokončení, automatická aplikace proběhne, jakmile se instance kontroly dokončí, nebo dříve, pokud kontrolu zastavíte ručně.

Pokud u kontroly nebyla povolena možnost Automatické použití výsledků pro prostředek, přejděte do Historie kontrol v sekci Řady po skončení doby trvání kontroly nebo když byla kontrola předčasně zastavena, a vyberte instanci kontroly, kterou chcete použít.

Pokud chcete změny použít ručně, vyberte Použít . Pokud byl přístup uživatele v revizi odepřen, při výběru možnosti Použít služba Microsoft Entra ID odebere jeho členství nebo přiřazení aplikace.

Stav kontroly se změní z Dokončeno přes přechodné stavy, jako je Používání, a nakonec na stav Výsledek použit. Měli byste očekávat, že případní zamítnutí uživatelé budou během několika minut odebráni z členství ve skupině nebo přiřazení aplikace.

Ruční nebo automatické použití výsledků nemá vliv na skupinu, která pochází z místního adresáře. Pokud chcete změnit skupinu, která pochází z místního prostředí, stáhněte si výsledky a použijte tyto změny na reprezentaci skupiny v tomto adresáři.

Akce podniknuté vůči odepřeným hostujícím uživatelům při revizi přístupu

Při vytváření kontroly může tvůrce vybrat mezi dvěma možnostmi pro odmítnuté uživatele typu host v přístupu kontroly.

• Uživatelé typu host, kterým byl zamítnut přístup, mohou mít odstraněný přístup k prostředku. Toto je výchozí nastavení.
• Uživatel hosta, kterému byl odepřen přístup, může být zablokován pro přihlášení na dobu 30 dnů a poté odstraněn z účetního systému. Během 30denního období může správce znovu obnovit přístup hostujícího uživatele k tenantovi. Po uplynutí 30denního období, pokud uživatel typu host neměl přístup k prostředku udělený mu znovu, bude odstraněn z nájemce trvale. Kromě toho může globální správce pomocí Centra pro správu Microsoft Entra explicitně trvale odstranit nedávno odstraněného uživatele před dosažením daného časového období. Po trvalém odstranění uživatele se data o hostujícím uživateli odeberou z aktivních přehledů přístupu. Informace o auditování o odstraněných uživatelích zůstávají v protokolu auditu.

Akce provedené u uživatelů, kterým bylo odepřeno přímé připojení B2B

Uživatelé a týmy s odepřeným B2B přímým připojením ztratí přístup ke všem sdíleným kanálům v týmu.

Další kroky

• Řízení přezkumů přístupu
• Vytvoření kontroly přístupu skupin nebo aplikací
• Vytvořte revizi přístupu uživatelů v administrativní roli Microsoft Entra