Sdílet prostřednictvím


Vytvoření kontroly přístupu u skupin a aplikací v Microsoft Entra ID

Přístup ke skupinám a aplikacím pro zaměstnance a hosty se v průběhu času mění. Pokud chcete snížit riziko spojené se zastaralým přiřazením přístupu, můžou správci pomocí Microsoft Entra ID vytvořit kontroly přístupu pro členy skupiny nebo přístup k aplikacím.

Vlastníci skupin zabezpečení a Microsoft 365 můžou také pomocí Microsoft Entra ID vytvořit kontroly přístupu pro členy skupiny, pokud uživatel s alespoň rolí správce zásad správného řízení identit povolí nastavení v podokně Nastavení kontroly přístupu. Další informace o těchto scénářích najdete v tématu Správa přezkumů přístupu.

Podívejte se na krátké video, které se týká povolení kontrol přístupu.

Tento článek popisuje, jak vytvořit jednu nebo více kontrol přístupu pro členy skupiny nebo přístup k aplikacím.

Požadavky

Použití této funkce vyžaduje zásady správného řízení Microsoft Entra ID nebo licence sady Microsoft Entra Suite. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu základy licencování zásad správného řízení Microsoft Entra ID.

Pokud kontrolujete přístup k aplikaci, přečtěte si článek o tom, jak se připravit na kontrolu přístupu uživatelů k aplikaci , abyste měli jistotu, že je aplikace integrovaná s Microsoft Entra ID ve vašem tenantovi.

Poznámka:

Kontroly přístupu zachycují snímek přístupu na začátku každé instance kontroly. Všechny změny provedené během procesu kontroly se projeví v dalším cyklu kontroly. Při zahájení každého nového opakování se v podstatě načtou příslušná data týkající se uživatelů, zdrojů posuzovaných, a jejich revidujících.

Poznámka:

Ve skupinové kontrole budou vnořené skupiny automaticky zploštěny, což znamená, že uživatelé z vnořených skupin se zobrazí jako jednotliví uživatelé. Pokud je uživatel označen k odebrání z důvodu svého členství ve vnořené skupině, nebude automaticky odebrán z vnořené skupiny, ale pouze z přímého členství.

Vytvořte jednofázovou kontrolu přístupu

Obor

  1. Přihlaste se do Centra pro správu Microsoft Entra alespoň jako správce zásad správného řízení identit.

  2. Přejděte na Správa identit>Kontroly přístupu.

  3. Výběrem možnosti Nová kontrola přístupu vytvořte novou kontrolu přístupu.

    Snímek obrazovky znázorňující podokno Kontroly přístupu ve správě identit.

  4. V poli Vybrat, co chcete zkontrolovat, vyberte prostředek, který chcete zkontrolovat.

    Snímek obrazovky, který ukazuje vytváření revize přístupu

  5. Pokud jste vybrali Teams + Skupiny, máte dvě možnosti:

    • Všechny skupiny Microsoftu 365 s uživateli typu host: Tuto možnost vyberte, pokud chcete vytvořit opakovaná hodnocení pro všechny uživatele typu host ve všech skupinách Microsoft Teams a Microsoft 365 ve vaší organizaci. Dynamické skupiny a skupiny s možností přiřazení role nejsou zahrnuty. Jednotlivé skupiny můžete vyloučit také tak , že vyberete Vybrat skupiny, které chcete vyloučit.

    • Vyberte Teams + skupiny: Tuto možnost vyberte, pokud chcete určit konečnou sadu týmů nebo skupin, které chcete zkontrolovat. Vpravo se zobrazí seznam skupin, ze které si můžete vybrat.

      Snímek obrazovky znázorňující výběr Teams + Skupiny

  6. Pokud jste vybrali Aplikace, vyberte jednu nebo více aplikací.

    Snímek obrazovky znázorňující rozhraní, které se zobrazí, pokud jste vybrali aplikace místo skupin

Poznámka:

Výběr více skupin nebo aplikací způsobí vytvoření více kontrol přístupu. Pokud například vyberete pět skupin, které chcete zkontrolovat, výsledek je pět samostatných kontrol přístupu.

  1. Teď můžete vybrat obor kontroly. Máte následující možnosti:

    • Pouze uživatelé typu host: Tato možnost omezuje kontrolu přístupu pouze na uživatele typu host Microsoft Entra B2B ve vašem adresáři.
    • Všichni: Tato možnost definuje kontrolu přístupu všem objektům uživatelů přidruženým k prostředku.

    Poznámka:

    Pokud jste vybrali všechny skupiny Microsoftu 365 s uživateli typu host, máte jedinou možnost zkontrolovat jenom uživatele typu host.

  2. Nebo pokud provádíte kontrolu členství ve skupině, můžete vytvořit kontroly přístupu jenom pro neaktivní uživatele ve skupině. V části Rozsah uživatelů zaškrtněte políčko vedle neaktivní uživatelé (na úrovni tenanta). Pokud toto políčko zaškrtnete, rozsah kontroly se zaměřuje jenom na neaktivní uživatele, kteří se k tenantovi nepřihlásili interaktivně nebo neinteraktivně. Pak zadejte dny neaktivní s mnoha dny neaktivními až 730 dny (dva roky). Uživatelé ve skupině neaktivní po zadaný počet dní jsou jedinými uživateli v kontrole.

    Poznámka:

    Při konfiguraci doby nečinnosti nejsou nedávno vytvořená uživatelé ovlivněni. Kontrola přístupu zkontroluje, jestli byl uživatel vytvořen v nakonfigurovaném časovém rámci, a ignoruje uživatele, kteří alespoň tuto dobu neexistovali. Pokud například nastavíte dobu nečinnosti na 90 dní a uživatel typu host byl vytvořen nebo pozván před méně než 90 dny, nebude uživatel typu host v oboru kontroly přístupu. Tím se zajistí, že se uživatel může před odebráním přihlásit alespoň jednou.

  3. Vyberte Další: Recenze.

Další: Recenze

  1. Můžete vytvořit jednofázovou nebo vícefázovou kontrolu. Pokud chcete zkontrolovat jednu fázi, pokračujte tady. Pokud chcete vytvořit kontrolu přístupu ve více fázích, postupujte podle kroků v části Vytvoření kontroly přístupu s více fázemi.

  2. V části Určení řešitelů, v poli Vybrat řešitele, vyberte buď jednoho nebo více lidí, kteří rozhodnou o kontrolách přístupu. Lze vybrat následující možnosti:

    • Vlastníci skupiny: Tato možnost je dostupná jenom v případě, že provedete kontrolu týmu nebo skupiny.
    • Vybrané uživatele nebo skupiny
    • Uživatelé kontrolují svůj vlastní přístup
    • Správci uživatelů

    Když vyberete správce uživatelů nebo vlastníky skupiny, můžete také určit náhradního revidujícího. Náhradní recenzent je vyzván k provedení revize, pokud uživatel nemá v adresáři zadaného žádného správce nebo pokud skupina nemá vlastníka.

    Poznámka:

    V rámci kontroly přístupu k týmu nebo skupině se jako revidujícím považují pouze vlastníci skupiny (v okamžiku zahájení kontroly). Pokud se během kontroly aktualizuje seznam vlastníků skupin, noví vlastníci skupin nebudou považováni za kontrolory, zatímco stávající vlastníci skupin jimi zůstanou. V případě opakované kontroly se však všechny změny v seznamu vlastníků skupiny budou považovat za další instanci této kontroly.

    Důležité

    U kontrol přístupu PIM pro skupiny (Preview) je při výběru vlastníka skupiny jako revidujícího povinné přiřadit alespoň jednoho záložního revidujícího. Revize přiřadí jako revidujícím pouze aktivní vlastníky. Oprávnění vlastníci nejsou zahrnuti. Pokud po zahájení kontroly nejsou žádní aktivní vlastníci, budou revidujícím přiřazeni náhradní revidoři.

    Snímek obrazovky znázorňující kontrolu nového přístupu

  3. V části Zadat opakování revize zadejte následující výběry:

    • Doba trvání (ve dnech): Jak dlouho je recenze otevřena pro input od recenzentů.

    • Počáteční datum: Kdy začíná řada recenzí.

    • Koncové datum: Kdy skončí řada recenzí. Můžete určit, že nikdy nekončí . Nebo můžete vybrat Konec na konkrétní datum nebo Konec po počtu výskytů.

      Snímek obrazovky znázorňující výběr toho, jak často se má kontrola provést

  4. Vyberte Další: Nastavení.

Poznámka:

Při vytváření kontroly přístupu můžete zadat počáteční datum, ale počáteční čas se může v závislosti na zpracování systému lišit. Pokud například vytvoříte kontrolu přístupu v 03:00 UTC 9. 9., která je nastavena tak, aby běžela 12. 9., pak bude kontrola naplánována na spuštění v 03:00 UTC v den zahájení, ale může být zpožděna kvůli zpracování systému.

Můžete zadat počáteční datum, ale čas zahájení se může lišit několik hodin na základě zpracování systému.

Další: Nastavení

  1. V části Nastavení po dokončení můžete určit, co se stane po dokončení kontroly.

    Snímek obrazovky, který zobrazuje nastavení Po dokončení.

    • Automaticky použít výsledky pro prostředek: Toto políčko zaškrtněte, pokud chcete, aby se po skončení doby trvání kontroly automaticky odebral přístup odepřených uživatelů. Pokud je tato možnost zakázaná, musíte výsledky po dokončení kontroly použít ručně. Další informace o použití výsledků kontroly najdete v tématu Správa kontrol přístupu.

    • Pokud recenzenti neodpoví: Tuto možnost použijte k určení toho, co se stane s uživateli, kteří nejsou zrevidováni žádným recenzentem během období revize. Toto nastavení nemá vliv na uživatele, kteří byli zkontrolováni recenzentem. V rozevíracím seznamu jsou uvedené následující možnosti:

      • Beze změny: Přístup uživatele zůstane beze změny.
      • Odebrání přístupu: Odebere přístup uživatele.
      • Schválení přístupu: Schválí přístup uživatele.
      • Přijmout doporučení: Přijme doporučení systému, aby odepřel nebo schválil trvalý přístup uživatele.

      Varování

      Pokud je nastavení Při neodpovězení revidujících nastaveno na Odebrat přístup nebo Uplatnit doporučení a pokud je Automatické použití výsledků na prostředek povoleno, veškerý přístup k tomuto prostředku může být potenciálně zrušen, pokud revidující neodpoví.

    • Akce, která se má použít na odepřené hostující uživatele: Tato možnost je dostupná jen v případě, že je kontrola přístupu omezena pouze na hostující uživatele, aby určila, co se stane hostujícím uživatelům, pokud jim je přístup odepřen buď revidujícím, nebo nastavením Pokud revidující nereagují.

      • Odebrat členství uživatele z prostředku: Tato možnost odebere přístup zamítnutému uživateli typu host ke skupině nebo aplikaci, která je předmětem kontroly. Stále se můžou přihlásit k tenantovi a nepřijdou o žádný jiný přístup.
      • Blokovat přihlášení uživatele po dobu 30 dnů a pak odebrat uživatele z tenanta: Tato možnost blokuje odmítnutému uživateli typu host přihlášení k tenantovi, bez ohledu na to, zda má přístup k jiným prostředkům. Pokud se tato akce proběhla omylem, správci můžou přístup uživatele typu host obnovit do 30 dnů od zakázání uživatele typu host. Pokud se po 30 dnech pro zakázaného hostujícího uživatele neprovede žádná akce, odstraní se z nájemce.

    Další informace o osvědčených postupech pro odebrání uživatelů typu host, kteří už nemají přístup k prostředkům ve vaší organizaci, najdete v tématu Použití zásad správného řízení ID Microsoft Entra k kontrole a odebrání externích uživatelů, kteří už nemají přístup k prostředkům.

    Poznámka:

    Akce, která se má použít na odepřené uživatele typu host, nelze konfigurovat v revizích zaměřených na více než jen uživatele typu host. Není také možné konfigurovat recenze všech skupin Microsoftu 365 s uživateli typu host. Pokud není možné konfigurovat, použije se výchozí možnost odebrání členství uživatele z prostředku u odepřených uživatelů.

  2. Použijte možnost Na konci kontroly poslat oznámení jiným uživatelům nebo skupinám s informacemi o dokončení. Tato funkce umožňuje ostatním účastníkům, než je tvůrce revizí, aktualizovat průběh kontroly. Pokud chcete tuto funkci použít, zvolte Vybrat uživatele nebo skupiny a přidejte dalšího uživatele nebo skupinu, pro které chcete získat stav dokončení.

  3. V části Povolit pomocníky pro rozhodování o kontrole zvolte, jestli má kontrolor během procesu kontroly dostávat doporučení:

    1. Pokud vyberete Možnost Bez přihlášení do 30 dnů, jsou pro schválení doporučeni uživatelé, kteří se přihlásili během předchozích 30 dnů. Uživatelům, kteří se během posledních 30 dnů nepřihlásili, se doporučuje odepřít přístup. Tento 30denní interval je bez ohledu na to, jestli byly přihlášení interaktivní, nebo ne. Spolu s doporučením se zobrazí také datum posledního přihlášení zadaného uživatele.
    2. Pokud vyberete Přidružení uživatele ke skupině, kontroloři obdrží doporučení k tomu, zda schválit nebo zamítnout přístup uživatele na základě průměrné vzdálenosti uživatele v reportovací struktuře organizace. Uživatelé, kteří jsou od všech ostatních uživatelů ve skupině vzdáleni, se považují za "nízkou afilaci" a v kontrolách přístupu ke skupině obdrží doporučení na odepření.

    Poznámka:

    Pokud vytvoříte kontrolu přístupu na základě aplikací, vaše doporučení vycházejí z 30denního intervalu v závislosti na tom, kdy se uživatel naposledy přihlásil k aplikaci místo tenanta.

    Snímek obrazovky s možnostmi povolení pomocníků pro rozhodování recenzentů

  4. V části Upřesnit nastavení můžete zvolit následující:

    • Požadováno odůvodnění: Toto políčko zaškrtněte, pokud chcete, aby kontrolor musel zadat důvod schválení nebo odepření.

    • E-mailová oznámení: Toto políčko zaškrtněte, pokud chcete, aby ID Microsoft Entra po zahájení kontroly přístupu a správcům po dokončení kontroly odesílala e-mailová oznámení revidujícím.

    • Připomenutí: Zaškrtněte toto políčko, pokud chcete, aby ID Microsoft Entra odeslalo připomenutí probíhajících kontrol přístupu všem kontrolorům. Revidujícím se zobrazí připomenutí v polovině recenze bez ohledu na to, jestli dokončili svoji recenzi nebo ne.

    • Další obsah e-mailu pro recenzenty: Obsah e-mailu zasílaného recenzentům je automaticky vygenerován na základě podrobností recenze, jako je název recenze, název zdroje a datum splnění. Pokud potřebujete sdělit další informace, můžete do pole zadat podrobnosti, jako jsou pokyny nebo kontaktní údaje. Informace, které zadáte, jsou součástí pozvánky a e-maily s připomenutím se odesílají přiřazeným recenzentům. Část zvýrazněná na následujícím obrázku ukazuje, kde se tyto informace zobrazují.

      Snímek obrazovky ukazující další obsah pro recenzenty.

  5. Vyberte Další: Zkontrolovat + vytvořit.

    Snímek obrazovky znázorňující kartu Revize a vytvoření

Další: Zkontrolovat a vytvořit

  1. Pojmenujte kontrolu přístupu. Volitelně zadejte popis recenze. Jméno a popis se zobrazí revidujícím.

  2. Zkontrolujte informace a vyberte Vytvořit.

Vytvoření vícestupňové revize přístupu

Vícefázová kontrola umožňuje správci definovat dvě nebo tři sady revidujících, aby jeden po druhém dokončil kontrolu. V rámci jednofázové kontroly učiní všichni revizoři rozhodnutí ve stejném období a rozhodnutí posledního kontrolora se použije. V rámci vícefázové kontroly se každý ze dvou nebo tří nezávislých skupin kontrolorů rozhodne ve své vlastní fázi. Fáze jsou sekvenční a další fáze se nestane, dokud se v předchozí fázi nezaznamená rozhodnutí. Vícefázové kontroly lze použít ke snížení zátěže pro pozdější revidující, umožnění eskalace revidujících nebo k tomu, aby nezávislé skupiny revidujících souhlasily s rozhodnutími.

Poznámka:

Data uživatelů zahrnutých v kontrolách vícefázového přístupu jsou součástí záznamu auditu na začátku kontroly. Správci mohou data kdykoli odstranit odstraněním vícefázové řady kontroly přístupu. Obecné informace o GDPR a ochraně uživatelských dat najdete v části GDPR v Centru zabezpečení Microsoftu a v části GDPR portálu Service Trust Portal.

  1. Po výběru zdroje a rozsahu vaší kontroly přejděte na záložku Recenze.

  2. Zaškrtněte políčko vedle vícefázové kontroly.

  3. V části První fáze kontroly vyberte revidující v rozevírací nabídce vedle Vybrat revidující.

  4. Pokud vyberete vlastníky skupiny nebo správce uživatelů, máte možnost přidat náhradního revidujícího. Pokud chcete přidat záložní recenzenty, vyberte Vybrat záložní recenzenty a přidejte uživatele, které chcete mít jako záložní recenzenty.

    Snímek obrazovky s povolenou vícefázovou kontrolou a nastavením vícefázové kontroly

  5. Přidejte dobu trvání první fáze. Pokud chcete přidat dobu trvání, zadejte číslo do pole vedle doby trvání fáze (ve dnech). Jedná se o počet dní, po který chcete, aby se první fáze otevřela kontrolorům první fáze, aby se mohli rozhodovat.

  6. V části Kontrola druhé fáze vyberte revidující v rozevírací nabídce vedle Vybrat revidující. Tito recenzenti budou požádáni o kontrolu po ukončení první fáze recenzního procesu.

  7. V případě potřeby přidejte náhradní recenzenty.

  8. Přidejte dobu trvání druhé fáze.

  9. Ve výchozím nastavení se při vytváření vícefázové kontroly zobrazí dvě fáze. Můžete ale přidat až tři fáze. Pokud chcete přidat třetí fázi, vyberte + Přidat fázi a vyplňte požadovaná pole.

  10. Můžete se rozhodnout, že umožníte revidujícím 2. a třetí fázi zobrazit rozhodnutí provedená v předchozích fázích. Pokud jim chcete povolit vidět rozhodnutí učiněná v předchozích fázích, zaškrtněte políčko vedle Zobrazit rozhodnutí z předchozích fází pro revidující v pozdějších fázích v části Zobrazit výsledky kontroly. Pokud chcete, aby kontroloři mohli toto nastavení nezávisle kontrolovat, nechte toto políčko nezaškrtnuté.

    Snímek obrazovky znázorňující dobu trvání a zobrazení nastavení předchozích fází povolených pro vícefázovou kontrolu

  11. Doba trvání každé opakování je nastavená na součet dnů trvání, které jste zadali v každé fázi.

  12. Zadejte frekvenci revize, počáteční datum a koncové datum. Typ opakování musí být alespoň tak dlouhý jako celková doba trvání opakování (tedy maximální doba trvání týdenní revize je 7 dní).

  13. Pokud chcete určit, kteří hodnocení budou pokračovat z fáze do fáze, vyberte jednu nebo více z následujících možností vedle Specifikovat hodnocené, kteří přejdou do další fáze : Snímek obrazovky ukazující nastavení pro specifikaci hodnocených a možnosti pro vícefázové hodnocení

    1. Schválení posuzovaní – pouze posuzovaní, kteří byli schváleni, přejdou do další fáze/fází.
    2. Odepření revizí – Pouze kontroly, které byly odepřeny, se přesunou na další fáze.
    3. Nekontrolovaní hodnocení – Pouze hodnocení, která nebyla zkontrolována, postoupí do další fáze (fází).
    4. Osoby označené jako "Nevím" – Jenom osoby označené jako "Nevím" přecházejí do další fáze.
    5. Vše: všichni se přesunou do další fáze, pokud chcete, aby ve všech fázích rozhodovali jednotliví recenzenti.
  14. Pokračujte na záložku Nastavení, dokončete zbývající nastavení a vytvořte recenzi. Postupujte podle pokynů v části Další: Nastavení.

Zahrnout uživatele B2B Direct Connect a týmy, které přistupují ke sdíleným kanálům v Teams, do kontrol přístupu.

Můžete vytvořit kontroly přístupů pro uživatele B2B připojené přímo prostřednictvím sdílených kanálů v Microsoft Teams. Při externí spolupráci můžete pomocí kontrol přístupu Microsoft Entra zajistit, aby externí přístup ke sdíleným kanálům zůstal aktuální. Externí uživatelé ve sdílených kanálech se nazývají uživatelé s přímým připojením B2B. Chcete-li se dozvědět více o sdílených kanálech a uživatelích B2B přímého připojení, přečtěte si článek B2B přímé připojení.

Když vytvoříte kontrolu přístupu u týmu se sdílenými kanály, vaši recenzenti mohou přezkoumat další potřebu přístupu těchto externích uživatelů a týmů ve sdílených kanálech. Ve stejné kontrole můžete zkontrolovat přístup uživatelů připojení B2B a dalších podporovaných uživatelů spolupráce B2B a uživatelů, kteří nejsou interními uživateli B2B.

Poznámka:

V současné době jsou uživatelé a týmy přímého propojení B2B zahrnuti pouze do jednofázových kontrol. Pokud jsou povoleny vícefázové kontroly, uživatelé B2B s přímým připojením a týmy se do kontroly přístupu nezahrnou.

Uživatelé a týmy s přímým připojením B2B jsou zahrnuti do kontrol přístupu skupiny Microsoft 365 s povolenými Teams, do kterých patří sdílené kanály. Chcete-li vytvořit kontrolu, musíte mít alespoň roli správce uživatelů nebo správce zásad správného řízení identit.

Pomocí následujících pokynů vytvořte kontrolu přístupu u týmu se sdílenými kanály:

  1. Přihlaste se do Centra pro administraci Microsoft Entra jako alespoň správce pro řízení identity.

  2. Přejděte na Správa identit>Recenze přístupů.

  3. Vyberte + nová kontrola přístupu.

  4. Vyberte Teams + Skupiny a poté vyberte Týmy + skupiny a nastavte rozsah kontroly. B2B uživatelé a týmy s přímým připojením nejsou zahrnuti do hodnocení všech skupin Microsoft 365 s uživateli typu host.

  5. Vyberte tým, který sdílí kanály sdílené s 1 nebo více uživateli nebo týmy B2B s přímým připojením.

  6. Nastavte rozsah.

    Snímek obrazovky znázorňující nastavení rozsahu kontroly pro kontrolu sdílených kanálů

    • Zvolte Všechny uživatele abychom zahrnuli:
      • Všichni interní uživatelé
      • Uživatelé spolupráce B2B, kteří jsou členy týmu
      • Uživatelé přímého připojení B2B
      • Týmy, které přistupují ke sdíleným kanálům
    • Nebo zvolte možnost Pouze uživatelé hosté, abyste zahrnuli pouze uživatele s přímým připojením B2B a uživatele spolupráce Teams a B2B.
  7. Pokračujte na kartu Recenze. Výběrem revidujícího dokončete recenzi, pak zadejte Doba trvání a Opakování recenze.

    Poznámka:

    • Pokud nastavíte Vybrat revidující na Uživatelé kontrolují svůj vlastní přístup nebo Správci uživatelů, uživatelé B2B přímého připojení a Teams nebudou moci kontrolovat svůj vlastní přístup ve vašem tenantovi. Vlastník týmu, který je předmětem kontroly, obdrží e-mail, který ho požádá o revizi uživatele B2B s přímým připojením a týmů na platformě Teams.
    • Pokud vyberete Správce uživatelů, vybraný náhradní recenzent zkontroluje všechny uživatele bez vedoucího v domovském tenantovi. To zahrnuje přímé připojení uživatelů B2B a Teams bez manažera.
  8. Přejděte na kartu Nastavení a nakonfigurujte další nastavení. Pak přejděte na kartu Přezkoumání a Vytvoření a spusťte kontrolu přístupu. Podrobnější informace o vytvoření kontroly a nastavení konfigurace najdete v části Vytvoření jednostupňové kontroly přístupu.

Povolit vlastníkům skupin vytvářet a spravovat kontroly přístupu jejich skupin

  1. Přihlaste se do Centra pro správu Microsoft Entra alespoň jako administrátor správy identit.

  2. Přejděte na Správa identit>Kontroly přístupu>Nastavení.

  3. Na stránce Delegát, který může vytvářet a spravovat kontroly přístupu, nastavte vlastníky skupiny, kteří můžou vytvářet a spravovat kontroly přístupu pro skupiny, které vlastní, na ano.

    Snímek obrazovky ukazuje povolení vlastníků skupin k revizi.

    Poznámka:

    Ve výchozím nastavení je nastavení nastaveno na Ne. Pokud chcete vlastníkům skupin povolit vytváření a správu kontrol přístupu, změňte nastavení na Ano.

Programatické vytvoření kontroly přístupu

Kontrolu přístupu můžete vytvořit také pomocí Microsoft Graphu nebo PowerShellu.

Pokud chcete vytvořit kontrolu přístupu pomocí Graphu, zavolejte rozhraní Graph API a vytvořte definici plánu kontroly přístupu. Volající musí být buď uživatelem v příslušné roli s aplikací, která má delegované AccessReview.ReadWrite.All oprávnění, nebo aplikací s oprávněním AccessReview.ReadWrite.All aplikace. Další informace najdete v tématu Přehled rozhraní API pro kontroly přístupu a kurzů, jak zkontrolovat členy skupiny zabezpečení nebo zkontrolovat hosty ve skupinách Microsoftu 365.

Kontrolu přístupu můžete vytvořit také v PowerShellu, a to pomocí rutiny New-MgIdentityGovernanceAccessReviewDefinition z modulu Microsoft Graph PowerShell cmdlets pro Řízení identit. Další informace najdete v příkladech.

Když začne kontrola přístupu

Po zadání nastavení kontroly přístupu a jejím vytvoření se kontrola přístupu zobrazí v seznamu s indikátorem jejího stavu.

Snímek obrazovky se seznamem kontrol přístupu a jejich stavem

Ve výchozím nastavení Microsoft Entra ID odešle revidujícím e-mail krátce po jednorázové kontrole nebo opakování opakované kontroly. Pokud se rozhodnete, že microsoft Entra ID neodesílá e-mail, nezapomeňte informovat revidujícím, že kontrola přístupu čeká na dokončení. Můžete jim ukázat pokyny, jak zkontrolovat přístup ke skupinám nebo aplikacím. Pokud je vaše kontrola určena hostům, aby si zkontrolovali svůj vlastní přístup, ukažte jim pokyny, jak kontrolovat přístup pro sebe ke skupinám nebo aplikacím.

Pokud jste hostům přiřadili roli revidujících a oni nepřijali pozvání k nájemci, nebudou dostávat e-maily z přehledu přístupu. Před zahájením kontroly musí pozvánku nejprve přijmout.

Aktualizace kontroly přístupu

Po spuštění jedné nebo více kontrol přístupu můžete chtít upravit nebo aktualizovat nastavení existujících kontrol přístupu. Tady je několik běžných scénářů, které je potřeba vzít v úvahu:

  • Aktualizujte nastavení nebo recenzenty: Pokud je revize přístupu opakovaná, jsou v části Aktuální a v části Série samostatná nastavení. Aktualizace nastavení nebo revidujících v části Aktuální aplikuje změny pouze na současnou revizi přístupu. Aktualizace nastavení v části Řada aktualizuje nastavení pro všechna budoucí opakování.

    Snímek obrazovky znázorňující aktualizaci nastavení kontroly přístupu

  • Přidání a odebrání recenzentů: Když aktualizujete kontroly přístupu, můžete kromě hlavního recenzenta přidat i náhradního recenzenta. Při aktualizaci kontroly přístupu můžou být primární revidoři odebráni. Náhradní revidující nejsou úmyslně odstranitelní.

    Poznámka:

    Náhradní revidující lze přidat pouze tehdy, pokud je typ revidujícího manažerem nebo vlastníkem skupiny. Primární hodnotitelé mohou být přidáni, když je typ hodnotitele vybraným uživatelem.

  • Připomeňte revidujícím: Při aktualizaci kontrol přístupu se můžete rozhodnout povolit možnost Připomenutí v části Upřesnit nastavení. Uživatelé pak dostanou e-mailové oznámení v polovině období kontroly bez ohledu na to, jestli kontrolu dokončili nebo ne.

    Snímek obrazovky, který připomíná recenzenty.

Poznámka:

Po zahájení kontroly přístupu můžete pomocí volání API contactedReviewers zobrazit seznam všech recenzentů, kteří byli upozorněni, nebo kteří by byli, kdyby upozornění byla vypnutá, přes e-mail pro kontrolu přístupu. K dispozici jsou také časová razítka, kdy byli tito uživatelé upozorněni.

Další kroky