Megosztás a következőn keresztül:

Csoportok és alkalmazások hozzáférési felülvizsgálatának befejezése a hozzáférési felülvizsgálatokban

  • Cikk

Rendszergazdaként létrehoz egy hozzáférési felülvizsgálatot a csoportokról vagy alkalmazásokról, és a véleményezők elvégzik a hozzáférési felülvizsgálatot. Ez a cikk bemutatja, hogyan tekintheti meg és alkalmazhatja a hozzáférési felülvizsgálat eredményeit.

Feljegyzés

Ez a cikk a személyes adatok eszközről vagy szolgáltatásból való törlésének lépéseit ismerteti, és a GDPR szerinti kötelezettségek támogatására használható. A GDPR-rel kapcsolatos általános információkért tekintse meg a Microsoft Adatvédelmi központ GDPR szakaszát és a Szolgáltatás megbízhatósági portáljának GDPR szakaszát.

Előfeltételek

  • Microsoft Entra ID P2 vagy Microsoft Entra ID-kezelés
  • Legalább a felhasználói rendszergazda vagy az identitásirányítási rendszergazda szerepköre a csoportok és alkalmazások véleményezéseinek hozzáférésének kezeléséhez. Azok a felhasználók, akik legalább kiemelt szerepkör-rendszergazdai szerepkörökhöz tartoznak, kezelhetik a szerepkör-hozzárendelhető csoportok felülvizsgálatát, lásd: Szerepkör-hozzárendelések kezelése a Microsoft Entra-csoportokkal
  • A biztonsági olvasók olvasási hozzáféréssel rendelkeznek.

További információ: Licenckövetelmények.

Hozzáférési felülvizsgálat állapotának megtekintése

Végezze el az alábbi lépéseket a hozzáférési felülvizsgálatok előrehaladásának nyomon követéséhez.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.

  2. Navigáljon a identitásszabályozási>hozzáférési felülvizsgálatokhoz.

  3. A listában válasszon egy hozzáférési felülvizsgálatot.

    Az Áttekintés lapon láthatja a felülvizsgálat aktuális példányának állapotát. Ha jelenleg nincs megnyitva aktív példány, az előző példány adatai láthatók. A címtárban a hozzáférési jogosultságok nem változnak a felülvizsgálat befejezéséig.

    Az Összes vállalatcsoport áttekintése

    Az Aktuális alatti összes penge csak az egyes felülvizsgálati példányok időtartama alatt tekinthető meg.

    Feljegyzés

    Bár a jelenlegi hozzáférés-felülvizsgálat csak az aktív felülvizsgálati példányra vonatkozó információkat jeleníti meg, a SorozatÜtemezett felülvizsgálat szakaszában információt kaphat a még nem lezajlott felülvizsgálatokról.

    Az Eredmények oldal további információkat nyújt a példányban felülvizsgálat alatt álló felhasználókról, beleértve az eredmények leállításának, alaphelyzetbe állításának és letöltésének lehetőségét.

    Vendéghozzáférés áttekintése Microsoft 365-csoportokban

    Ha olyan hozzáférési felülvizsgálatot tekint meg, amely a Microsoft 365-csoportok vendéghozzáféréseit ellenőrzi, az Áttekintés panel felsorolja a felülvizsgálatban szereplő csoportokat.

    vendéghozzáférés áttekintése Microsoft 365-csoportokban

    A csoportra kattintva megtekintheti a csoport véleményezésének előrehaladását, valamint a Leállítás, Alaphelyzetbe állítás, Alkalmazás és Törlés parancsot is.

    a vendéghozzáférés részletes áttekintése a Microsoft 365-csoportokban

  4. Ha le szeretne állítani egy hozzáférési felülvizsgálatot, mielőtt az elérené az ütemezett befejezési dátumot, válassza a Leállítás gombot.

    Ha leállítja a felülvizsgálatot, a véleményezők már nem fognak tudni válaszokat adni. A felülvizsgálat leállítása után nem indítható újra.

  5. Ha már nem érdekli a hozzáférési felülvizsgálat, a Törlés gombra kattintva törölheti.

Többszakaszos felülvizsgálat állapotának megtekintése (előzetes verzió)

Többszakaszos hozzáférési felülvizsgálat állapotának és szakaszának megtekintéséhez:

  1. Válassza ki azt a többszakaszos felülvizsgálatot, amelyben ellenőrizni szeretné annak állapotát, vagy hogy milyen fázisban van.

  2. Válassza az Eredmények lehetőséget a bal oldali navigációs menü Aktuális menüjében.

  3. Amikor az eredmények oldalán tartózkodsz, az Állapot alatt megmutatja, hogy a többszakaszos felülvizsgálat melyik szakaszában van. A felülvizsgálat következő szakasza csak akkor válik aktívvá, ha a hozzáférési felülvizsgálat beállítása során megadott időtartam el nem telik.

  4. Ha döntés születik, de a szakasz véleményezési időtartama még nem járt le, a Találatok lapon az Aktuális szakasz leállítása gombot választhatja. Ez elindítja a felülvizsgálat következő szakaszát.

Az eredmény lekérése

A véleményezés eredményeinek megtekintéséhez válassza az Eredmények lapot. Egy felhasználó hozzáférésének megtekintéséhez a Keresőmezőbe írja be annak a felhasználónak a megjelenített nevét vagy egyszerű felhasználónevét, akinek a hozzáférését felülvizsgálták.

Hozzáférési felülvizsgálat eredményeinek lekérése

Ha meg szeretné tekinteni egy ismétlődő hozzáférési felülvizsgálat befejezett példányának eredményeit, válassza az Előzmények áttekintése lehetőséget, majd a példány kezdő és záró dátuma alapján válassza ki az adott példányt a befejezett hozzáférés-felülvizsgálati példányok listájából. A példány eredményei az Eredmények oldalról kérhetők le. Az ismétlődő hozzáférési felülvizsgálatok lehetővé teszik, hogy állandó képet adjon az erőforrásokhoz való hozzáférésről, amelyeket esetleg gyakrabban kell frissíteni, mint az egyszeri hozzáférési felülvizsgálatok.

A folyamatban lévő vagy befejezett hozzáférési felülvizsgálat eredményeinek lekéréséhez válassza a Letöltés gombot. Az eredményül kapott CSV-fájl megtekinthető az Excelben vagy más programban, amely meg tudja nyitni az UTF-8 kódolású CSV-fájlokat.

Az eredmények programozott lekérése

A hozzáférési felülvizsgálat eredményeit a Microsoft Graph vagy a PowerShell használatával is lekérheti.

Először meg kell találnia a hozzáférési felülvizsgálat példányát. Ha az accessReviewScheduleDefinition ismétlődő hozzáférési felülvizsgálat, a példányai az egyes ismétlődéseket jelölik. Egy nem ismétlődő felülvizsgálatnak pontosan egy példánya van. A példányok továbbá az ütemezés definíciójában áttekintett egyedi csoportokat képviselik. Ha egy ütemezési beállítás több csoportot vizsgál, akkor minden csoportnak egyedi példánya van minden ismétlődéshez. Minden példány tartalmaz egy listát azokról a döntésekről, amelyeken a véleményezők cselekedhetnek, és minden egyes identitás esetében egy döntést vizsgálnak felül.

Miután azonosította a példányt, hogy lekérje a döntéseket a Graph használatával, hívja meg a Graph API-t egy példány döntéseinek listázásához. Ha az eset többszakaszos hozzáférési felülvizsgálat, használja a Graph API-t, hogy megjelenítse a döntéseket a többszakaszos hozzáférési felülvizsgálat keretében. A hívónak vagy olyan felhasználónak kell lennie, aki megfelelő szerepkörrel rendelkezik egy alkalmazással, amelynek delegált AccessReview.Read.All vagy AccessReview.ReadWrite.All engedélye van, vagy egy olyan alkalmazásnak, amely AccessReview.Read.All vagy AccessReview.ReadWrite.All alkalmazás engedéllyel rendelkezik. További információkért tekintse át a biztonsági csoportokat ismertető oktatóanyagot.

A PowerShellben hozott döntéseket a Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision Microsoft Graph PowerShell identitásszabályozási parancsmagjai modulból is lekérheti. Az API alapértelmezett oldalmérete 100 döntési elem.

A módosítások alkalmazása

Ha az automatikus alkalmazás az erőforrásra be volt kapcsolva az befejezési beállítások alapján, akkor az automatikus alkalmazás végrehajtásra kerül, amint a felülvizsgálati példány befejeződik, vagy korábban, ha manuálisan leállítja a felülvizsgálatot.

Ha a Eredmények automatikus alkalmazása az erőforrásra nem volt engedélyezve a felülvizsgálat során, keresse meg a Véleményezés előzményei alatt a Sorozatok alatt, miután a felülvizsgálati időtartam véget ért, vagy a felülvizsgálatot korán leállították, és válassza ki azt a felülvizsgálati példányt, amelyet alkalmazni szeretne.

Hozzáférési felülvizsgálat módosításainak alkalmazása

Válassza az Alkalmaz lehetőséget a módosítások manuális alkalmazásához. Ha egy felhasználó hozzáférése megtagadva lett a felülvizsgálatban, az Alkalmaz lehetőség kiválasztásakor a Microsoft Entra-azonosító eltávolítja a tagságot vagy az alkalmazás-hozzárendelést.

Hozzáférés-felülvizsgálat módosításainak alkalmazása gomb

A felülvizsgálat állapota a Befejezve állapottól a köztes állapotokon keresztül változik, például Alkalmazás alatt és végül az Eredmény alkalmazva állapotra. Várhatóan néhány percen belül el lesznek távolítva a csoporttagságból vagy az alkalmazás-hozzárendelésből a megtagadott felhasználók, ha vannak ilyenek.

Az eredmények manuális vagy automatikus alkalmazása nem befolyásolja a helyszíni címtárból származó csoportokat. Ha módosítani szeretne egy, a helyszínről származó csoportot, töltse le az eredményeket, és alkalmazza ezeket a módosításokat a csoportnak a címtárban való megjelenítésére.

Feljegyzés

Egyes megtagadott felhasználók nem tudják alkalmazni rájuk az eredményeket. Ilyen forgatókönyvek például a következők:

  • Szinkronizált helyszíni Windows Server AD-csoport tagjainak áttekintése: Ha a csoport szinkronizálva van a helyszíni Windows Server AD-ből, a csoport nem kezelhető a Microsoft Entra-azonosítóban, ezért a tagság nem módosítható.
  • Egy beágyazott csoportokkal rendelkező erőforrás (szerepkör, csoport, alkalmazás) áttekintése: A beágyazott csoporton keresztül tagsággal rendelkező felhasználók számára nem távolítjuk el a tagságukat a beágyazott csoporthoz, ezért továbbra is hozzáférnek a vizsgált erőforráshoz.
  • A felhasználó nem található /egyéb hibák azt is eredményezhetik, hogy az alkalmazás eredménye nem támogatott.
  • A levelezési csoport tagjainak áttekintése: A csoport nem kezelhető a Microsoft Entra-azonosítóban, így a tagság nem módosítható.
  • A csoporthozzárendelést használó alkalmazások áttekintése nem távolítja el a csoportok tagjait, így megtartják az alkalmazás-hozzárendelés csoportkapcsolatából a meglévő hozzáférést.

A hozzáférés-felülvizsgálat során a megtagadott vendégfelhasználókon végrehajtott műveletek

A felülvizsgálat létrehozásakor a létrehozó két lehetőség közül választhat a megtagadott vendégfelhasználók számára a hozzáférési felülvizsgálatban.

  • A megtagadott vendégfelhasználóknak megszüntethetik a hozzáférésüket az erőforráshoz. Ez az alapértelmezett beállítás.
  • A megtagadott vendégfelhasználó 30 napig letiltható, majd törölhető a bérlőből. A 30 napos időszak alatt a vendégfelhasználó visszaállíthatja a bérlőhöz való hozzáférést egy rendszergazda által. A 30 napos időszak leteltével, ha a vendégfelhasználó nem fért hozzá ismét a számára biztosított erőforráshoz, a rendszer véglegesen eltávolítja őket a bérlőből. Emellett a Microsoft Entra felügyeleti központ használatával a globális rendszergazda explicit módon véglegesen törölhet egy nemrég törölt felhasználót az adott időszak elérése előtt. A felhasználó végleges törlése után a vendégfelhasználó adatai el lesznek távolítva az aktív hozzáférés-felülvizsgálatokból. A törölt felhasználókkal kapcsolatos naplózási információk az auditnaplóban maradnak.

A megtagadott B2B közvetlen kapcsolódási felhasználókon végrehajtott műveletek

A megtagadott B2B közvetlen kapcsolódási felhasználók és csapatok elveszítik a hozzáférést a csoport összes megosztott csatornája számára.

Következő lépések