Bagikan melalui

Menyelesaikan tinjauan akses terhadap grup dan aplikasi dalam tinjauan akses

  • Artikel

Sebagai admin, Anda membuat tinjauan akses grup atau aplikasi dan peninjau melakukan tinjauan akses. Artikel ini menjelaskan cara melihat hasil tinjauan akses dan menerapkannya.

Catatan

Artikel ini memberikan langkah-langkah tentang cara menghapus data privat dari perangkat atau layanan dan dapat digunakan untuk mendukung kewajiban Anda berdasarkan GDPR. Untuk informasi umum tentang GDPR, lihat bagian GDPR di Pusat Kepercayaan Microsoft dan bagian GDPR di portal Kepercayaan Layanan.

Prasyarat

  • Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra
  • Setidaknya peran Administrator Pengguna atau Administrator Tata Kelola Identitas untuk mengelola akses ulasan pada grup dan aplikasi. Pengguna yang minimal memiliki peran Administrator Peran Istimewa dapat mengelola tinjauan kelompok yang perannya dapat ditetapkan, lihat: Gunakan grup Microsoft Entra untuk mengelola penetapan peran
  • Pembaca keamanan diberikan akses untuk membaca.

Untuk informasi selengkapnya, lihat: Persyaratan lisensi.

Lihat status tinjauan akses

Lakukan langkah-langkah berikut untuk melacak kemajuan tinjauan akses saat selesai.

  1. Masuk ke Pusat Admin Microsoft Entra sebagai Administrator Tata Kelola Identitas minimal.

  2. Telusuri ke Tata kelola identitas>Tinjauan Akses

  3. Dalam daftar, pilih tinjauan akses.

    Pada halaman Ikhtisar, Anda dapat melihat kemajuan sesi tinjauan Saat ini. Jika tidak ada instans aktif yang terbuka pada saat itu, Anda akan melihat informasi pada instans sebelumnya. Tidak ada hak akses yang diubah dalam direktori sebelum tinjauan selesai.

    Tinjauan semua grup perusahaan

    Semua elemen di bagian Saat ini hanya dapat diakses selama durasi setiap sesi tinjauan.

    Catatan

    Meskipun tinjauan akses Saat ini hanya menampilkan informasi tentang ulasan yang sedang berjalan, Anda bisa mendapatkan informasi tentang tinjauan yang akan datang di Serial di bawah bagian Tinjauan terjadwal.

    Halaman Hasil memberikan lebih banyak informasi tentang setiap pengguna yang sedang ditinjau dalam instans, termasuk kemampuan untuk Menghentikan, Mengatur Ulang, dan Mengunduh hasil.

    Tinjau akses tamu di seluruh grup Microsoft 365

    Jika Anda melihat tinjauan akses yang meninjau akses tamu di seluruh grup Microsoft 365, panel Gambaran Umum mencantumkan setiap grup dalam tinjauan.

    Tinjau akses tamu di seluruh grup Microsoft 365

    Pilih grup untuk melihat kemajuan tinjauan pada grup tersebut, juga untuk Menghentikan, Mereset, Menerapkan, dan Menghapus.

    tinjau akses tamu di seluruh grup Microsoft 365 secara mendetail

  4. Jika Anda ingin menghentikan tinjauan akses sebelum mencapai tanggal akhir terjadwal, pilih tombol Hentikan .

    Ketika Anda menghentikan peninjauan, peninjau tidak akan dapat memberikan tanggapan lagi. Anda tidak dapat memulai ulang tinjauan setelah dihentikan.

  5. Jika Anda tidak lagi tertarik dengan tinjauan akses, Anda dapat menghapusnya dengan mengklik tombol Hapus.

Lihat status peninjauan multitahap (pratinjau)

Untuk melihat status dan tahap tinjauan akses multitahap:

  1. Pilih tinjauan multitahap yang ingin Anda periksa statusnya atau lihat apa tahapnya.

  2. Pilih Hasil di menu navigasi kiri di bawah Saat ini.

  3. Setelah Anda berada di halaman hasil, di bawah Status, Anda dapat mengetahui tahap tinjauan multi-tahap. Tahap tinjauan berikutnya tidak akan aktif sampai durasi yang ditentukan dalam penyiapan tinjauan akses berlalu.

  4. Jika keputusan dibuat, tetapi durasi tinjauan untuk tahap ini belum kedaluwarsa, Anda dapat memilih tombol Hentikan tahap saat ini di halaman hasil. Ini akan memicu tahap peninjauan berikutnya.

Mengambil hasil

Untuk melihat hasil tinjauan, pilih halaman Hasil . Untuk melihat akses pengguna saja, dalam kotak Pencarian, ketik nama tampilan atau nama prinsipal pengguna yang aksesnya ditinjau.

Memperoleh hasil untuk tinjauan akses

Untuk melihat hasil instans lengkap dari tinjauan akses yang berulang, pilih Tinjau riwayat, lalu pilih instans tertentu dari daftar instans tinjauan akses yang telah selesai, berdasarkan tanggal mulai dan berakhir instans. Hasil instans ini dapat diperoleh dari halaman Hasil. Tinjauan akses berulang memungkinkan Anda memiliki gambaran konstan tentang akses ke sumber daya yang mungkin perlu diperbarui lebih sering daripada tinjauan akses satu kali.

Untuk mengambil hasil tinjauan akses, baik yang sedang berlangsung maupun selesai, pilih tombol Unduh . File CSV yang dihasilkan bisa ditampilkan di Excel atau di program lain yang membuka file CSV UTF-8 yang dikodekan.

Mengambil hasil secara terprogram

Anda juga dapat mengambil hasil tinjauan akses menggunakan Microsoft Graph atau PowerShell.

Pertama-tama Anda harus menemukan instans dari tinjauan akses. Apabila accessReviewScheduleDefinition adalah tinjauan akses berulang, setiap pengulangan diwakili oleh suatu kejadian. Ulasan yang tidak berulang memiliki tepat satu kejadian. Instans juga mewakili setiap grup unik yang sedang ditinjau dalam definisi jadwal. Jika definisi jadwal mengevaluasi beberapa grup, setiap grup memiliki instans unik untuk setiap pengulangan. Setiap instance berisi daftar keputusan yang dapat diambil oleh peninjau, dengan satu keputusan per identitas yang sedang ditinjau.

Setelah Anda mengidentifikasi instans, untuk mengambil keputusan menggunakan Graph, panggil Graph API untuk mencantumkan keputusan dari instans. Jika instans adalah tinjauan multi-tahap, panggil Graph API untuk mencantumkan keputusan dari tinjauan akses multi-tahap. Pemanggil harus menjadi pengguna dalam peran yang sesuai dengan aplikasi yang memiliki izin AccessReview.Read.All atau AccessReview.ReadWrite.All yang didelegasikan, atau aplikasi dengan izin AccessReview.Read.All atau AccessReview.ReadWrite.All. Untuk informasi selengkapnya, lihat tutorial tentang cara meninjau grup keamanan.

Anda juga dapat mengambil keputusan di PowerShell dengan Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision cmdlet dari cmdlet Microsoft Graph PowerShell untuk Tata Kelola Identitas. Ukuran halaman default API ini adalah 100 item keputusan.

Terapkan perubahan

Jika Terapkan hasil secara otomatis ke sumber daya diaktifkan berdasarkan pilihan Anda di Pengaturan setelah selesai, terapkan otomatis setelah instans tinjauan selesai, atau sebelumnya jika Anda menghentikan tinjauan secara manual.

Jika Terapkan hasil secara otomatis ke sumber daya tidak diaktifkan untuk tinjauan, Anda harus membuka Riwayat Tinjauan di bawah Seri Tinjauan setelah durasi peninjauan berakhir, atau jika tinjauan dihentikan lebih awal, dan pilih instans tinjauan yang ingin Anda terapkan.

Menerapkan perubahan tinjauan akses

Pilih Terapkan untuk menerapkan perubahan secara manual. Jika akses pengguna ditolak dalam tinjauan, saat Anda memilih Terapkan, ID Microsoft Entra akan menghapus keanggotaan atau penetapan aplikasi mereka.

Tombol Terapkan perubahan tinjauan akses

Status tinjauan berubah dari Selesai melalui status menengah seperti Menerapkan dan akhirnya ke status Hasil diterapkan. Anda akan berharap untuk melihat pengguna yang ditolak, jika ada, dihapus dari keanggotaan grup atau penugasan aplikasi dalam beberapa menit.

Menerapkan hasil secara manual atau otomatis tidak berpengaruh pada grup yang berasal dari direktori lokal. Jika Anda ingin mengubah grup yang berasal dari lokal, unduh hasilnya dan terapkan perubahan tersebut pada representasi grup di direktori tersebut.

Catatan

Beberapa pengguna yang ditolak aksesnya tidak dapat diterapkan hasilnya kepada mereka. Skenario di mana hal ini dapat terjadi meliputi:

  • Meninjau anggota grup Windows Server AD lokal yang disinkronkan: Jika grup disinkronkan dari Windows Server AD lokal, grup tidak dapat dikelola di ID Microsoft Entra dan oleh karena itu keanggotaan tidak dapat diubah.
  • Meninjau sumber daya (peran, grup, aplikasi) dengan grup bertumpuk yang ditetapkan: Untuk pengguna yang memiliki keanggotaan melalui grup bertumpuk, kami tidak akan menghapus keanggotaan mereka ke grup bertumpuk dan oleh karena itu mereka akan mempertahankan akses ke sumber daya yang sedang ditinjau.
  • Pengguna tidak ditemukan/kesalahan lain juga dapat mengakibatkan hasil penerapan tidak didukung.
  • Meninjau anggota grup yang diaktifkan email: Grup tidak dapat dikelola di ID Microsoft Entra, sehingga keanggotaan tidak dapat diubah.
  • Meninjau Aplikasi yang menggunakan penetapan grup tidak akan menghapus anggota grup tersebut, sehingga mereka akan mempertahankan akses yang ada dari hubungan grup untuk penetapan aplikasi

Tindakan yang diambil pada pengguna tamu yang ditolak dalam tinjauan akses

Pada pembuatan ulasan, kreator dapat memilih di antara dua opsi untuk pengguna tamu yang ditolak dalam tinjauan akses.

  • Pengguna tamu yang aksesnya ditolak dapat dicabut aksesnya ke sumber daya. Pengaturan ini adalah bawaan.
  • Pengguna tamu yang ditolak dapat diblokir agar tidak masuk selama 30 hari, lalu dihapus dari penyewa. Selama periode 30 hari, pengguna tamu dapat dipulihkan aksesnya ke penyewa oleh administrator. Setelah periode 30 hari selesai, jika pengguna tamu belum memiliki akses ke sumber daya yang diberikan kepada mereka lagi, mereka akan dihapus dari penyewa secara permanen. Selain itu, menggunakan pusat admin Microsoft Entra, Administrator Global dapat secara eksplisit menghapus pengguna yang baru dihapus secara permanen sebelum periode waktu tersebut tercapai. Setelah pengguna dihapus secara permanen, data tentang pengguna tamu tersebut dihapus dari tinjauan akses aktif. Informasi audit tentang pengguna yang dihapus tetap berada di log audit.

Tindakan yang diambil terhadap pengguna koneksi langsung B2B yang ditolak

Pengguna dan tim yang koneksi langsung B2B-nya ditolak akan kehilangan akses ke semua saluran bersama di dalam Tim.

Langkah berikutnya