Ukończ przegląd dostępu grup i aplikacji w przeglądach dostępu
Jako administrator utworzysz przegląd dostępu grup lub aplikacji, a recenzenci przeprowadzają przegląd dostępu. W tym artykule opisano, jak wyświetlić wyniki przeglądu dostępu i zastosować je.
Uwaga
Ten artykuł zawiera kroki usuwania danych osobowych z urządzenia lub usługi i może służyć do wspierania zobowiązań wynikających z RODO. Aby uzyskać ogólne informacje o RODO, zobacz sekcję RODO w Centrum zaufania Microsoft i sekcję RODO w portalu zaufania usług.
Wymagania wstępne
- Microsoft Entra ID P2 lub Zarządzanie Microsoft Entra ID
- Co najmniej rola Administratora użytkowników lub Administratora ds. Zarządzania Tożsamością do zarządzania dostępem do ocen grup i aplikacji. Użytkownicy, którzy mają co najmniej rolę Administrator ról uprzywilejowanych, mogą zarządzać przeglądami grup z możliwością przypisywania ról, zobacz: Zarządzanie przypisaniami ról za pomocą grup firmy Microsoft Entra
- Czytelnicy zabezpieczeń mają dostęp do odczytu.
Aby uzyskać więcej informacji, zobacz: Wymagania licencyjne.
Wyświetlanie stanu przeglądu dostępu
Wykonaj poniższe kroki, aby śledzić postęp przeglądów dostępu w miarę ich ukończenia.
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator zarządzania tożsamością.
Przejdź do zarządzanie tożsamością>Przeglądy dostępu.
Na liście wybierz przegląd dostępu.
Na stronie Przegląd możesz zobaczyć postęp bieżącego wystąpienia recenzji. Jeśli w danym momencie nie ma otwartego aktywnego wystąpienia, widzisz informacje o poprzednim wystąpieniu. Żadne prawa dostępu nie zostaną zmienione w katalogu do momentu ukończenia przeglądu.
Wszystkie panele w ramach Bieżące są widoczne tylko przez czas trwania każdego przypadku przeglądu.
Uwaga
Przegląd bieżący dostępu zawiera tylko informacje o aktywnym wystąpieniu przeglądu, ale można uzyskać informacje o przeglądach, które jeszcze się odbędą w sekcji Seria pod Zaplanowane przeglądy.
Strona Wyniki dostarcza więcej informacji o każdym użytkowniku podlegającym przeglądowi w danym wystąpieniu, w tym możliwość zatrzymania, zresetowania i pobrania wyników.
Jeśli przeglądasz przegląd dostępu, który przegląda dostęp gościa w grupach platformy Microsoft 365, okienko Przegląd zawiera listę każdej grupy w przeglądzie.
Wybierz grupę, aby wyświetlić postęp przeglądu w tej grupie, a także zatrzymać, zresetować, zastosować i usunąć.
Jeśli chcesz zatrzymać przegląd dostępu przed osiągnięciem zaplanowanej daty zakończenia, wybierz przycisk Zatrzymaj.
Po zatrzymaniu przeglądu recenzenci nie będą już mogli udzielać odpowiedzi. Nie można ponownie uruchomić przeglądu po jego zatrzymaniu.
Jeśli nie interesuje Cię przegląd dostępu, możesz go usunąć, klikając przycisk Usuń .
Wyświetlanie stanu przeglądu wieloetapowego (wersja zapoznawcza)
Aby wyświetlić stan i etap przeglądu dostępu wieloetapowego:
Wybierz przegląd wieloetapowy, w którym chcesz sprawdzić stan lub sprawdzić, w jakim etapie się znajduje.
Wybierz pozycję Wyniki w menu nawigacji po lewej stronie w obszarze Bieżący.
Po przejściu na stronę wyników, informacja pod Stan wskazuje, na jakim etapie znajduje się przegląd wieloetapowy. Następny etap przeglądu nie stanie się aktywny, dopóki nie upłynie czas trwania określony podczas konfiguracji przeglądu dostępu.
Jeśli podjęto decyzję, ale czas trwania przeglądu dla tego etapu jeszcze nie wygasł, możesz wybrać przycisk Zatrzymaj bieżący etap na stronie wyników. Spowoduje to uruchomienie następnego etapu przeglądu.
Pobieranie wyników
Aby wyświetlić wyniki przeglądu, wybierz stronę Wyniki . Aby wyświetlić dostęp tylko określonego użytkownika, w polu Wyszukaj wpisz nazwę wyświetlaną lub główną nazwę użytkownika dla użytkownika, którego dostęp był przeglądany.
Aby wyświetlić wyniki ukończonego wystąpienia przeglądu dostępu, które jest cykliczne, wybierz pozycję Przejrzyj historię, a następnie wybierz określone wystąpienie z listy ukończonych wystąpień przeglądu dostępu na podstawie daty rozpoczęcia i zakończenia wystąpienia. Wyniki tego wystąpienia można uzyskać na stronie Wyniki. Przeglądy dostępu cyklicznego umożliwiają stały obraz dostępu do zasobów, które mogą wymagać aktualizacji częściej niż jednorazowe przeglądy dostępu.
Aby pobrać wyniki przeglądu dostępu, zarówno te w toku, jak i ukończone, wybierz przycisk Pobierz. Wynikowy plik CSV można wyświetlić w programie Excel lub w innych programach, które otwierają pliki CSV zakodowane w formacie UTF-8.
Programowe pobieranie wyników
Możesz również pobrać wyniki przeglądu dostępu przy użyciu programu Microsoft Graph lub programu PowerShell.
Najpierw należy zlokalizować instancję przeglądu dostępu. Jeśli parametr accessReviewScheduleDefinition jest cyklicznym przeglądem dostępu, wystąpienia reprezentują każdy cykl. Przegląd, który nie jest powtarzany, zawiera dokładnie jedno wystąpienie. Wystąpienia reprezentują również każdą unikatową grupę przeglądaną w ramach definicji harmonogramu. Jeśli definicja harmonogramu przegląda wiele grup, każda grupa ma unikatowe wystąpienie dla każdego cyklu. Każde wystąpienie zawiera listę decyzji, nad którymi recenzenci mogą podejmować działania, przy czym jedna decyzja jest podejmowana dla każdej przeglądanej tożsamości.
Po zidentyfikowaniu wystąpienia, aby pobrać decyzje przy użyciu programu Graph, wywołaj interfejs API programu Graph, aby wyświetlić listę decyzji z wystąpienia. Jeśli wystąpienie jest przeglądem wieloetapowym, wywołaj interfejs API programu Graph, aby wyświetlić listę decyzji z przeglądu dostępu wieloetapowego. Obiekt wywołujący musi być albo użytkownikiem w odpowiedniej roli z aplikacją, która ma delegowane uprawnienie AccessReview.Read.All lub AccessReview.ReadWrite.All, albo aplikacją z uprawnieniem AccessReview.Read.All lub AccessReview.ReadWrite.All. Aby uzyskać więcej informacji, zobacz samouczek dotyczący przeglądania grupy zabezpieczeń.
Możesz również pobrać decyzje w programie PowerShell, korzystając z cmdlet Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision z modułu Microsoft Graph PowerShell cmdlets for Identity Governance. Domyślny rozmiar strony tego interfejsu API to 100 elementów decyzyjnych.
Stosowanie zmian
Jeśli automatyczne stosowanie wyników do zasobu zostało włączone na podstawie twoich wyborów w Ustawieniach Po Ukończeniu, automatyczne stosowanie wyników wykonywane jest po zakończeniu instancji przeglądu lub wcześniej, jeśli ręcznie zatrzymasz przegląd.
Jeśli automatyczne stosowanie wyników do zasobu nie zostało włączone dla przeglądu, przejdź do obszaru Historia przeglądu w obszarze Seria po zakończeniu trwania przeglądu lub przegląd został zatrzymany wcześnie, a następnie wybierz wystąpienie przeglądu, które chcesz zastosować.
Wybierz pozycję Zastosuj , aby ręcznie zastosować zmiany. Jeśli użytkownikowi odmówiono dostępu podczas przeglądu, po wybraniu pozycji Zastosuj Microsoft Entra ID usuwa członkostwo użytkownika lub przypisanie aplikacji.
Stan przeglądu zmienia się z Ukończono przez stany pośrednie, takie jak Stosowanie, a na końcu do stanu Zastosowano wynik. Możesz spodziewać się, że użytkownicy, którym odmówiono dostępu, zostaną usunięci z członkostwa w grupie lub przypisania aplikacji w ciągu kilku minut.
Ręczne lub automatyczne stosowanie wyników nie ma wpływu na grupę, która pochodzi z lokalnego katalogu. Jeśli chcesz zmienić grupę, która pochodzi ze środowiska lokalnego, pobierz wyniki i zastosuj te zmiany do reprezentacji grupy w tym katalogu.
Uwaga
Niektórzy użytkownicy, którym odmówiono dostępu, nie mogą mieć do nich zastosowanych wyników. Scenariusze, w których może się to zdarzyć, obejmują:
- Przeglądanie członków zsynchronizowanej lokalnej grupy usługi AD systemu Windows Server: jeśli grupa jest synchronizowana z lokalnej usługi AD systemu Windows Server, nie można zarządzać grupą w identyfikatorze Entra firmy Microsoft i dlatego nie można zmienić członkostwa.
- Przeglądanie zasobu (roli, grupy, aplikacji) z przypisanymi grupami zagnieżdżonymi: w przypadku użytkowników, którzy mają członkostwo poprzez zagnieżdżoną grupę, nie usuniemy ich członkostwa z tej grupy, i w związku z tym zachowają dostęp do przeglądanego zasobu.
- Nie znaleziono użytkownika / inne błędy mogą również powodować, że zastosowanie wyniku nie jest wspierane.
- Przeglądanie członków grupy z włączoną obsługą poczty: nie można zarządzać grupą w identyfikatorze Entra firmy Microsoft, więc nie można zmienić członkostwa.
- Przeglądanie aplikacji, która korzysta z przypisania grupowego, nie spowoduje usunięcia członków tych grup, dlatego zachowają oni dotychczasowy dostęp dzięki relacji grupowej w przypisaniu aplikacji.
Akcje podjęte w stosunku do odrzuconych użytkowników-gości podczas przeglądu dostępu
Podczas tworzenia przeglądu twórca może wybrać między dwiema opcjami odmowy użytkowników-gości w przeglądzie dostępu.
- Użytkownikom-gościom, którym odmówiono dostępu, można usunąć dostęp do zasobów. Jest to ustawienie domyślne.
- Odmówionemu użytkownikowi-gościowi można zablokować dostęp na 30 dni, a następnie usunąć go z tenanta. W ciągu 30 dni administrator może przywrócić użytkownikowi-gościowi dostęp do dzierżawy. Po zakończeniu 30-dniowego okresu, jeśli użytkownik-gość nie miał dostępu do zasobu przyznanego im ponownie, zostanie on trwale usunięty z dzierżawy. Ponadto przy użyciu centrum administracyjnego firmy Microsoft Entra administrator globalny może jawnie trwale usunąć ostatnio usuniętego użytkownika przed osiągnięciem tego okresu. Gdy użytkownik zostanie trwale usunięty, dane dotyczące tego użytkownika-gościa zostaną usunięte z aktywnych przeglądów dostępu. Informacje inspekcji dotyczące usuniętych użytkowników pozostają w dzienniku inspekcji.
Działania podjęte w przypadku odrzucenia użytkowników połączenia bezpośredniego B2B
Użytkownicy i zespoły, którym odmówiono bezpośredniego połączenia B2B, utracą dostęp do wszystkich udostępnionych kanałów w zespole.