Udostępnij za pośrednictwem

Tworzenie przeglądu dostępu dla grup i aplikacji w usłudze Microsoft Entra ID.

  • Artykuł

Dostęp do grup i aplikacji dla pracowników i gości zmienia się w miarę upływu czasu. Aby zmniejszyć ryzyko związane z nieaktualnymi przypisaniami dostępu, administratorzy mogą używać identyfikatora Entra firmy Microsoft do tworzenia przeglądów dostępu dla członków grupy lub dostępu do aplikacji.

Właściciele grup Microsoft 365 i grupy zabezpieczeń mogą również używać Microsoft Entra ID do tworzenia przeglądów dostępu dla członków grupy, o ile użytkownik z co najmniej rolą Administratora Zarządzania Identyfikacją włącza ustawienie za pośrednictwem okienka Ustawienia przeglądów dostępu. Aby uzyskać więcej informacji na temat tych scenariuszy, zobacz Zarządzanie przeglądami dostępu.

Obejrzyj krótki film wideo z omówieniem włączania przeglądów dostępu.

W tym artykule opisano sposób tworzenia co najmniej jednego przeglądu dostępu dla członków grupy lub dostępu do aplikacji.

Wymagania wstępne

Korzystanie z tej funkcji wymaga licencji microsoft Entra ID Governance lub Microsoft Entra Suite. Aby znaleźć odpowiednią licencję dla swoich potrzeb, zobacz Podstawy licencjonowania zarządzania w usłudze Microsoft Entra ID.

Jeśli przeglądasz dostęp do aplikacji, przed utworzeniem przeglądu zapoznaj się z artykułem dotyczącym przygotowania do przeglądu dostępu użytkowników do aplikacji, aby upewnić się, że aplikacja jest zintegrowana z Microsoft Entra ID w Twojej dzierżawie.

Uwaga

Przeglądy dostępu przechwytują migawkę dostępu na początku każdego przeglądu. Wszelkie zmiany wprowadzone podczas procesu przeglądu zostaną odzwierciedlone w kolejnym cyklu przeglądu. Zasadniczo wraz z rozpoczęciem każdego nowego cyklu, istotne dane dotyczące użytkowników, zasobów w ramach przeglądu i ich odpowiednich recenzentów są pobierane.

Uwaga

W przeglądzie grup zagnieżdżone grupy zostaną automatycznie spłaszczone, więc użytkownicy z zagnieżdżonych grup pojawią się jako użytkownicy indywidualni. Jeśli użytkownik jest oznaczony do usunięcia w wyniku członkostwa w zagnieżdżonej grupie, nie zostanie automatycznie usunięty z tej grupy, ale tylko z bezpośredniego członkostwa w grupie.

Tworzenie przeglądu dostępu jednoetapowego

Scope

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator zarządzania tożsamością.

  2. Przejdź do zarządzania tożsamością>przeglądów dostępu.

  3. Wybierz pozycję Nowy przegląd dostępu, aby utworzyć nowy przegląd dostępu.

    Zrzut ekranu przedstawiający okienko Przeglądy dostępu w obszarze Zarządzanie tożsamościami.

  4. W polu Wybierz, co chcesz przejrzeć, wybierz zasób, który chcesz przejrzeć.

    Zrzut ekranu przedstawiający tworzenie przeglądu dostępu.

  5. W przypadku wybrania pozycji Teams + Grupy masz dwie opcje:

    • Wszystkie grupy platformy Microsoft 365 z użytkownikami-gośćmi: wybierz tę opcję, jeśli chcesz utworzyć cykliczne przeglądy dla wszystkich użytkowników-gości we wszystkich grupach usługi Microsoft Teams i platformy Microsoft 365 w organizacji. Grupy dynamiczne i grupy z możliwością przypisywania ról nie są uwzględniane. Możesz również wykluczyć poszczególne grupy, wybierając pozycję Wybierz grupy do wykluczenia.

    • Wybierz pozycję Teams + groups (Zespoły i grupy): wybierz tę opcję, jeśli chcesz określić skończony zestaw zespołów lub grup do przejrzenia. Po prawej stronie zostanie wyświetlona lista grup do wyboru.

      Zrzut ekranu pokazuje wybór Teams + Groups.

  6. W przypadku wybrania pozycji Aplikacje wybierz co najmniej jedną aplikację.

    Zrzut ekranu przedstawiający interfejs wyświetlany w przypadku wybrania aplikacji zamiast grup.

Uwaga

Wybranie wielu grup lub aplikacji powoduje utworzenie wielu przeglądów dostępu. Jeśli na przykład wybierzesz pięć grup do przejrzenia, to wynik w postaci pięciu oddzielnych przeglądów dostępu.

  1. Teraz możesz wybrać zakres przeglądu. Możliwe opcje to:

    • Tylko użytkownicy-goście: ta opcja ogranicza przegląd dostępu wyłącznie do użytkowników gości Microsoft Entra B2B w katalogu.
    • Wszyscy: ta opcja określa zakres przeglądu dostępu do wszystkich obiektów użytkownika skojarzonych z zasobem.

    Uwaga

    Jeśli wybrano opcję Wszystkie grupy platformy Microsoft 365 z użytkownikami-gośćmi, jedyną opcją jest przejrzenie tylko użytkowników-gości.

  2. Jeśli przeprowadzasz przegląd członkostwa w grupie, możesz utworzyć przeglądy dostępu tylko dla nieaktywnych użytkowników w grupie. W sekcji Zakres użytkowników zaznacz pole wyboru obok pozycji Nieaktywni użytkownicy (na poziomie dzierżawy). Jeśli zaznaczysz to pole wyboru, zakres przeglądu koncentruje się wyłącznie na nieaktywnych użytkownikach, czyli tych, którzy nie zalogowali się ani interaktywnie, ani nieinterakcyjnie do dzierżawcy. Następnie określ dni nieaktywne z wieloma dniami nieaktywnymi do 730 dni (dwa lata). Użytkownicy w grupie nieaktywni przez określoną liczbę dni są jedynymi użytkownikami w przeglądzie.

    Uwaga

    Nie ma to wpływu na ostatnio utworzonych użytkowników podczas konfigurowania czasu braku aktywności. Przegląd dostępu sprawdzi, czy użytkownik został utworzony w skonfigurowanym przedziale czasu i zlekceważy użytkowników, którzy nie istnieli przez co najmniej ten czas. Jeśli na przykład ustawisz czas braku aktywności na 90 dni, a użytkownik-gość został utworzony lub zaproszony mniej niż 90 dni temu, użytkownik-gość nie będzie w zakresie przeglądu dostępu. Dzięki temu użytkownik może zalogować się co najmniej raz przed usunięciem.

  3. Wybierz pozycję Dalej: Recenzje.

Dalej: Przeglądy

  1. Możesz utworzyć przegląd jednoetapowy lub wieloetapowy. Aby zapoznać się z przeglądem pojedynczego etapu, przejdź tutaj. Aby utworzyć przegląd dostępu wieloetapowego, wykonaj kroki opisane w artykule Tworzenie przeglądu dostępu wieloetapowego

  2. W sekcji Określanie recenzentów w polu Wybierz recenzentów wybierz jedną lub więcej osób do podejmowania decyzji w przeglądach dostępu. Dostępne są następujące opcje:

    • Właściciel(ka)/Właściciele grupy: ta opcja jest dostępna tylko w przypadku przeglądu w zespole lub grupie.
    • Wybrani użytkownicy lub grupy
    • Użytkownicy przeglądają własny dostęp
    • Menedżerowie użytkowników

    Jeśli wybierzesz pozycję Menedżerowie użytkowników lub właścicieli grupy, możesz również określić rezerwowego recenzenta. Recenzenci zapasowi są proszeni o dokonanie przeglądu, gdy użytkownik nie ma menedżera określonego w katalogu organizacyjnym lub jeśli grupa nie ma właściciela.

    Uwaga

    W przeglądzie dostępu do zespołu lub grupy tylko właściciele grup (w momencie rozpoczęcia przeglądu) są traktowani jako recenzenci. W trakcie przeglądu, jeśli lista właścicieli grup zostanie zaktualizowana, nowi właściciele grup nie będą traktowani jako recenzenci, a także starzy właściciele grup będą nadal traktowani jako recenzenci. Jednak w przypadku cyklicznej oceny wszelkie zmiany na liście właścicieli grup zostaną uwzględnione w następnym przebiegu tej oceny.

    Ważne

    W przypadku przeglądów dostępu usługi PIM dla grup (wersja zapoznawcza) podczas wybierania właściciela grupy jako recenzenta należy przypisać co najmniej jednego rezerwowego recenzenta. Przegląd przypisze jako recenzentów tylko aktywnych właścicieli. Uprawnieni właściciele nie są uwzględniani. Jeśli nie ma aktywnych właścicieli po rozpoczęciu przeglądu, recenzenci rezerwowi zostaną przypisani do przeglądu.

    Zrzut ekranu przedstawiający przegląd nowego dostępu.

  3. W sekcji Określanie cyklu przeglądu określ następujące opcje:

    • Czas trwania (w dniach): jak długo recenzja jest otwarta dla danych wejściowych od recenzentów.

    • Data rozpoczęcia: kiedy rozpoczyna się seria przeglądów.

    • Data zakończenia: po zakończeniu serii przeglądów. Można określić, że nigdy się nie kończy. Możesz też wybrać Zakończ w określonej dacie lub Zakończ po określonej liczbie wystąpień.

      Zrzut ekranu przedstawiający wybór częstotliwości przeglądu.

  4. Wybierz pozycję Dalej: Ustawienia.

Uwaga

Podczas tworzenia przeglądu dostępu można określić datę rozpoczęcia, ale czas rozpoczęcia może się różnić kilka godzin w zależności od przetwarzania systemu. Jeśli na przykład tworzysz przegląd dostępu o godzinie 03:00 UTC w dniu 09.09, który ma zostać uruchomiony w dniu 12.09, przegląd zostanie zaplanowany na uruchomienie o godzinie 03:00 UTC w dniu rozpoczęcia, ale może zostać opóźniony z powodu przetwarzania przez system.

Możesz określić datę rozpoczęcia, ale czas rozpoczęcia może się różnić w zależności od przetwarzania systemu.

Dalej: Ustawienia

  1. W sekcji Ustawienia po zakończeniu możesz określić, co się stanie po zakończeniu przeglądu.

    Zrzut ekranu przedstawiający ustawienia Po zakończeniu.

    • Automatycznie zastosuj wyniki do zasobu: zaznacz to pole wyboru, jeśli chcesz, aby dostęp użytkowników, którym go odmówiono, został automatycznie usunięty po zakończeniu przeglądu. Jeśli opcja jest wyłączona, należy ręcznie zastosować wyniki po zakończeniu przeglądu. Aby dowiedzieć się więcej o stosowaniu wyników przeglądu, zobacz Zarządzanie przeglądami dostępu.

    • Jeśli recenzenci nie odpowiadają: użyj tej opcji, aby określić, co się stanie dla użytkowników, którzy nie przejdą przez żadnego recenzenta w okresie przeglądu. To ustawienie nie ma wpływu na użytkowników, którzy zostali przejrzeni przez recenzenta. Lista rozwijana zawiera następujące opcje:

      • Brak zmian: pozostawia dostęp użytkownika bez zmian.
      • Usuwanie dostępu: usuwa dostęp użytkownika.
      • Zatwierdzanie dostępu: zatwierdza dostęp użytkownika.
      • Przyjmowanie rekomendacji: akceptuje zalecenie systemu, aby odmówić lub zatwierdzić kontynuację dostępu użytkownika.

      Ostrzeżenie

      Jeśli ustawienie Jeśli recenzenci nie odpowiadają jest ustawione na Usuń dostęp lub Zastosuj zalecenia oraz Automatycznie zastosuj wyniki do zasobu jest włączone, cały dostęp do tego zasobu może zostać odwołany, jeśli recenzenci nie będą odpowiadać.

    • Akcja stosowana dla odrzuconych użytkowników-gości: ta opcja jest dostępna tylko, gdy przegląd dostępu obejmuje wyłącznie użytkowników-gości, aby określić, co się stanie z nimi, jeśli zostaną odrzuceni przez recenzenta lub przez ustawienie jeśli recenzenci nie odpowiadają.

      • Usuń członkostwo użytkownika z zasobu: ta opcja usuwa odrzucony dostęp użytkownika-gościa do przeglądanej grupy lub aplikacji. Nadal mogą zalogować się do konta dzierżawcy i nie utracą żadnego innego dostępu.
      • Zablokuj użytkownikowi możliwość logowania przez 30 dni, a następnie usuń użytkownika z dzierżawy: ta opcja uniemożliwia zalogowanie się użytkownikowi-gościowi, który otrzymał odmowę, do dzierżawy, niezależnie od tego, czy mają dostęp do innych zasobów. Jeśli ta akcja została podjęta w błędzie, administratorzy mogą przywrócić dostęp użytkownika-gościa w ciągu 30 dni od wyłączenia użytkownika-gościa. Jeśli po 30 dniach nie zostanie podjęta żadna akcja w stosunku do wyłączonego użytkownika-gościa, zostanie on usunięty z dzierżawy.

    Aby dowiedzieć się więcej na temat najlepszych praktyk dotyczących usuwania użytkowników gościnnych, którzy nie mają już dostępu do zasobów w Twojej organizacji, zobacz Używaj Zarządzania tożsamością Microsoft Entra do przeglądania i usuwania użytkowników zewnętrznych, którzy nie mają już dostępu do zasobów.

    Uwaga

    Akcja stosowana dla odrzuconych kont gości nie jest konfigurowalna, jeśli przeglądy obejmują więcej niż konta gości. Nie można również konfigurować przeglądów wszystkich grup platformy Microsoft 365 z użytkownikami-gośćmi. Jeśli nie można skonfigurować, domyślna opcja usunięcia członkostwa użytkownika z zasobu jest używana dla odrzuconych użytkowników.

  2. Użyj opcji Wyślij powiadomienie na koniec przeglądu, aby wysyłać powiadomienia do innych użytkowników lub grup z aktualizacjami ukończenia. Ta funkcja umożliwia osobom biorącym udział w projekcie innym niż twórca przeglądu zaktualizowanie postępu przeglądu. Aby użyć tej funkcji, wybierz pozycję Wybierz użytkowników lub grupy , a następnie dodaj innego użytkownika lub grupę, dla której chcesz otrzymać stan ukończenia.

  3. W sekcji Włączanie pomocników podejmowania decyzji dotyczących przeglądu wybierz, czy recenzent ma otrzymywać zalecenia podczas procesu przeglądu:

    1. Jeśli wybierzesz pozycję Nie zalogujesz się w ciągu 30 dni, zaleca się zatwierdzenie użytkowników, którzy zalogowali się w ciągu ostatnich 30 dni. Użytkownikom, którzy nie zalogowali się w ciągu ostatnich 30 dni, zaleca się odrzucenie dostępu. Ten 30-dniowy interwał jest niezależnie od tego, czy logowania były interaktywne, czy nie. Ostatnia data logowania dla określonego użytkownika będzie również wyświetlana wraz z zaleceniem.
    2. W przypadku wybrania Przynależność użytkownika do grupy, recenzenci otrzymają zalecenie zatwierdzenia lub odmowy dostępu dla użytkowników na podstawie średniej odległości użytkownika od struktury raportowania organizacji. Użytkownicy, którzy są daleko od wszystkich innych użytkowników w grupie, są uważani za mających "niską przynależność" i otrzymają rekomendację odmowy dostępu w przeglądach dostępu grupy.

    Uwaga

    Jeśli tworzysz przegląd dostępu do aplikacji, rekomendacje są oparte na 30-dniowym okresie w zależności od tego, kiedy użytkownik ostatnio zalogował się do aplikacji, a nie dzierżawy.

    Zrzut ekranu przedstawiający opcje Włącz pomocników decyzyjnych recenzenta.

  4. W sekcji Ustawienia zaawansowane możesz wybrać następujące opcje:

    • Wymagane uzasadnienie: zaznacz to pole wyboru, aby wymagać od recenzenta podania przyczyny zatwierdzenia lub odmowy.

    • Powiadomienia e-mail: zaznacz to pole wyboru, aby identyfikator entra firmy Microsoft wysyłał powiadomienia e-mail do recenzentów po rozpoczęciu przeglądu dostępu i administratorom po zakończeniu przeglądu.

    • Przypomnienia: zaznacz to pole wyboru, aby identyfikator Entra firmy Microsoft wysyłał przypomnienia o przeglądach dostępu w toku do wszystkich recenzentów. Recenzenci otrzymują przypomnienia w połowie przeglądu, niezależnie od tego, czy zakończyli przegląd, czy nie.

    • Dodatkowa zawartość wiadomości e-mail recenzenta: zawartość wiadomości e-mail wysyłanej do recenzentów jest automatycznie generowana na podstawie szczegółów przeglądu, takich jak nazwa przeglądu, nazwa zasobu i data ukończenia. Jeśli chcesz przekazać więcej informacji, możesz określić szczegóły, takie jak instrukcje lub informacje kontaktowe w polu. Wprowadzone informacje są uwzględniane w zaproszeniu, a wiadomości e-mail z przypomnieniami są wysyłane do przypisanych recenzentów. Sekcja wyróżniona na poniższej ilustracji pokazuje, gdzie są wyświetlane te informacje.

      Zrzut ekranu przedstawiający dodatkową zawartość dla recenzentów.

  5. Wybierz opcję Dalej: przejrzyj + utwórz.

    Zrzut ekranu przedstawiający kartę Przejrzyj + Utwórz.

Dalej: Przejrzyj i utwórz

  1. Nadaj nazwę przeglądowi dostępu. Opcjonalnie nadaj przeglądowi opis. Nazwa i opis są wyświetlane recenzentom.

  2. Przejrzyj informacje i wybierz pozycję Utwórz.

Tworzenie przeglądu dostępu wieloetapowego

Przegląd wieloetapowy umożliwia administratorowi zdefiniowanie dwóch lub trzech zestawów recenzentów w celu ukończenia przeglądu po drugim. W jednym etapie przeglądu wszyscy recenzenci podejmują decyzję w tym samym czasie, a decyzja ostatniego recenzenta, który ją podejmie, jest stosowana. W wieloetapowym przeglądzie dwa lub trzy niezależne zestawy recenzentów podejmują decyzję na swoim etapie. Etapy są sekwencyjne, a następny etap nie nastąpi, dopóki decyzja nie zostanie zarejestrowana na poprzednim etapie. Przeglądy wieloetapowe mogą służyć do zmniejszenia obciążenia dla recenzentów późniejszych etapów, umożliwienia eskalacji recenzentów lub umożliwienia niezależnej grupy recenzentów uzgadniania decyzji.

Uwaga

Dane użytkowników zawarte w wieloetapowych przeglądach dostępu są częścią rejestru audytu na początku przeglądu. Administratorzy mogą usuwać dane w dowolnym momencie, usuwając serię przeglądów dostępu wieloetapowego. Aby uzyskać ogólne informacje na temat RODO i ochrony danych użytkowników, zobacz sekcję RODO w Centrum zaufania firmy Microsoft i sekcję RODO w portalu zaufania usługi.

  1. Po wybraniu zasobu i zakresu przeglądu przejdź do karty Przeglądy .

  2. Zaznacz pole wyboru obok Przegląd wieloetapowy.

  3. W obszarze Przegląd pierwszego etapu wybierz recenzentów z menu rozwijanego obok pozycji Wybierz recenzentów.

  4. Jeśli wybierzesz pozycję Właściciele grupy lub Menedżerowie użytkowników, możesz dodać recenzenta rezerwowego. Aby dodać rezerwowy element, wybierz pozycję Wybierz recenzentów rezerwowych i dodaj użytkowników, którzy mają być recenzentami rezerwowymi.

    Zrzut ekranu przedstawiający włączony przegląd wieloetapowy oraz jego ustawienia.

  5. Dodaj czas trwania pierwszego etapu. Aby dodać czas trwania, wprowadź liczbę w polu obok pozycji Czas trwania etapu (w dniach). Jest to liczba dni, w których pierwszy etap ma być otwarty dla recenzentów pierwszego etapu w celu podejmowania decyzji.

  6. W obszarze Przegląd drugiego etapu wybierz recenzentów z menu rozwijanego obok pozycji Wybierz recenzentów. Ci recenzenci zostaną poproszeni o recenzję po zakończeniu pierwszego etapu recenzji.

  7. W razie potrzeby dodaj jakichkolwiek recenzentów rezerwowych.

  8. Dodaj czas trwania drugiego etapu.

  9. Domyślnie podczas tworzenia przeglądu wieloetapowego widać dwa etapy. Można jednak dodać maksymalnie trzy etapy. Jeśli chcesz dodać trzeci etap, wybierz pozycję + Dodaj etap i wypełnij wymagane pola.

  10. Możesz zezwolić recenzentom drugiego i drugiego etapu na wyświetlanie decyzji podjętych w poprzednich etapach. Jeśli chcesz zezwolić im na wyświetlanie decyzji podjętych wcześniej, zaznacz pole obok Pokaż decyzje z poprzednich etapów późniejszym recenzentom w sekcji Ujawnij wyniki przeglądu. Pozostaw pole niezaznaczone, aby wyłączyć to ustawienie, jeśli chcesz, aby recenzenci dokonali przeglądu niezależnie.

    Zrzut ekranu pokazujący włączone ustawienie dotyczące czasu trwania i poprzednich etapów dla przeglądu wieloetapowego.

  11. Czas trwania każdego cyklu jest ustawiony na sumę dni trwania, które określiłeś na każdym etapie.

  12. Określ cykl przeglądu, datę rozpoczęcia i datę zakończenia przeglądu. Typ cyklu musi być co najmniej tak długi, jak całkowity czas trwania cyklu (czyli maksymalny czas trwania cotygodniowego cyklu przeglądu wynosi 7 dni).

  13. Aby określić, które przeglądy będą kontynuowane od etapu do etapu, wybierz jedną lub wiele z następujących opcji obok pozycji Określ recenzje, aby przejść do następnego etapu : Zrzut ekranu przedstawiający określanie ustawień i opcji przeglądania wieloetapowego.

    1. Zatwierdzeni recenzenci — tylko zatwierdzeni recenzenci przechodzą do następnych etapów.
    2. Odrzuceni recenzowani — tylko recenzowani, którym odmówiono, przechodzą do następnego etapu.
    3. Nie przeglądane recenzje — tylko recenzje, które nie zostały poddane przeglądowi, zostaną przeniesione do następnego etapu.
    4. Recenzje oznaczone jako "Don't Know" — tylko recenzje oznaczone jako "Nie wiem" przechodzą do następnego etapu.
    5. Wszystko: wszyscy przechodzą do następnego etapu, jeśli chcesz, aby recenzenci na wszystkich etapach podjęli decyzję.

  14. Przejdź do karty ustawień i zakończ pozostałe ustawienia, a następnie utwórz recenzję. Postępuj zgodnie z instrukcjami w sekcji Dalej: Ustawienia.

Uwzględnij użytkowników i zespoły korzystające z bezpośredniego połączenia B2B oraz uzyskujące dostęp do kanałów udostępnionych usługi Teams w przeglądach dostępu.

Możesz tworzyć przeglądy dostępu dla użytkowników B2B direct connect za pośrednictwem kanałów udostępnionych w usłudze Microsoft Teams. Podczas współpracy zewnętrznej możesz użyć przeglądów dostępu firmy Microsoft Entra, aby upewnić się, że dostęp zewnętrzny do udostępnionych kanałów pozostaje aktualny. Użytkownicy zewnętrzni w kanałach udostępnionych są nazywani bezpośrednimi użytkownikami połączenia B2B. Aby dowiedzieć się więcej o udostępnionych kanałach usługi Teams i użytkownikach bezpośredniego połączenia B2B, przeczytaj artykuł B2B direct connect.

Podczas tworzenia przeglądu dostępu w zespole z udostępnionymi kanałami recenzenci mogą przeglądać, czy istnieje dalsza potrzeba dostępu dla tych zewnętrznych użytkowników i zespołów w udostępnionych kanałach. Możesz przejrzeć dostęp użytkowników B2B connect i innych obsługiwanych użytkowników współpracy B2B i użytkowników wewnętrznych innych niż B2B w tej samej recenzji.

Uwaga

Obecnie użytkownicy i zespoły korzystające z bezpośrednich połączeń B2B są uwzględniane tylko w przeglądach jednoetapowych. Jeśli przeglądy wieloetapowe są włączone, użytkownicy i zespoły korzystające z bezpośrednich połączeń B2B nie zostaną uwzględnieni w przeglądzie dostępu.

Użytkownicy i zespoły B2B połączone bezpośrednio są uwzględniani w przeglądach dostępu grup Microsoft 365 z włączoną funkcją Teams, w których znajdują się udostępnione kanały. Aby utworzyć recenzję, musisz mieć co najmniej rolę Administratora Użytkowników lub Administratora Zarządzania Tożsamościami.

Skorzystaj z poniższych instrukcji, aby utworzyć przegląd dostępu w zespole z udostępnionymi kanałami:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako Administrator zarządzania tożsamością.

  2. Przejdź do Zarządzanie tożsamościami>Przeglądy dostępu.

  3. Wybierz + Nowy przegląd dostępu.

  4. Wybierz pozycję Zespoły i grupy, a następnie wybierz pozycję Wybierz zespoły i grupy, aby ustawić zakres Przeglądu. Bezpośrednie łączenie użytkowników i zespołów B2B nie jest uwzględniane w recenzjach wszystkich grup platformy Microsoft 365 z użytkownikami-gośćmi.

  5. Wybierz zespół, który wspólnie korzysta z kanałów z jednym lub większą liczbą bezpośrednich użytkowników B2B lub zespołów w Teams.

  6. Ustaw zakres.

    Zrzut ekranu przedstawiający ustawianie zakresu przeglądu dla przeglądu udostępnionych kanałów.

    • Wybierz pozycję Wszyscy użytkownicy , aby uwzględnić:
      • Wszyscy użytkownicy wewnętrzni
      • Użytkownicy współpracy B2B, którzy są członkami zespołu
      • Użytkownicy bezpośredniego połączenia B2B
      • Zespoły, które uzyskują dostęp do kanałów udostępnionych
    • Możesz też wybrać opcję Użytkownicy-goście tylko , aby uwzględnić tylko użytkowników korzystających z połączeń bezpośrednich B2B oraz użytkowników usługi Teams i współpracy B2B.

  7. Przejdź do karty Recenzje. Wybierz recenzenta, aby ukończyć przegląd, a następnie określ Czas trwania i Częstotliwość przeglądu.

    Uwaga

    • Jeśli ustawisz Wybierz recenzentów na Użytkownicy przeglądają własny dostęp lub Menedżerowie użytkowników, użytkownicy B2B direct connect i Teams nie będą mogli przeglądać własnego dostępu w twojej dzierżawie. Właściciel zespołu będącego w przeglądzie otrzyma wiadomość e-mail z prośbą o przegląd użytkownika połączenia bezpośredniego B2B oraz zespołów w aplikacji Teams.
    • Jeśli wybierzesz pozycję Menedżerowie użytkowników, wybrany recenzent rezerwowy będzie przeglądać dowolnego użytkownika bez menedżera w dzierżawie macierzystej. Obejmuje to użytkowników z bezpośrednim połączeniem B2B i zespoły bez menedżera.

  8. Przejdź do karty Ustawienia i skonfiguruj dodatkowe ustawienia. Następnie przejdź na kartę Przeglądanie i Tworzenie, aby rozpocząć przegląd dostępu. Aby uzyskać bardziej szczegółowe informacje na temat tworzenia przeglądu i ustawień konfiguracji, zobacz artykuł Create a single-stage access review (Tworzenie dostępu jednoetapowego).

Zezwalaj właścicielom grup na tworzenie przeglądów dostępu grup i zarządzanie nimi

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator zarządzania tożsamością.

  2. Przejdź do Zarządzania tożsamością>Przeglądy dostępu>Ustawienia.

  3. Na stronie Delegowanie, które mogą tworzyć i zarządzać przeglądami dostępu, ustaw opcję Właściciele grup mogą tworzyć i zarządzać przeglądami dostępu dla grup, które posiadają na Tak.

    Zrzut ekranu przedstawiający włączanie możliwości przeglądania dla właścicieli grup.

    Uwaga

    Domyślnie ustawienie ma wartość Nie. Aby zezwolić właścicielom grup na tworzenie przeglądów dostępu i zarządzanie nimi, zmień ustawienie na Tak.

Tworzenie przeglądu dostępu za pomocą programowania

Możesz również utworzyć przegląd dostępu przy użyciu programu Microsoft Graph lub programu PowerShell.

Aby utworzyć przegląd dostępu przy użyciu programu Graph, wywołaj interfejs API programu Graph, aby utworzyć definicję harmonogramu przeglądu dostępu. Obiekt wywołujący musi być użytkownikiem, który spełnia odpowiednią rolę i używa aplikacji posiadającej delegowane uprawnienie AccessReview.ReadWrite.All lub aplikacją posiadającą uprawnienie aplikacji AccessReview.ReadWrite.All. Aby uzyskać więcej informacji, zobacz Omówienie interfejsów API przeglądów dostępu oraz samouczki dotyczące sposobu przeglądania członków grupy zabezpieczeń lub przeglądania gości w grupach Microsoft 365.

Możesz również utworzyć przegląd dostępu w programie PowerShell za pomocą New-MgIdentityGovernanceAccessReviewDefinition polecenia cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance . Aby uzyskać więcej informacji, zobacz przykłady.

Kiedy zaczyna się przegląd dostępu

Po określeniu ustawień przeglądu dostępu i jego utworzeniu przegląd dostępu zostanie wyświetlony na liście ze wskaźnikiem jego stanu.

Zrzut ekranu przedstawiający listę przeglądów dostępu i ich stanu.

Domyślnie, Microsoft Entra ID wysyła wiadomość e-mail do recenzentów niedługo po rozpoczęciu jednorazowego przeglądu lub po rozpoczęciu okresowego przeglądu. Jeśli nie chcesz, aby identyfikator Entra firmy Microsoft wysłał wiadomość e-mail, pamiętaj, aby poinformować recenzentów, że przegląd dostępu czeka na ukończenie. Możesz wyświetlić instrukcje dotyczące przeglądania dostępu do grup lub aplikacji. Jeśli twój przegląd dotyczy gości, aby zrecenzowali swój własny dostęp, pokaż im instrukcje, jak przejrzeć swój dostęp do grup lub aplikacji.

Jeśli przypisali gości jako recenzentów i nie zaakceptowali oni zaproszenia do najemcy, nie otrzymają wiadomości e-mail z przeglądów uprawnień. Muszą najpierw zaakceptować zaproszenie, zanim będą mogli rozpocząć przeglądanie.

Aktualizowanie przeglądu dostępu

Po rozpoczęciu co najmniej jednego przeglądu dostępu możesz zmodyfikować lub zaktualizować ustawienia istniejących przeglądów dostępu. Poniżej przedstawiono kilka typowych scenariuszy, które należy wziąć pod uwagę:

  • Ustawienia aktualizacji lub recenzenci: jeśli przegląd dostępu jest cykliczny, istnieją oddzielne ustawienia w obszarze Bieżące i w obszarze Seria. Aktualizowanie ustawień lub recenzentów w obszarze Bieżące dotyczy tylko zmian w bieżącym przeglądzie dostępu. Aktualizowanie ustawień w obszarze Seria aktualizuje ustawienia dla wszystkich przyszłych cykli.

    Zrzut ekranu przedstawiający aktualizowanie ustawień przeglądu dostępu.

  • Dodawanie i usuwanie recenzentów: podczas aktualizowania przeglądów dostępu można dodać rezerwowego recenzenta oprócz podstawowego recenzenta. Recenzenci podstawowi mogą zostać usunięci podczas aktualizowania przeglądu dostępu. Recenzenci rezerwowi nie są usuwalni zgodnie z zamysłem.

    Uwaga

    Recenzentów rezerwowych można dodawać tylko wtedy, gdy typ recenzenta jest menedżerem lub właścicielem grupy. Recenzentów podstawowych można dodawać, gdy typ recenzenta jest wybranym użytkownikiem.

  • Przypomnij recenzentom: podczas aktualizowania przeglądów dostępu możesz włączyć opcję Przypomnienia w obszarze Ustawienia zaawansowane. Użytkownicy otrzymują następnie powiadomienie e-mail w połowie okresu przeglądu, niezależnie od tego, czy zakończyli przegląd, czy nie.

    Zrzut ekranu przedstawiający przypomnienie recenzentom.

Uwaga

Po zainicjowaniu przeglądu dostępu możesz użyć wywołania interfejsu API contactedReviewers, aby wyświetlić listę wszystkich recenzentów, którzy zostali powiadomieni lub którzy byliby powiadomieni, gdyby powiadomienia były wyłączone, za pośrednictwem poczty elektronicznej na potrzeby przeglądu dostępu. Sygnatury czasowe dotyczące tego, kiedy ci użytkownicy zostali powiadomieni, są również udostępniane.

Następne kroki