Завершите проверку доступа для групп и приложений в рамках проверок доступа.
Как администратор вы создаете проверку доступа для групп или приложений, а рецензенты выполняют проверку доступа. В этой статье описывается, как просмотреть результаты проверки доступа и применить их.
Примечание.
В этой статье приведены пошаговые инструкции по удалению персональных данных с устройства или из службы. Эти сведения можно использовать для соблюдения обязательств согласно Общему регламенту по защите данных (GDPR). Общие сведения о GDPR см. в разделе GDPR Центра управления безопасностью Майкрософт и в разделе GDPR на портале Service Trust Portal.
Предварительные условия
- Идентификатор Microsoft Entra P2 или Управление идентификацией Microsoft Entra
- Необходимо иметь по крайней мере роль администратора пользователей или администратора управления удостоверениями для управления доступом при проведении проверок в группах и приложениях. Пользователи, имеющие по крайней мере, роль администратора привилегированных ролей, могут управлять проверками групп с возможностью назначения ролей, подробнее см. в статье Использование групп Microsoft Entra для управления назначениями ролей
- У пользователей безопасности есть доступ к чтению.
Дополнительные сведения см. в разделе "Требования к лицензии".
Просмотр состояния проверки доступа
Выполните следующие действия, чтобы отслеживать ход проверки доступа по мере их завершения.
Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора управления идентификацией.
Перейдите к управлению идентификацией>Проверки доступа.
В списке выберите проверку доступа.
На странице Обзор можно просмотреть прогресс текущегоэкземпляра проверки. Если в данный момент не открыт активный экземпляр, вы увидите информацию о предыдущем экземпляре. Права доступа к каталогу не меняются до тех пор, пока проверка не будет завершена.
Все колонки в текущем экземпляре отображаются только в течение срока действия каждого экземпляра проверки.
Примечание.
Хотя в текущей проверке доступа отображаются только сведения об активном экземпляре проверки, вы можете получить сведения о проверках, которые еще предстоит пройти, в Серия под разделе Плановая проверка.
На странице "Результаты" содержатся дополнительные сведения о каждом пользователе, находящемся на проверке в экземпляре, включая возможность остановить, сбросить и загрузить результаты.
Если вы просматриваете проверку доступа, которая проверяет гостевой доступ в группах Microsoft 365, панель обзора выводит список каждой группы в обзоре.
Выберите группу, чтобы просмотреть ход проверки в этой группе, а также остановить, сбросить, применить и удалить.
Если вы хотите остановить проверку доступа, прежде чем она достигнет запланированной даты окончания, нажмите кнопку "Остановить ".
Если вы прекратите проверку, рецензенты больше не смогут давать ответы. Невозможно перезапустить проверку после ее остановки.
Если вы больше не заинтересованы в проверке доступа, ее можно удалить, нажав кнопку Удалить.
Просмотр состояния многоэтапной проверки (предварительная версия)
Чтобы просмотреть состояние и этап многоэтапной проверки доступа, выполните приведенные ниже действия.
Выберите многоэтапную проверку, состояние которой необходимо проверить, или посмотреть этап, на котором она находится.
Выберите "Результаты " в меню навигации слева в разделе "Текущий".
Когда вы находитесь на странице результатов, в разделе "Состояние " он сообщает вам, на каком этапе выполняется многоэтапная проверка. Следующий этап проверки не станет активным до тех пор, пока длительность, указанная во время установки проверки доступа, пройдет.
Если решение принято, но срок проверки для этого этапа еще не истек, можно нажать кнопку "Остановить текущую стадию " на странице результатов. Будет активирован следующий этап проверки.
Получение результатов
Чтобы просмотреть результаты проверки, выберите страницу результатов . Чтобы просмотреть только доступ пользователя, в поле поиска введите отображаемое имя или имя субъекта-пользователя, доступ которого был проверен.
Чтобы просмотреть результаты завершенного экземпляра проверки доступа, повторяющегося, выберите журнал проверки, а затем выберите конкретный экземпляр из списка завершенных экземпляров проверки доступа на основе даты начала и окончания экземпляра. Результаты этого сеанса можно получить на странице Результаты. Повторяющиеся проверки доступа позволяют иметь постоянную картину доступа к ресурсам, которые могут быть обновлены чаще, чем однократные проверки доступа.
Чтобы получить результаты проверки доступа, будь то в процессе выполнения или завершённой, нажмите кнопку Скачать. Полученный CSV-файл можно просмотреть в Excel или в других программах, которые поддерживают CSV-файлы в кодировке UTF-8.
Получение результатов программным способом
Вы также можете получить результаты проверки доступа с помощью Microsoft Graph или PowerShell.
Сначала необходимо определить экземпляр проверки доступа. Если accessReviewScheduleDefinition является повторяющейся проверкой доступа, экземпляры представляют каждое повторение. Обзор, который не повторяется, имеет ровно один экземпляр. Экземпляры также представляют каждую уникальную группу, рассматриваемую в определении расписания. Если определение расписания проверяет несколько групп, каждая группа имеет уникальный экземпляр для каждого повторения. Каждый экземпляр содержит список решений, по которым рецензенты могут предпринимать действия, с одним решением для каждой личности.
Когда вы определите экземпляр, чтобы получить решения с помощью Graph, вызовите API Graph для перечисления решений из экземпляра. Если экземпляр является многоэтапной проверкой, вызовите API Graph для перечисления решений многоэтапной проверки доступа. Вызывающий объект должен быть либо пользователем в соответствующей роли с приложением, которое имеет делегированное разрешение AccessReview.Read.All или AccessReview.ReadWrite.All, либо приложением с разрешением приложения AccessReview.Read.All или AccessReview.ReadWrite.All. Для получения дополнительной информации см. руководство по проверке группы безопасности.
Вы также можете извлечь решения в PowerShell с помощью командлета из модуля командлетов Microsoft Graph PowerShell для управления удостоверениями. Размер страницы по умолчанию этого API составляет 100 элементов принятия решений.
Применение изменений
Если автоматическое применение результатов к ресурсу было включено на основе ваших выборов в параметрах после завершения, автоматическое применение выполняется после завершения экземпляра проверки или раньше, если вы вручную остановите проверку.
Если автоматическое применение результатов к ресурсу не было включено для проверки, перейдите в Журнал проверки в разделе Серия после завершения проверки или если она была остановлена раньше, и выберите экземпляр проверки, который вы хотите применить.
Нажмите кнопку "Применить" , чтобы вручную применить изменения. Если доступ пользователя был отклонен в ходе проверки, при нажатии Применить Microsoft Entra ID удаляет его членство или назначение приложения.
Состояние проверки изменяется с Завершено через промежуточные состояния, такие как Применение, и, наконец, к состоянию Результат применен. Все пользователи, отклоненные по результатам проверки, будут лишены членства в группах или назначений в приложениях в течение нескольких минут.
Применение вручную или автоматически результатов не влияет на группу, созданную в локальном каталоге. Если вы хотите изменить группу, которая создана в локальной среде, скачайте результаты и примените изменения к представлению группы в этом каталоге.
Примечание.
Некоторым отклоненным пользователям не удается применить к себе результаты. Ниже указаны сценарии, в которых могут произойти следующие события.
- Просмотр участников синхронизированной локальной группы Windows Server AD: если группа синхронизируется из локальной среды Windows Server AD, группа не может управляться в идентификаторе Microsoft Entra ID и поэтому членство невозможно изменить.
- Проверка ресурса (роли, группы, приложения) с назначенными вложенными группами: для пользователей, входящих во вложенную группу, членство во вложенной группе не будет удалено, поэтому у них останется доступ к проверяемому ресурсу.
- Пользователь не найден или другие ошибки также могут привести к тому, что результат применения не будет поддерживаться.
- Просмотр участников группы с поддержкой почты: группу нельзя управлять в идентификаторе Microsoft Entra, поэтому членство нельзя изменить.
- Рассмотрение приложения, использующего назначение группы, не приведет к удалению участников этих групп, поэтому они сохранят существующий доступ, связанный с назначением приложения через группу.
Действия, предпринятые в связи с гостевыми пользователями, которым было отказано в доступе при проверке.
При создании проверки автор может выбрать один из двух вариантов для гостевых пользователей, которым отказано в проверке доступа.
- Отклоненным гостевым пользователям может быть отозван доступ к ресурсу. Это параметр по умолчанию.
- Отклоненному гостевому пользователю можно заблокировать вход в систему на период в 30 дней, а затем удалить его из арендатора. В течение 30-дневного периода гостевой пользователь может восстановить доступ к арендатору с помощью администратора. После завершения 30-дневного периода, если гостевой пользователь вновь не получил доступ к ресурсу, они будут удалены из клиента навсегда. Кроме того, с помощью Центра администрирования Microsoft Entra глобальный администратор может окончательно удалить недавно удаленного пользователя до окончания этого периода. После окончательного удаления пользователя данные об этом гостевом пользователе удаляются из активных проверок доступа. Сведения аудита об удаленных пользователях остаются в журнале аудита.
Действия в отношении отклонённых пользователей с прямым соединением B2B
Отказано в подключении пользователей и команд B2B к прямому подключению, и они теряют доступ ко всем общим каналам в команде.