Поделиться через

Проверка доступа к группам и приложениям в проверках доступа

  • Статья

Идентификатор Microsoft Entra упрощает управление доступом к группам и приложениям в идентификаторе Microsoft Entra и других веб-службах Майкрософт с помощью функции проверки доступа. В этой статье описывается, как назначенный рецензент выполняет проверку доступа для членов группы или пользователей с доступом к приложению. Если вы хотите просмотреть доступ к пакету доступа, прочитайте Просмотр доступа к пакету в управлении полномочиями.

Выполнение проверки доступа с помощью портала "Мой доступ"

Можно проверить доступ к группам и приложениям через портал "Мой доступ". Мой доступ — это удобный для пользователей портал для предоставления, утверждения прав доступа и проверки необходимости в них.

Использование электронной почты для перехода к порталу "Мой доступ"

Внимание

При получении электронной почты могут быть задержки. В некоторых случаях может потребоваться до 24 часов. Добавьте MSSecurity-noreply@microsoft.com в список надежных получателей, чтобы убедиться, что получены все сообщения электронной почты.

  1. Найдите сообщение электронной почты от Майкрософт, предлагающее проверить доступ. Ниже приведен пример сообщения.

    Снимок экрана: пример сообщения электронной почты от корпорации Майкрософт для проверки доступа к группе.

  2. Щелкните ссылку Start review (Начать проверку), чтобы открыть проверку доступа.

Переход на портал "Мой доступ" напрямую

Вы также можете просмотреть свои ожидающие проверки доступа, открыв в браузере портал Мой доступ.

  1. Войдите на портал "Мой доступ" по ссылке https://myaccess.microsoft.com/.

  2. Выберите Проверки доступа в меню слева, чтобы просмотреть список назначенных вам ожидающих проверок доступа.

Проверка доступа для одного или нескольких пользователей

После открытия раздела "Мой доступ" в Группы и приложения вы сможете увидеть:

  • Имя — имя проверки доступа.
  • Срок проверки — дата выполнения проверки. После этой даты из проверяемой группы или приложения можно будет удалить пользователей, доступ которым был запрещен.
  • Ресурс — имя проверяемого ресурса.
  • Ход выполнения — количество проверенных пользователей относительно общего числа участников этого обзора доступа.

Выберите название проверки доступа, чтобы начать.

Снимок экрана: список ожидающих проверок доступа для приложений и групп.

После открытия проверки доступа отобразится список пользователей, подлежащих проверке доступа.

Примечание.

При запросе проверки собственного доступа страница будет выглядеть иначе. Дополнительные сведения см. в статье Проверка собственного доступа к группам или приложениям с помощью функции проверки доступа Azure AD.

Существует два способа утверждения или запрета доступа.

  • Вы можете вручную утвердить или запретить доступ одному или нескольким пользователям.
  • Вы можете принять рекомендации системы.

Проверка доступа вручную для одного или нескольких пользователей

  1. Просмотр списка пользователей и принятие решения о том, следует ли утверждать или отказывать в доступе.

  2. Выберите одного или нескольких пользователей, выберите кружок рядом с их именами.

  3. Выберите Утвердить или Запретить на панели.

    Если вы не уверены, что пользователь должен сохранить право доступа, можно нажать кнопку Не знаю. У пользователя сохранится право доступа, а ваш выбор будет записан в журналы аудита. Помните, что любая информация, которую вы предоставляете, доступна другим рецензентам. Они могут прочитать ваши комментарии и учесть их при просмотре запроса.

    Снимок экрана: список проверок открытого доступа для пользователей, доступ которых нужно проверить.

  4. Администратор проверки доступа может потребовать указать причину вашего решения в поле "Причина ", даже если причина не требуется. Вы по-прежнему можете указать причину своего решения. Сведения, которые вы включаете, доступны другим утверждающим для проверки.

  5. Выберите Отправить.

    Вы можете изменить свой ответ в любое время до окончания проверки доступа. Если вы хотите изменить ответ, выберите строку и обновите ответ. Например, можно утвердить ранее отклоненного пользователя или запретить ранее одобренного пользователя.

Внимание

  • Если пользователю отказано в доступе, он не удаляется немедленно. Пользователь удаляется по окончании периода проверки или после того, как администратор останавливает проверку.
  • При наличии нескольких рецензентов записывается последний отправленный ответ. Рассмотрим пример, в котором администратор назначает двух рецензентов: Алису и Боба. Алиса сначала открывает проверку доступа и утверждает запрос на доступ пользователя. До окончания периода проверки Боб открывает проверку доступа и запрещает доступ к тому же запросу, который ранее был утвержден Алисой. Последнее решение, запрещающее доступ, — это ответ, который записывается.

Проверка доступа на основе рекомендаций

Для упрощения и ускорения проверок доступа мы также предоставляем рекомендации, которые можно принять одиночным выбором. Существует два способа создания системой рекомендаций для рецензента. Один из методов — активность входа пользователя. Если пользователь неактивен в течение 30 дней или более, система рекомендует рецензенту запретить доступ.

Другой метод основан на доступе, который имеют коллеги пользователя. Если у пользователя нет такого же доступа, что и у их коллег, система рекомендует рецензенту запретить пользователю доступ.

Если у вас включен параметр Входы не выполнялись в течение 30 дней или Выброс однорангового узла, выполните эти действия, чтобы принять рекомендации:

  1. Выберите одного или нескольких пользователей и нажмите кнопку Принять рекомендации.

    Снимок экрана: список проверок открытого доступа с кнопкой

    Или чтобы принять рекомендации для всех непроверенных пользователей, убедитесь, что никто не выбран, а затем нажмите кнопку Принять рекомендации на верхней панели.

  2. Выберите Отправить, чтобы принять рекомендации.

Примечание.

При принятии рекомендаций предыдущие решения не изменяются.

Проверка доступа для одного или нескольких пользователей в ходе многоэтапной проверки доступа (предварительная версия)

Если администратор включил многоэтапные проверки доступа, то всего будет два или три этапа проверки. Каждый этап проверки имеет указанный рецензент.

Вы будете просматривать доступ вручную или принимать рекомендации на основе активности входа для этапа, на который вы назначены как рецензент.

Если вы являетесь рецензентом второго или третьего этапа, вы также увидите решения, принятые рецензентами на предыдущих этапах (если администратор включил этот параметр при создании проверки доступа). Решение, принятое рецензентом второго или третьего этапа, перезаписывает предыдущий этап. Таким образом, решение, которое принимает рецензент второго этапа, заменяет решение первого этапа. И решение рецензента третьего этапа заменяет решение второго этапа.

Снимок экрана: выбор пользователя для отображения результатов многоэтапной проверки доступа.

Утвердите или отклоните доступ, как описано в разделе Проверка доступа для одного или нескольких пользователей.

Примечание.

Следующий этап проверки станет активен по истечении времени, указанного при настройке проверки доступа. Если администратор считает, что этап выполнен, но срок проверки для этого этапа еще не истек, он может использовать кнопку "Остановить текущий этап " в обзоре проверки доступа в Центре администрирования Microsoft Entra. Эта операция закроет активный этап и начнет следующий этап.

Проверка доступа для пользователей B2B с прямым подключением к общим каналам в Teams и группам Microsoft 365 (предварительная версия)

Чтобы проверить доступ пользователей B2B с прямым соединением, выполните следующие шаги:

  1. В качестве рецензента вы должны получить сообщение по электронной почте с запросом на проверку доступа для команды или группы. Щелкните ссылку в сообщении электронной почты или перейдите непосредственно по адресу https://myaccess.microsoft.com/.

  2. Следуйте инструкциям в разделе Проверка доступа для одного или нескольких пользователей, чтобы принимать решения на утверждение или отклонение доступа пользователей к командам.

Примечание.

В отличие от внутренних пользователей и пользователей B2B для совместной работы, пользователи и команды с прямым подключением B2B не получают рекомендаций на основе данных о последнем входе для принятия решений при проведении проверки.

Если команда, которую вы проверяете, делится каналами, то все пользователи и команды с прямым подключением B2B, которые имеют доступ к этим общим каналам, включены в обзор. Это распространяется на пользователей службы совместной работы B2B и локальных пользователей. Если пользователю или команде с прямым соединением B2B в процессе проверки доступа запрещен доступ, пользователь теряет доступ ко всем общим каналам в команде. Дополнительные сведения о пользователях B2B с прямым соединением см. в статье B2B прямое соединение.

Настройте, что произойдет, если при проверке доступа не будут предприняты действия.

При настройке проверки доступа администратор может использовать дополнительные параметры, чтобы определить, что происходит, если рецензент не отвечает на запрос проверки доступа.

Администратор может настроить проверку таким образом, что если рецензенты не ответят до окончания периода проверки, для всех непроверенных пользователей будет принято автоматическое решение о предоставлении доступа. Сюда входит отказ в доступе к рассматриваемой группе или приложению.

Следующие шаги