Sdílet prostřednictvím

Dokončení kontroly přístupu skupin a aplikací v kontrolách přístupu

  • Článek

Jako správce vytvoříte kontrolu přístupu skupin nebo aplikací a revidujících provádí kontrolu přístupu. Tento článek popisuje, jak zobrazit výsledky kontroly přístupu a použít je.

Poznámka:

Tento článek obsahuje postup odstranění osobních údajů ze zařízení nebo služby a dá se použít k podpoře vašich povinností v rámci GDPR. Obecné informace o GDPR naleznete v části GDPR Centra zabezpečení společnosti Microsoft a části GDPR Service Trust Portal.

Požadavky

  • Zásady správného řízení ID Microsoft Entra ID P2 nebo Microsoft Entra ID
  • Globální správce, správce uživatelů nebo správce zásad správného řízení identit ke správě přístupu k kontrolům skupin a aplikací Uživatelé, kteří mají roli globálního správce nebo roli Správce privilegovaných rolí, mohou spravovat kontroly skupin, které je možné přiřadit role, viz: Použití skupin Microsoft Entra ke správě přiřazení rolí
  • Čtenáři zabezpečení mají přístup ke čtení.

Další informace najdete v tématu: Licenční požadavky.

Zobrazení stavu kontroly přístupu

Podle následujících kroků můžete sledovat průběh kontrol přístupu při jejich dokončení.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte na >identit.

  3. V seznamu vyberte kontrolu přístupu.

    Na stránce Přehled uvidíte průběh aktuální instance recenze. Pokud v tuto chvíli není otevřená aktivní instance, zobrazí se informace o předchozí instanci. V adresáři nejsou změněna žádná přístupová práva, dokud se kontrola nedokončila.

    Kontrola skupiny Všech společností

    Všechna okna v části Aktuální se dají zobrazit jenom během doby trvání každé instance kontroly.

    Poznámka:

    I když kontrola aktuálního přístupu zobrazuje jenom informace o aktivní instanci kontroly, můžete získat informace o kontrolách, které se ještě nevedou v řadě v části Naplánovaná kontrola.

    Na stránce Výsledky najdete další informace o jednotlivých uživatelích, kteří si prohlédnou instanci, včetně možnosti Zastavit, Resetovat a Stáhnout výsledky.

    Kontrola přístupu hostů napříč skupinami Microsoftu 365

    Pokud si prohlížíte kontrolu přístupu, která kontroluje přístup hostů napříč skupinami Microsoftu 365, zobrazí se v podokně Přehled všechny skupiny v revizi.

    Kontrola přístupu hostů napříč skupinami Microsoftu 365

    Vyberte skupinu, abyste viděli průběh kontroly v této skupině, a to také pro zastavení, resetování, použití a odstranění.

    Podrobná kontrola přístupu hostů napříč skupinami Microsoftu 365

  4. Pokud chcete ukončit kontrolu přístupu před dosažením plánovaného koncového data, vyberte tlačítko Zastavit .

    Když kontrolu zastavíte, revidujícím už nebudou moct poskytovat odpovědi. Po zastavení se recenze nedá restartovat.

  5. Pokud už nemáte zájem o kontrolu přístupu, můžete ji odstranit kliknutím na tlačítko Odstranit .

Zobrazení stavu vícefázové kontroly (Preview)

Zobrazení stavu a fáze kontroly přístupu ve vícefázové fázi:

  1. Vyberte vícefázovou kontrolu, u které chcete zkontrolovat stav nebo zjistit, v jaké fázi je.

  2. V levé navigační nabídce v části Aktuální vyberte Výsledky.

  3. Jakmile budete na stránce s výsledky, v části Stav se dozvíte, ve které fázi je kontrola ve více fázích. Další fáze kontroly se neaktivuje, dokud doba trvání zadaná během nastavení kontroly přístupu neprojde.

  4. Pokud se rozhodnete, ale doba trvání kontroly pro tuto fázi ještě nevypršela, můžete na stránce výsledků vybrat tlačítko Zastavit aktuální fázi . Tím se aktivuje další fáze kontroly.

Načtení výsledků

Pokud chcete zobrazit výsledky kontroly, vyberte stránku Výsledky . Pokud chcete zobrazit jen přístup nějakého uživatele, do vyhledávacího pole zadejte zobrazované jméno nebo hlavní název uživatele (UPN), jehož přístup byl zkontrolován.

Načtení výsledků pro kontrolu přístupu

Pokud chcete zobrazit výsledky dokončené instance kontroly přístupu, která se opakuje, vyberte Zkontrolovat historii a pak v seznamu dokončených instancí kontroly přístupu vyberte konkrétní instanci na základě počátečního a koncového data instance. Výsledky této instance jsou dostupné na stránce Výsledky. Opakované kontroly přístupu umožňují mít konstantní přehled o přístupu k prostředkům, které můžou být potřeba aktualizovat častěji než jednorázové kontroly přístupu.

Pokud chcete načíst výsledky kontroly přístupu, jak probíhá, tak i dokončeno, vyberte tlačítko Stáhnout . Výsledný soubor CSV lze zobrazit v Excelu nebo v jiných programech, které otevřou soubory CSV s kódováním UTF-8.

Načtení výsledků prostřednictvím kódu programu

Výsledky kontroly přístupu můžete načíst také pomocí Microsoft Graphu nebo PowerShellu.

Nejprve budete muset vyhledat instanci kontroly přístupu. Pokud accessReviewScheduleDefinition je opakovaná kontrola přístupu, instance představují každé opakování. Kontrola, která se opakuje, obsahuje přesně jednu instanci. Instance také představují každou jedinečnou skupinu kontrolovanou v definici plánu. Pokud definice plánu zkontroluje více skupin, každá skupina má pro každé opakování jedinečnou instanci. Každá instance obsahuje seznam rozhodnutí, se kterými můžou revidujícím provádět akce s jedním rozhodnutím na základě kontrolované identity.

Jakmile instanci identifikujete, aby se rozhodnutí načetla pomocí Graphu, zavolejte rozhraní Graph API k výpisu rozhodnutí z instance. Pokud je instance vícefázovou kontrolou, zavolejte rozhraní Graph API k výpisu rozhodnutí z vícefázové kontroly přístupu. Volající musí být buď uživatelem v příslušné roli s aplikací, která má delegovaná AccessReview.Read.All oprávnění, AccessReview.ReadWrite.All nebo aplikaci s oprávněním nebo AccessReview.Read.All aplikaci s oprávněním AccessReview.ReadWrite.All aplikace. Další informace najdete v kurzu o kontrole skupiny zabezpečení.

Rozhodnutí můžete načíst také v PowerShellu Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision pomocí rutiny Microsoft Graph PowerShellu pro modul zásad správného řízení identit. Výchozí velikost stránky tohoto rozhraní API je 100 položek rozhodování.

Použití změn

Pokud bylo na základě vašich výběrů v nastavení Po dokončení povolené automatické použití výsledků na prostředek, automaticky se spustí, jakmile se instance kontroly dokončí nebo dříve, pokud kontrolu zastavíte ručně.

Pokud u prostředku nebyla povolena možnost Automatické použití výsledků pro kontrolu, přejděte po skončení doby trvání kontroly nebo se kontrola zastavila včas a vyberte instanci kontroly, kterou chcete použít.

Použití změn kontroly přístupu

Pokud chcete změny použít ručně, vyberte Použít . Pokud byl přístup uživatele v revizi odepřen, při výběru možnosti Použít odebere ID Microsoft Entra své členství nebo přiřazení aplikace.

Tlačítko Použít kontrolu přístupu

Stav kontroly se změní z Dokončeno prostřednictvím přechodných stavů, jako je použití a nakonec na výsledek stavu. Měli byste očekávat, že se během několika minut odeberou odebraní uživatelé z členství ve skupině nebo přiřazení aplikace.

Ruční nebo automatické použití výsledků nemá vliv na skupinu, která pochází z místního adresáře. Pokud chcete změnit skupinu, která pochází z místního prostředí, stáhněte si výsledky a použijte tyto změny na reprezentaci skupiny v tomto adresáři.

Poznámka:

Někteří odepření uživatelé nemůžou mít u nich použité výsledky. Mezi scénáře, kdy k tomu může dojít, patří:

  • Kontrola členů synchronizované místní skupiny Windows Server AD: Pokud je skupina synchronizovaná z místní služby Windows Server AD, nelze skupinu spravovat v MICROSOFT Entra ID, a proto nelze členství změnit.
  • Kontrola prostředku (role, skupiny, aplikace) s přiřazenými vnořenými skupinami: Pro uživatele, kteří mají členství prostřednictvím vnořené skupiny, neodebereme jejich členství do vnořené skupiny, a proto si zachovají přístup ke kontrole prostředku.
  • Uživatel nebyl nalezen / jiné chyby můžou také vést k tomu, že se nepodporuje výsledek použití.
  • Kontrola členů skupiny s povolenými e-maily: Skupinu nelze spravovat v MICROSOFT Entra ID, takže členství nelze změnit.
  • Kontrola aplikace, která používá přiřazení skupiny, neodebere členy těchto skupin, takže si zachovají stávající přístup ze vztahu skupiny pro přiřazení aplikace.

Akce provedené při odepření uživatelů typu host v kontrole přístupu

Při vytváření kontroly kontroly si tvůrce může vybrat mezi dvěma možnostmi odepření uživatelů typu host v kontrole přístupu.

  • Odepření uživatelům typu host může být odebrán přístup k prostředku. Toto je výchozí nastavení.
  • Odepření uživatele typu host může být zablokováno přihlášení po dobu 30 dnů a potom odstraněno z tenanta. Během 30denního období může uživatel typu host obnovit přístup k tenantovi správcem. Po uplynutí 30denního období, pokud uživatel typu host neměl přístup k prostředku uděleného mu znovu, odebere se z tenanta trvale. Kromě toho může globální správce pomocí Centra pro správu Microsoft Entra explicitně trvale odstranit nedávno odstraněného uživatele před dosažením daného časového období. Po trvalém odstranění uživatele se data o daném uživateli typu host odeberou z aktivních kontrol přístupu. Informace o auditování o odstraněných uživatelích zůstávají v protokolu auditu.

Akce provedené při odepření uživatelů přímého připojení B2B

Zamítnuto B2B přímé připojení uživatelů a týmů ztratí přístup ke všem sdíleným kanálům v týmu.

Další kroky