Vytvoření kontroly přístupu přístupového balíčku ve správě nároků
Pokud chcete snížit riziko zastaralého přístupu, měli byste povolit pravidelné kontroly uživatelů, kteří mají aktivní přiřazení k přístupovém balíčku ve správě nároků. Kontroly můžete povolit při vytváření nového přístupového balíčku nebo úpravě existujících zásad přiřazení přístupového balíčku. Tento článek popisuje, jak povolit kontroly přístupu pro přístupové balíčky.
Požadavky
Použití této funkce vyžaduje zásady správného řízení Microsoft Entra ID nebo licence sady Microsoft Entra Suite. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu základy licencování zásad správného řízení Microsoft Entra ID.
Vytvoření kontroly přístupu přístupového balíčku
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Kontroly přístupu můžete povolit při vytváření nového přístupového balíčku nebo úpravě existujících zásad přiřazení přístupového balíčku. Pokud máte více zásad, pro různé komunity uživatelů, kteří chtějí požádat o přístup, můžete mít pro každou zásadu nezávislé plány kontroly přístupu. Pokud chcete povolit kontroly přístupu přiřazení přístupového balíčku, postupujte takto:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.
Přejděte na Stránku zásad správného řízení>accessu.
Pokud chcete vytvořit novou zásadu přístupu, vyberte Nový přístupový balíček.
Pokud chcete upravit existující zásady přístupu, vyberte v nabídce vlevo přístupové balíčky a otevřete přístupový balíček, který chcete upravit. Potom v nabídce vlevo vyberte Zásady a vyberte zásadu, která má nastavení životního cyklu, která chcete upravit.
Otevřete kartu Životní cyklus pro zásady přiřazení přístupového balíčku a určete, kdy vyprší platnost přiřazení uživatele k přístupovém balíčku. Můžete také určit, jestli uživatelé můžou svá přiřazení rozšířit.
V části Vypršení platnosti nastavte vypršení platnosti přiřazení balíčku accessu na datum, počet dní, počet hodin nebo nikdy.
Jako datum vyberte datum vypršení platnosti v budoucnu.
Pro počet dní zadejte číslo mezi 0 a 3660 dny.
Pro počet hodin zadejte počet hodin.
Na základě vašeho výběru vyprší platnost přiřazení uživatele k přístupovém balíčku k určitému datu, určitému počtu dnů po schválení nebo nikdy.
Pokud chcete zobrazit další nastavení, vyberte Zobrazit upřesňující nastavení vypršení platnosti.
Pokud chcete uživatelům povolit rozšíření přiřazení, nastavte Možnost Povolit uživatelům rozšířit přístup na ano.
Pokud jsou v zásadách povolená rozšíření, uživatel obdrží e-mail 14 dní a také jeden den před nastavením přiřazení přístupového balíčku k vypršení platnosti a vyzve ho k prodloužení přiřazení. Uživatel musí být stále v rozsahu zásad v době, kdy požádá o rozšíření. Pokud má zásada explicitní koncové datum pro přiřazení a uživatel odešle žádost o rozšíření přístupu, musí být datum rozšíření v žádosti před vypršením platnosti přiřazení, jak je definováno v zásadě, která byla použita k udělení přístupu k přístupovém balíčku uživateli. Pokud například zásada značí, že platnost přiřazení vyprší 30. června, maximální rozšíření, které může uživatel požádat, je 30. června.
Pokud je přístup uživatele rozšířený, nebude moct požádat o přístupový balíček po zadaném datu rozšíření (datum nastavené v časovém pásmu uživatele, který zásadu vytvořil).
Pokud chcete vyžadovat schválení pro udělení rozšíření, nastavte možnost Vyžadovat schválení, aby bylo rozšíření uděleno ano.
Použije se stejné nastavení schválení, které jste zadali na kartě Žádosti.
Dále přesuňte přepínač Vyžadovat kontroly přístupu na Ano.
Zadejte datum, kdy recenze začínají vedle položky Začít.
V dalším kroku nastavte frekvenci revizí na ročně, ročně, čtvrtletně nebo měsíčně. Toto nastavení určuje, jak často dochází ke kontrolám přístupu.
Nastavte dobu trvání tak, aby se definovalo, kolik dní je každé revize opakující se řady otevřené pro vstup od revidujících. Můžete například naplánovat roční kontrolu, která začíná 1. ledna a je otevřená pro kontrolu po dobu 30 dnů, aby revidujícím mohli odpovědět do konce měsíce.
Pokud chcete, aby uživatelé provedli vlastní kontrolu přístupu, vyberte vedle revidujících možnost Vlastní kontrola nebo pokud chcete určit revidujícím konkrétní revidujícím. Pokud chcete určit nadřízený, aby byl revidujícím správcem, můžete také vybrat správce. Pokud vyberete tuto možnost, musíte přidat záložní kopii, aby se kontrola přeposlala v případě, že se správce v systému nenajde.
Pokud jste vybrali konkrétní revidujícím, určete, kteří uživatelé kontrolují přístup:
- Vyberte Přidat revidujícím.
- V podokně Vybrat revidujících vyhledejte a vyberte uživatele, které chcete být revidujícím.
- Po výběru revidujících vyberte tlačítko Vybrat .
Pokud jste vybrali Správce, zadejte záložní revidujícím:
- Vyberte Přidat záložní revidujícím.
- V podokně Vybrat náhradní revidujícím vyhledejte a vyberte uživatele, které chcete být náhradními revidujícím pro nadřízený revidujícím.
- Po výběru záložních revidujících vyberte tlačítko Vybrat .
Můžete nakonfigurovat další upřesňující nastavení. Pokud chcete nakonfigurovat další upřesňující nastavení kontroly přístupu, vyberte Zobrazit upřesňující nastavení kontroly přístupu:
Pokud chcete určit, co se stane s přístupem uživatelů, když revidujícím neodpoví, vyberte Možnost Pokud revidujícím neodpoví, a pak vyberte jednu z těchto možností:
- Pokud nechcete, aby se o přístupu uživatelů rozhodovalo, žádná změna .
- Pokud chcete odebrat přístup uživatelů, odeberte přístup .
- Doporučení využijte, pokud se chcete rozhodnout na základě doporučení z MyAccessu.
Pokud chcete zobrazit doporučení systému, vyberte Zobrazit pomocné rutiny pro rozhodování revidujícího. Doporučení systému jsou založená na aktivitě uživatelů. Kontroloři uvidí jedno z následujících doporučení:
- schvalte kontrolu, pokud se uživatel přihlásil alespoň jednou během posledních 30 dnů.
- Odepřete kontrolu, pokud se uživatel během posledních 30 dnů nepřihlásil.
Pokud chcete, aby kontrolor sdílel důvody svého rozhodnutí o schválení, vyberte Vyžadovat odůvodnění revidujících. Jejich odůvodnění je viditelné ostatním kontrolorům a žadateli.
Pokud vytváříte nový přístupový balíček, vyberte Zkontrolovat a vytvořit nebo vyberte další . Pokud upravujete přístupový balíček, vyberte možnost Aktualizovat v dolní části stránky.
Zobrazení stavu kontroly přístupu
Po počátečním datu bude kontrola přístupu uvedená v části Kontroly přístupu. Stav kontroly přístupu zobrazíte takto:
V části Zásady správného řízení identit vyberte Přístupové balíčky a pak vyberte přístupový balíček se stavem kontroly přístupu, který chcete zkontrolovat.
Jakmile budete v přehledu přístupového balíčku, vyberte v nabídce vlevo kontroly Accessu.
Zobrazí se seznam obsahující všechny zásady, které mají přidružené kontroly přístupu. Výběrem kontroly zobrazíte její sestavu.
Když sestavu zobrazíte, zobrazí se počet kontrolovaných uživatelů a akce provedené revidujícím.
Access kontroluje e-mailová oznámení
Můžete určit revidujícím, nebo si uživatelé můžou jejich přístup prohlédnout sami. Ve výchozím nastavení microsoft Entra ID pošle revidujícím nebo vlastním recenzentům e-mail krátce po zahájení kontroly.
E-mail obsahuje pokyny, jak zkontrolovat přístup k přístupovým balíčkům. Pokud je kontrola určená uživatelům ke kontrole přístupu, přečtěte si pokyny k provedení samoobslužné kontroly přístupových balíčků.
Pokud jste uživatelům typu host přiřadili jako revidující a nepřijmou pozvánku hosta Microsoft Entra, nebudou dostávat e-maily z kontrol přístupu. Než dostanou e-maily, musí nejdřív přijmout pozvánku a vytvořit účet s ID Microsoft Entra.
Poznámka:
I když je cyklus kontroly otevřený, revidujícím se můžou kdykoli změnit rozhodnutí o kontrole přístupu. V polovině kontroly přístupu se revidujícímu stále posílá e-mail s připomenutím s upozorněním, že cyklus kontroly přístupu je stále otevřený.