Tworzenie przeglądu dostępu dla grup i aplikacji w usłudze Microsoft Entra ID.
Dostęp do grup i aplikacji dla pracowników i gości zmienia się w miarę upływu czasu. Aby zmniejszyć ryzyko związane z nieaktualnymi przypisaniami dostępu, administratorzy mogą używać identyfikatora Entra firmy Microsoft do tworzenia przeglądów dostępu dla członków grupy lub dostępu do aplikacji.
Właściciele grup microsoft 365 i zabezpieczeń mogą również używać identyfikatora Entra firmy Microsoft do tworzenia przeglądów dostępu dla członków grupy, o ile użytkownik z co najmniej rolą Administratora ładu tożsamości włącza ustawienie za pośrednictwem okienka Ustawienia przeglądów dostępu. Aby uzyskać więcej informacji na temat tych scenariuszy, zobacz Zarządzanie przeglądami dostępu.
Obejrzyj krótki film wideo z omówieniem włączania przeglądów dostępu.
W tym artykule opisano sposób tworzenia co najmniej jednego przeglądu dostępu dla członków grupy lub dostępu do aplikacji.
- Aby przejrzeć przypisania pakietów dostępu, zobacz konfigurowanie przeglądu dostępu w zarządzaniu upoważnieniami.
- Aby przejrzeć role zasobów platformy Azure lub usługi Microsoft Entra, zobacz Tworzenie przeglądu dostępu dla zasobów platformy Azure i ról usługi Microsoft Entra w usłudze Privileged Identity Management.
- Aby zapoznać się z przeglądami usługi PIM dla grup, zobacz tworzenie przeglądu dostępu usługi PIM dla grup.
Wymagania wstępne
Korzystanie z tej funkcji wymaga licencji microsoft Entra ID Governance lub Microsoft Entra Suite. Aby znaleźć odpowiednią licencję dla wymagań, zobacz Podstawy licencjonowania ładu w usłudze Microsoft Entra ID.
Jeśli przeglądasz dostęp do aplikacji, przed utworzeniem przeglądu zapoznaj się z artykułem dotyczącym przygotowania do przeglądu dostępu dostępu do aplikacji , aby upewnić się, że aplikacja jest zintegrowana z identyfikatorem Microsoft Entra w dzierżawie.
Uwaga
Przeglądy dostępu przechwytują migawkę dostępu na początku każdego wystąpienia przeglądu. Wszelkie zmiany wprowadzone podczas procesu przeglądu zostaną odzwierciedlone w kolejnym cyklu przeglądu. Zasadniczo wraz z rozpoczęciem każdego nowego cyklu, istotne dane dotyczące użytkowników, zasobów w ramach przeglądu i ich odpowiednich recenzentów są pobierane.
Uwaga
W przeglądzie grupy zagnieżdżone grupy zostaną automatycznie spłaszczone, więc użytkownicy z zagnieżdżonych grup będą wyświetlani jako użytkownicy indywidualni. Jeśli użytkownik jest oflagowany do usunięcia ze względu na członkostwo w zagnieżdżonej grupie, nie zostanie automatycznie usunięty z grupy zagnieżdżonej, ale tylko z bezpośredniego członkostwa w grupie.
Tworzenie przeglądu dostępu jednoetapowego
Scope
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.
Przejdź do strony Przeglądy dostępu do ładu>tożsamości.
Wybierz pozycję Nowy przegląd dostępu, aby utworzyć nowy przegląd dostępu.
W polu Wybierz, co chcesz przejrzeć, wybierz zasób, który chcesz przejrzeć.
W przypadku wybrania pozycji Teams + Grupy masz dwie opcje:
Wszystkie grupy platformy Microsoft 365 z użytkownikami-gośćmi: wybierz tę opcję, jeśli chcesz utworzyć cykliczne przeglądy dla wszystkich użytkowników-gości we wszystkich grupach usługi Microsoft Teams i platformy Microsoft 365 w organizacji. Grupy dynamiczne i grupy z możliwością przypisywania ról nie są uwzględniane. Możesz również wykluczyć poszczególne grupy, wybierając pozycję Wybierz grupy do wykluczenia.
Wybierz pozycję Teams + groups (Zespoły i grupy): wybierz tę opcję, jeśli chcesz określić skończony zestaw zespołów lub grup do przejrzenia. Po prawej stronie zostanie wyświetlona lista grup do wyboru.
W przypadku wybrania pozycji Aplikacje wybierz co najmniej jedną aplikację.
Uwaga
Wybranie wielu grup lub aplikacji powoduje utworzenie wielu przeglądów dostępu. Jeśli na przykład wybierzesz pięć grup do przejrzenia, wynik będzie mieć pięć oddzielnych przeglądów dostępu.
Teraz możesz wybrać zakres przeglądu. Możliwe opcje to:
- Tylko użytkownicy-goście: ta opcja ogranicza przegląd dostępu tylko do użytkowników-gości microsoft Entra B2B w katalogu.
- Wszyscy: ta opcja określa zakres przeglądu dostępu do wszystkich obiektów użytkownika skojarzonych z zasobem.
Uwaga
Jeśli wybrano opcję Wszystkie grupy platformy Microsoft 365 z użytkownikami-gośćmi, jedyną opcją jest przejrzenie tylko użytkowników-gości.
Jeśli przeprowadzasz przegląd członkostwa w grupie, możesz utworzyć przeglądy dostępu tylko dla nieaktywnych użytkowników w grupie. W sekcji Zakres użytkowników zaznacz pole wyboru obok pozycji Nieaktywni użytkownicy (na poziomie dzierżawy). Jeśli zaznaczysz to pole wyboru, zakres przeglądu koncentruje się tylko na nieaktywnych użytkownikach, tych, którzy nie zalogowali się interaktywnie lub nieinterakcyjnie do dzierżawy. Następnie określ dni nieaktywne z wieloma dniami nieaktywnymi do 730 dni (dwa lata). Użytkownicy w grupie nieaktywni przez określoną liczbę dni są jedynymi użytkownikami w przeglądzie.
Uwaga
Nie ma to wpływu na ostatnio utworzonych użytkowników podczas konfigurowania czasu braku aktywności. Przegląd dostępu sprawdzi, czy użytkownik został utworzony w skonfigurowanym przedziale czasu i zlekceważy użytkowników, którzy nie istnieli przez co najmniej ten czas. Jeśli na przykład ustawisz czas braku aktywności na 90 dni, a użytkownik-gość został utworzony lub zaproszony mniej niż 90 dni temu, użytkownik-gość nie będzie w zakresie przeglądu dostępu. Dzięki temu użytkownik może zalogować się co najmniej raz przed usunięciem.
Wybierz pozycję Dalej: Recenzje.
Dalej: Przeglądy
Możesz utworzyć przegląd jednoetapowy lub wieloetapowy. Aby zapoznać się z przeglądem pojedynczego etapu, przejdź tutaj. Aby utworzyć przegląd dostępu wieloetapowego, wykonaj kroki opisane w artykule Tworzenie przeglądu dostępu wieloetapowego
W sekcji Określanie recenzentów w polu Wybierz recenzentów wybierz jedną lub więcej osób do podejmowania decyzji w przeglądach dostępu. Dostępne są następujące opcje:
- Właściciele grupy: ta opcja jest dostępna tylko w przypadku przeglądu w zespole lub grupie.
- Wybrani użytkownicy lub grupy
- Użytkownicy przeglądają własny dostęp
- Menedżerowie użytkowników
Jeśli wybierzesz pozycję Menedżerowie użytkowników lub właścicieli grupy, możesz również określić rezerwowego recenzenta. Recenzenci rezerwowi są proszeni o przejrzenie, gdy użytkownik nie ma menedżera określonego w katalogu lub jeśli grupa nie ma właściciela.
Uwaga
W przeglądzie dostępu do zespołu lub grupy tylko właściciele grup (w momencie rozpoczęcia przeglądu) są traktowani jako recenzenci. W trakcie przeglądu, jeśli lista właścicieli grup zostanie zaktualizowana, nowi właściciele grup nie będą traktowani jako recenzenci, a także starzy właściciele grup będą nadal traktowani jako recenzenci. Jednak w przypadku cyklicznego przeglądu wszelkie zmiany na liście właścicieli grup zostaną uwzględnione w następnym wystąpieniu tego przeglądu.
Ważne
W przypadku przeglądów dostępu usługi PIM dla grup (wersja zapoznawcza) podczas wybierania właściciela grupy jako recenzenta należy przypisać co najmniej jednego rezerwowego recenzenta. Przegląd przypisze tylko aktywnych właścicieli jako recenzentów. Uprawnieni właściciele nie są uwzględniani. Jeśli nie ma aktywnych właścicieli po rozpoczęciu przeglądu, recenzenci rezerwowi zostaną przypisani do przeglądu.
W sekcji Określanie cyklu przeglądu określ następujące opcje:
Czas trwania (w dniach): jak długo recenzja jest otwarta dla danych wejściowych od recenzentów.
Data rozpoczęcia: kiedy rozpoczyna się seria przeglądów.
Data zakończenia: po zakończeniu serii przeglądów. Można określić, że wartość Nigdy się nie kończy. Możesz też wybrać pozycję Zakończ w określonej dacie lub Na końcu po liczbie wystąpień.
Wybierz pozycję Dalej: Ustawienia.
Uwaga
Podczas tworzenia przeglądu dostępu można określić datę rozpoczęcia, ale czas rozpoczęcia może się różnić kilka godzin w zależności od przetwarzania systemu. Jeśli na przykład tworzysz przegląd dostępu o godzinie 03:00 UTC w dniu 09.09.09, który ma zostać uruchomiony w dniu 09/12, przegląd zostanie zaplanowany na uruchomienie o godzinie 03:00 UTC w dniu rozpoczęcia, ale może zostać opóźniony z powodu przetwarzania systemu.
Możesz określić datę rozpoczęcia, ale czas rozpoczęcia może się różnić w zależności od przetwarzania systemu.
Dalej: Ustawienia
W sekcji Ustawienia po zakończeniu możesz określić, co się stanie po zakończeniu przeglądu.
Automatycznie zastosuj wyniki do zasobu: zaznacz to pole wyboru, jeśli chcesz, aby dostęp użytkowników, którym odmówiono automatycznego usuwania po zakończeniu trwania przeglądu. Jeśli opcja jest wyłączona, należy ręcznie zastosować wyniki po zakończeniu przeglądu. Aby dowiedzieć się więcej na temat stosowania wyników przeglądu, zobacz Zarządzanie przeglądami dostępu.
Jeśli recenzenci nie odpowiadają: użyj tej opcji, aby określić, co się stanie dla użytkowników, którzy nie przejdą przez żadnego recenzenta w okresie przeglądu. To ustawienie nie ma wpływu na użytkowników, którzy zostali przejrzeni przez recenzenta. Lista rozwijana zawiera następujące opcje:
- Brak zmian: pozostawia dostęp użytkownika bez zmian.
- Usuwanie dostępu: usuwa dostęp użytkownika.
- Zatwierdzanie dostępu: zatwierdza dostęp użytkownika.
- Rekomendacje: przyjmuje zalecenie systemu, aby odrzucić lub zatwierdzić stały dostęp użytkownika.
Ostrzeżenie
Jeśli ustawienia Jeśli recenzenci nie odpowiadają , zostanie ustawiona opcja Usuń dostęp lub Zastosuj zalecenia i Automatycznie zastosuj wyniki do zasobu jest włączona, cały dostęp do tego zasobu może zostać potencjalnie odwołany, jeśli recenzenci nie będą odpowiadać.
Akcja stosowana dla odrzuconych użytkowników-gości: ta opcja jest dostępna tylko wtedy, gdy przegląd dostępu ma zakres, aby uwzględnić tylko użytkowników-gości, aby określić, co się stanie z użytkownikami-gośćmi, jeśli zostaną odrzucone przez recenzenta lub przez ustawienie Jeśli recenzenci nie odpowiadają .
- Usuń członkostwo użytkownika z zasobu: ta opcja usuwa odrzucony dostęp użytkownika-gościa do przeglądanej grupy lub aplikacji. Nadal mogą zalogować się do dzierżawy i nie utracą żadnego innego dostępu.
- Zablokuj użytkownikowi możliwość logowania przez 30 dni, a następnie usuń użytkownika z dzierżawy: ta opcja uniemożliwia użytkownikowi-gościowi zalogowanie się do dzierżawy, niezależnie od tego, czy mają dostęp do innych zasobów. Jeśli ta akcja została podjęta w błędzie, administratorzy mogą przywrócić dostęp użytkownika-gościa w ciągu 30 dni od wyłączenia użytkownika-gościa. Jeśli po 30 dniach nie zostanie podjęta żadna akcja dla wyłączonego użytkownika-gościa, zostaną one usunięte z dzierżawy.
Aby dowiedzieć się więcej na temat najlepszych rozwiązań dotyczących usuwania użytkowników-gości, którzy nie mają już dostępu do zasobów w organizacji, zobacz Używanie Zarządzanie tożsamością Microsoft Entra do przeglądania i usuwania użytkowników zewnętrznych, którzy nie mają już dostępu do zasobów.
Uwaga
Akcja stosowana dla odrzuconych użytkowników-gości nie jest konfigurowalna w przypadku przeglądów o zakresie większym niż użytkownicy-goście. Nie można również konfigurować przeglądów wszystkich grup platformy Microsoft 365 z użytkownikami-gośćmi. Jeśli nie można skonfigurować, domyślna opcja usunięcia członkostwa użytkownika z zasobu jest używana dla odrzuconych użytkowników.
Użyj opcji Wyślij powiadomienie na koniec przeglądu, aby wysyłać powiadomienia do innych użytkowników lub grup z aktualizacjami ukończenia. Ta funkcja umożliwia osobom biorącym udział w projekcie innym niż twórca przeglądu zaktualizowanie postępu przeglądu. Aby użyć tej funkcji, wybierz pozycję Wybierz użytkowników lub grupy , a następnie dodaj innego użytkownika lub grupę, dla której chcesz otrzymać stan ukończenia.
W sekcji Włączanie pomocników podejmowania decyzji dotyczących przeglądu wybierz, czy recenzent ma otrzymywać zalecenia podczas procesu przeglądu:
- Jeśli wybierzesz pozycję Nie zalogujesz się w ciągu 30 dni, zaleca się zatwierdzenie użytkowników, którzy zalogowali się w ciągu ostatnich 30 dni. Użytkownicy, którzy nie zalogowali się w ciągu ostatnich 30 dni, zaleca się odmowę. Ten 30-dniowy interwał jest niezależnie od tego, czy logowania były interaktywne, czy nie. Ostatnia data logowania dla określonego użytkownika będzie również wyświetlana wraz z zaleceniem.
- W przypadku wybrania pozycji Przynależność użytkownika do grupy recenzenci otrzymają zalecenie zatwierdzenia lub odmowy dostępu dla użytkowników na podstawie średniej odległości użytkownika w strukturze raportowania organizacji. Użytkownicy, którzy są daleko od wszystkich innych użytkowników w grupie, są uważane za "niską przynależność" i otrzymają zalecenie odmowy w przeglądach dostępu grupy.
Uwaga
Jeśli tworzysz przegląd dostępu na podstawie aplikacji, rekomendacje są oparte na 30-dniowym okresie interwału w zależności od tego, kiedy użytkownik po raz ostatni zalogował się do aplikacji, a nie dzierżawy.
W sekcji Ustawienia zaawansowane możesz wybrać następujące opcje:
Wymagane uzasadnienie: zaznacz to pole wyboru, aby wymagać od recenzenta podania przyczyny zatwierdzenia lub odmowy.
Powiadomienia e-mail: zaznacz to pole wyboru, aby identyfikator entra firmy Microsoft wysyłał powiadomienia e-mail do recenzentów po rozpoczęciu przeglądu dostępu i administratorom po zakończeniu przeglądu.
Przypomnienia: zaznacz to pole wyboru, aby identyfikator Entra firmy Microsoft wysyłał przypomnienia o przeglądach dostępu w toku do wszystkich recenzentów. Recenzenci otrzymują przypomnienia w połowie przeglądu, niezależnie od tego, czy zakończyli przegląd, czy nie.
Dodatkowa zawartość wiadomości e-mail recenzenta: zawartość wiadomości e-mail wysyłanej do recenzentów jest automatycznie generowana na podstawie szczegółów przeglądu, takich jak nazwa przeglądu, nazwa zasobu i data ukończenia. Jeśli chcesz przekazać więcej informacji, możesz określić szczegóły, takie jak instrukcje lub informacje kontaktowe w polu. Wprowadzone informacje są uwzględniane w zaproszeniu, a wiadomości e-mail z przypomnieniami są wysyłane do przypisanych recenzentów. Sekcja wyróżniona na poniższej ilustracji pokazuje, gdzie są wyświetlane te informacje.
Wybierz opcję Dalej: przejrzyj + utwórz.
Dalej: Przejrzyj i utwórz
Nadaj nazwę przeglądowi dostępu. Opcjonalnie nadaj przeglądowi opis. Nazwa i opis są wyświetlane recenzentom.
Przejrzyj informacje i wybierz pozycję Utwórz.
Tworzenie przeglądu dostępu wieloetapowego
Przegląd wieloetapowy umożliwia administratorowi zdefiniowanie dwóch lub trzech zestawów recenzentów w celu ukończenia przeglądu po drugim. W jednym etapie przeglądu wszyscy recenzenci podjąć decyzję w tym samym okresie, a ostatni recenzent do podjęcia decyzji, ma zastosowanie ich decyzja. W wieloetapowym przeglądzie dwa lub trzy niezależne zestawy recenzentów podjąć decyzję we własnym etapie. Etapy są sekwencyjne, a następny etap nie nastąpi, dopóki decyzja nie zostanie zarejestrowana na poprzednim etapie. Przeglądy wieloetapowe mogą służyć do zmniejszenia obciążenia dla recenzentów późniejszych etapów, umożliwienia eskalacji recenzentów lub umożliwienia niezależnej grupy recenzentów uzgadniania decyzji.
Uwaga
Dane użytkowników zawarte w przeglądach dostępu wieloetapowego są częścią rekordu inspekcji na początku przeglądu. Administratorzy mogą usuwać dane w dowolnym momencie, usuwając serię przeglądów dostępu wieloetapowego. Aby uzyskać ogólne informacje na temat RODO i ochrony danych użytkowników, zobacz sekcję RODO w Centrum zaufania firmy Microsoft i rodo w portalu zaufania usług.
Po wybraniu zasobu i zakresu przeglądu przejdź do karty Przeglądy .
Zaznacz pole wyboru obok pozycji Przegląd wieloetapowy.
W obszarze Przegląd pierwszego etapu wybierz recenzentów z menu rozwijanego obok pozycji Wybierz recenzentów.
Jeśli wybierzesz pozycję Właściciele grupy lub Menedżerowie użytkowników, możesz dodać recenzenta rezerwowego. Aby dodać rezerwowy element, wybierz pozycję Wybierz recenzentów rezerwowych i dodaj użytkowników, którzy mają być recenzentami rezerwowymi.
Dodaj czas trwania pierwszego etapu. Aby dodać czas trwania, wprowadź liczbę w polu obok pozycji Czas trwania etapu (w dniach). Jest to liczba dni, w których pierwszy etap ma być otwarty dla recenzentów pierwszego etapu w celu podejmowania decyzji.
W obszarze Przegląd drugiego etapu wybierz recenzentów z menu rozwijanego obok pozycji Wybierz recenzentów. Ci recenzenci zostaną poproszeni o przejrzenie po zakończeniu przeglądu pierwszego etapu.
W razie potrzeby dodaj wszystkich recenzentów rezerwowych.
Dodaj czas trwania drugiego etapu.
Domyślnie podczas tworzenia przeglądu wieloetapowego są widoczne dwa etapy. Można jednak dodać maksymalnie trzy etapy. Jeśli chcesz dodać trzeci etap, wybierz pozycję + Dodaj etap i wypełnij wymagane pola.
Możesz zezwolić recenzentom drugiego i drugiego etapu na wyświetlanie decyzji podjętych w poprzednich etapach. Jeśli chcesz zezwolić im na wyświetlanie decyzji podjętych wcześniej, wybierz pole obok pozycji Pokaż poprzednie etapy decyzji do późniejszego etapu recenzentów w obszarze Ujawniaj wyniki przeglądu. Pozostaw pole niezaznaczone, aby wyłączyć to ustawienie, jeśli chcesz, aby recenzenci przejrzeli niezależnie.
Czas trwania każdego cyklu jest ustawiony na sumę dni trwania określonych na każdym etapie.
Określ cykl przeglądu, datę rozpoczęcia i datę zakończenia przeglądu. Typ cyklu musi być co najmniej tak długi, jak całkowity czas trwania cyklu (czyli maksymalny czas trwania cotygodniowego cyklu przeglądu wynosi 7 dni).
Aby określić, które przeglądy będą kontynuowane od etapu do etapu, wybierz jedną lub wiele z następujących opcji obok pozycji Określ recenzje, aby przejść do następnego etapu :
- Zatwierdzone recenzy — tylko te, które zostały zatwierdzone, przechodzą do następnego etapu.
- Odrzucone recenzy — tylko recenzy, którym odmówiono, przechodzą do następnego etapu.
- Nie przeglądane recenzje — tylko recenzje, które nie zostały poddane przeglądowi, zostaną przeniesione do następnego etapu.
- Recenzje oznaczone jako "Don't Know" — tylko recenzje oznaczone jako "Nie wiem" przechodzą do następnego etapu.
- Wszystko: wszyscy przechodzą do następnego etapu, jeśli chcesz, aby wszystkie etapy recenzentów podjął decyzję.
Przejdź do karty ustawienia i zakończ pozostałe ustawienia i utwórz recenzję. Postępuj zgodnie z instrukcjami w sekcji Dalej: Ustawienia.
Uwzględnij użytkowników i zespoły, które uzyskują bezpośredni dostęp do kanałów udostępnionych usługi Teams w przeglądach dostępu, dołączanie użytkowników i zespołów do bezpośredniego połączenia B2B
Możesz tworzyć przeglądy dostępu dla użytkowników B2B direct connect za pośrednictwem kanałów udostępnionych w usłudze Microsoft Teams. Podczas współpracy zewnętrznej możesz użyć przeglądów dostępu firmy Microsoft Entra, aby upewnić się, że dostęp zewnętrzny do udostępnionych kanałów pozostaje aktualny. Użytkownicy zewnętrzni w kanałach udostępnionych są nazywani bezpośrednimi użytkownikami połączenia B2B. Aby dowiedzieć się więcej o udostępnionych kanałach usługi Teams i bezpośrednim połączeniu B2B użytkowników, przeczytaj artykuł B2B direct connect .
Podczas tworzenia przeglądu dostępu w zespole z udostępnionymi kanałami recenzenci mogą przeglądać dalsze potrzeby dostępu tych użytkowników zewnętrznych i aplikacji Teams w kanałach udostępnionych. Możesz przejrzeć dostęp użytkowników B2B connect i innych obsługiwanych użytkowników współpracy B2B i użytkowników wewnętrznych innych niż B2B w tej samej recenzji.
Uwaga
Obecnie usługa B2B bezpośrednio łączy użytkowników i zespoły są uwzględniane tylko w przeglądach jednoetapowych. Jeśli przeglądy wieloetapowe są włączone, bezpośredni dostęp B2B łączy użytkowników i zespołów nie zostanie uwzględniony w przeglądzie dostępu.
Użytkownicy i zespoły połączone bezpośrednio B2B są uwzględniane w przeglądach dostępu grupy platformy Microsoft 365 z obsługą usługi Teams, do których należą udostępnione kanały. Aby utworzyć recenzję, musisz mieć co najmniej rolę administratora użytkowników lub administratora ładu tożsamości.
Skorzystaj z poniższych instrukcji, aby utworzyć przegląd dostępu w zespole z udostępnionymi kanałami:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.
Przejdź do strony Przeglądy dostępu do ładu>tożsamości.
Wybierz pozycję + Nowy przegląd dostępu.
Wybierz pozycję Zespoły i grupy , a następnie wybierz pozycję Wybierz zespoły i grupy , aby ustawić zakres Przegląd. Bezpośrednie łączenie użytkowników i zespołów B2B nie jest uwzględniane w recenzjach wszystkich grup platformy Microsoft 365 z użytkownikami-gośćmi.
Wybierz zespół, który udostępnił kanały udostępnione 1 lub więcej bezpośrednich użytkowników lub aplikacji Teams B2B.
Ustaw zakres.
- Wybierz pozycję Wszyscy użytkownicy , aby uwzględnić:
- Wszyscy użytkownicy wewnętrzni
- Użytkownicy współpracy B2B, którzy są członkami zespołu
- Bezpośrednie łączenie użytkowników B2B
- Zespoły, które uzyskują dostęp do kanałów udostępnionych
- Możesz też wybrać opcję Użytkownicy-goście tylko , aby uwzględnić tylko użytkowników korzystających z połączeń bezpośrednich B2B oraz użytkowników usługi Teams i współpracy B2B.
- Wybierz pozycję Wszyscy użytkownicy , aby uwzględnić:
Przejdź do karty Przeglądy. Wybierz recenzenta, aby ukończyć przegląd, a następnie określ cykl Czas trwania i Przegląd.
Uwaga
- Jeśli ustawisz opcję Wybierz recenzentów na Użytkownicy przeglądają własny dostęp lub Menedżerowie użytkowników, usługa B2B direct connect użytkowników i usługa Teams nie będzie mogła przeglądać własnego dostępu w dzierżawie. Właściciel zespołu w ramach przeglądu otrzyma wiadomość e-mail z prośbą właściciela o przejrzenie użytkownika połączenia bezpośredniego B2B i aplikacji Teams.
- Jeśli wybierzesz pozycję Menedżerowie użytkowników, wybrany recenzent rezerwowy będzie przeglądać dowolnego użytkownika bez menedżera w dzierżawie macierzystej. Obejmuje to bezpośrednie połączenie B2B użytkowników i aplikacji Teams bez menedżera.
Przejdź do karty Ustawienia i skonfiguruj dodatkowe ustawienia. Następnie przejdź do karty Przeglądanie i tworzenie , aby rozpocząć przegląd dostępu. Aby uzyskać bardziej szczegółowe informacje na temat tworzenia przeglądu i ustawień konfiguracji, zobacz artykuł Create a single-stage access review (Tworzenie dostępu jednoetapowego).
Zezwalaj właścicielom grup na tworzenie przeglądów dostępu grup i zarządzanie nimi
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.
Przejdź do pozycji Ustawienia przeglądów>dostępu do ładu>tożsamości.
Na stronie Delegowanie, którzy mogą tworzyć przeglądy dostępu i zarządzać nimi, ustaw opcję Właściciele grupy mogą tworzyć przeglądy dostępu dla grup będących właścicielami grupy i zarządzać nimi na wartość Tak.
Uwaga
Domyślnie ustawienie ma wartość Nie. Aby zezwolić właścicielom grup na tworzenie przeglądów dostępu i zarządzanie nimi, zmień ustawienie na Tak.
Programowe tworzenie przeglądu dostępu
Możesz również utworzyć przegląd dostępu przy użyciu programu Microsoft Graph lub programu PowerShell.
Aby utworzyć przegląd dostępu przy użyciu programu Graph, wywołaj interfejs API programu Graph, aby utworzyć definicję harmonogramu przeglądu dostępu. Obiekt wywołujący musi być użytkownikiem odpowiedniej roli z aplikacją z uprawnieniami delegowanymi AccessReview.ReadWrite.All
lub aplikacją z AccessReview.ReadWrite.All
uprawnieniami aplikacji. Aby uzyskać więcej informacji, zobacz Omówienie interfejsów API przeglądów dostępu i samouczków dotyczących sposobu przeglądania członków grupy zabezpieczeń lub przeglądania gości w grupach platformy Microsoft 365.
Możesz również utworzyć przegląd dostępu w programie PowerShell za pomocą New-MgIdentityGovernanceAccessReviewDefinition
polecenia cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance . Aby uzyskać więcej informacji, zobacz przykłady.
Po rozpoczęciu przeglądu dostępu
Po określeniu ustawień przeglądu dostępu i jego utworzeniu przegląd dostępu zostanie wyświetlony na liście ze wskaźnikiem jego stanu.
Domyślnie identyfikator Entra firmy Microsoft wysyła wiadomość e-mail do recenzentów wkrótce po jednorazowym przejrzeniu lub cyklu cyklicznego przeglądu. Jeśli nie chcesz, aby identyfikator Entra firmy Microsoft wysłał wiadomość e-mail, pamiętaj, aby poinformować recenzentów, że przegląd dostępu czeka na ukończenie. Możesz wyświetlić instrukcje dotyczące przeglądania dostępu do grup lub aplikacji. Jeśli twoja recenzja jest dla gości do przeglądania własnego dostępu, pokaż im instrukcje dotyczące przeglądania dostępu dla siebie do grup lub aplikacji.
Jeśli goście zostali przypisani jako recenzenci i nie zaakceptowali zaproszenia do dzierżawy, nie otrzymają wiadomości e-mail z przeglądów dostępu. Muszą najpierw zaakceptować zaproszenie, zanim będą mogli rozpocząć przeglądanie.
Aktualizowanie przeglądu dostępu
Po rozpoczęciu co najmniej jednego przeglądu dostępu możesz zmodyfikować lub zaktualizować ustawienia istniejących przeglądów dostępu. Poniżej przedstawiono kilka typowych scenariuszy, które należy wziąć pod uwagę:
Ustawienia aktualizacji lub recenzenci: jeśli przegląd dostępu jest cykliczny, istnieją oddzielne ustawienia w obszarze Bieżące i w obszarze Seria. Aktualizowanie ustawień lub recenzentów w obszarze Bieżące dotyczy tylko zmian w bieżącym przeglądzie dostępu. Aktualizowanie ustawień w obszarze Seria aktualizuje ustawienia dla wszystkich przyszłych cykli.
Dodawanie i usuwanie recenzentów: podczas aktualizowania przeglądów dostępu można dodać rezerwowego recenzenta oprócz podstawowego recenzenta. Recenzenci podstawowi mogą zostać usunięci podczas aktualizowania przeglądu dostępu. Recenzenci rezerwowi nie są wymienni zgodnie z projektem.
Uwaga
Recenzentów rezerwowych można dodawać tylko wtedy, gdy typ recenzenta jest menedżerem lub właścicielem grupy. Recenzentów podstawowych można dodawać, gdy typ recenzenta jest wybranym użytkownikiem.
Przypomnij recenzentom: podczas aktualizowania przeglądów dostępu możesz włączyć opcję Przypomnienia w obszarze Ustawienia zaawansowane. Użytkownicy otrzymują następnie powiadomienie e-mail w połowie okresu przeglądu, niezależnie od tego, czy zakończyli przegląd, czy nie.
Uwaga
Po zainicjowaniu przeglądu dostępu możesz użyć wywołania interfejsu API contactedReviewers , aby wyświetlić listę wszystkich powiadamianych recenzentów lub osoby, które byłyby wyłączone, za pośrednictwem poczty e-mail na potrzeby przeglądu dostępu. Sygnatury czasowe dotyczące tego, kiedy ci użytkownicy zostali powiadomieni, są również udostępniane.
Następne kroki
- Ukończ przegląd dostępu grup lub aplikacji
- Tworzenie przeglądu dostępu usługi PIM dla grup (wersja zapoznawcza)
- Przeglądanie dostępu do grup lub aplikacji
- Przeglądanie dostępu dla siebie do grup lub aplikacji
- Tworzenie przeglądu dostępu dla zasobów platformy Azure i ról usługi Microsoft Entra w usłudze PIM