Udostępnij za pośrednictwem

Tworzenie przeglądu dostępu pakietu dostępu w zarządzaniu upoważnieniami

  • Artykuł

Aby zmniejszyć ryzyko nieaktualnego dostępu, należy włączyć okresowe przeglądy użytkowników, którzy mają aktywne przypisania do pakietu dostępu w zarządzaniu upoważnieniami. Przeglądy można włączyć podczas tworzenia nowego pakietu dostępu lub edytowania istniejących zasad przypisywania pakietów dostępu. W tym artykule opisano sposób włączania przeglądów dostępu dla pakietów dostępu.

Wymagania wstępne

Korzystanie z tej funkcji wymaga licencji microsoft Entra ID Governance lub Microsoft Entra Suite. Aby znaleźć odpowiednią licencję dla twoich wymagań, zobacz Podstawy licencjonowania zarządzania w usłudze Microsoft Entra ID.

Tworzenie przeglądu dostępu pakietu dostępu

Przeglądy dostępu można włączyć podczas tworzenia nowego pakietu dostępu lub edytowania istniejących zasad przypisywania pakietów dostępu. Jeśli masz wiele zasad, dla różnych społeczności użytkowników do żądania dostępu możesz mieć niezależne harmonogramy przeglądu dostępu dla poszczególnych zasad. Wykonaj następujące kroki, aby włączyć przeglądy dostępu przypisań pakietu dostępu:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

  2. Przejdź do strony Zarządzanie tożsamościami>> programu Access.

  3. Aby utworzyć nowe zasady dostępu, wybierz pozycję Nowy pakiet dostępu .

  4. Aby edytować istniejące zasady dostępu, w menu po lewej stronie wybierz pozycję Pakiety dostępu i otwórz pakiet dostępu, który chcesz edytować. Następnie w menu po lewej stronie wybierz pozycję Zasady i wybierz zasady, które mają ustawienia cyklu życia, które chcesz edytować.

  5. Otwórz kartę Cykl życia zasad przypisywania pakietu dostępu, aby określić, kiedy wygasa przypisanie użytkownika do pakietu dostępu. Możesz również określić, czy użytkownicy mogą rozszerzać swoje przypisania.

  6. W sekcji Wygaśnięcie ustaw opcję Przydziały pakietów programu Access wygasają na Data, Liczba dni, Liczba godzin lub Nigdy.

    W obszarze Data wybierz datę wygaśnięcia w przyszłości.

    W polu Liczba dni określ liczbę z zakresu od 0 do 3660 dni.

    W polu Liczba godzin określ liczbę godzin.

    Na podstawie wybranego wyboru przypisanie użytkownika do pakietu dostępu wygasa w określonym dniu, określoną liczbę dni po ich zatwierdzeniu lub nigdy.

    Pakiet dostępu — ustawienia wygasania cyklu życia

  7. Wybierz pozycję Pokaż zaawansowane ustawienia wygasania, aby wyświetlić inne ustawienia.

  8. Aby zezwolić użytkownikowi na rozszerzanie swoich przypisań, ustaw opcję Zezwalaj użytkownikom na rozszerzanie dostępu na wartość Tak.

    Jeśli rozszerzenia są dozwolone w zasadach, użytkownik otrzymuje wiadomość e-mail z 14 dni, a także jeden dzień przed wygaśnięciem przypisania pakietu dostępu, monitując go o rozszerzenie przypisania. Użytkownik musi nadal znajdować się w zakresie zasad w momencie żądania rozszerzenia. Ponadto jeśli zasady mają jawną datę zakończenia przypisań, a użytkownik przesyła żądanie rozszerzenia dostępu, data rozszerzenia w żądaniu musi być na lub przed wygaśnięciem przydziałów zgodnie z definicją w zasadach, które zostały użyte do udzielenia użytkownikowi dostępu do pakietu dostępu. Jeśli na przykład zasady wskazują, że przypisania mają wygasnąć 30 czerwca, maksymalne rozszerzenie, którego użytkownik może zażądać, to 30 czerwca.

    Jeśli dostęp użytkownika zostanie rozszerzony, nie będzie mógł zażądać pakietu dostępu po określonej dacie rozszerzenia (data ustawiona w strefie czasowej użytkownika, który utworzył zasady).

  9. Aby wymagać zatwierdzenia w celu udzielenia rozszerzenia, ustaw opcję Wymagaj zatwierdzenia, aby udzielić rozszerzenia na wartość Tak.

    Zostaną użyte te same ustawienia zatwierdzania, które zostały określone na karcie Żądania.

  10. Następnie przenieś przełącznik Wymagaj przeglądów dostępu do pozycji Tak.

    Dodawanie przeglądu dostępu

  11. Określ datę rozpoczęcia przeglądów obok pozycji Rozpocznij od.

  12. Następnie ustaw częstotliwość przeglądu na Roczna, Bi-roczna, Kwartalna lub Miesięczna. To ustawienie określa, jak często występują przeglądy dostępu.

  13. Ustaw czas trwania , aby zdefiniować, ile dni każda recenzja serii cyklicznej jest otwarta dla danych wejściowych od recenzentów. Możesz na przykład zaplanować roczny przegląd, który rozpoczyna się 1 stycznia i jest otwarty do przeglądu przez 30 dni, tak aby recenzenci mieli czas do końca miesiąca, aby odpowiedzieć.

  14. Obok pozycji Recenzenci wybierz pozycję Samodzielna recenzja, jeśli chcesz, aby użytkownicy wykonali własny przegląd dostępu lub wybrali określonych recenzentów, jeśli chcesz wyznaczyć recenzenta. Możesz również wybrać pozycję Menedżer , jeśli chcesz wyznaczyć menedżera recenzenta jako recenzenta. Jeśli wybierzesz tę opcję, musisz dodać rezerwowy powrót do przeglądu, aby w przypadku, gdy menedżer nie może zostać znaleziony w systemie.

  15. W przypadku wybrania określonych recenzentów określ, którzy użytkownicy wykonują przegląd dostępu:

    Wybieranie pozycji Dodaj recenzentów

    1. Wybierz pozycję Dodaj recenzentów.
    2. W okienku Wybieranie recenzentów wyszukaj i wybierz użytkowników, których chcesz być recenzentem.
    3. Po wybraniu recenzentów wybierz przycisk Wybierz .

    Określanie recenzentów

  16. W przypadku wybrania opcji Menedżer określ recenzenta rezerwowego:

    1. Wybierz pozycję Dodaj recenzentów rezerwowych.
    2. W okienku Wybierz rezerwowych recenzentów wyszukaj i wybierz użytkowników, którzy mają być recenzentami rezerwowymi dla menedżera recenzenta.
    3. Po wybraniu recenzentów rezerwowych wybierz przycisk Wybierz .

    Dodawanie recenzentów rezerwowych

  17. Istnieją inne ustawienia zaawansowane, które można skonfigurować. Aby skonfigurować inne zaawansowane ustawienia przeglądu dostępu, wybierz pozycję Pokaż zaawansowane ustawienia przeglądu dostępu:

    1. Jeśli chcesz określić, co się stanie z dostępem użytkowników, gdy recenzent nie odpowie, wybierz pozycję Jeśli recenzenci nie odpowiadają, a następnie wybierz jedną z następujących pozycji:

      • Brak zmian , jeśli nie chcesz podjąć decyzji dotyczącej dostępu użytkowników.
      • Usuń dostęp , jeśli chcesz, aby dostęp użytkowników został usunięty.
      • Podejmij zalecenia , jeśli chcesz podjąć decyzję na podstawie zaleceń z poziomu funkcji MyAccess.

      Dodawanie ustawień przeglądu dostępu zaawansowanego

    2. Jeśli chcesz zobaczyć zalecenia systemowe, wybierz pozycję Pokaż pomocników decyzyjnych recenzenta. Rekomendacje systemu są oparte na aktywności użytkowników. Recenzenci widzą jedną z następujących rekomendacji:

      • zatwierdź przegląd, jeśli użytkownik zalogował się co najmniej raz w ciągu ostatnich 30 dni.
      • odmówić przeglądu, jeśli użytkownik nie zalogował się w ciągu ostatnich 30 dni.

    3. Jeśli chcesz, aby recenzent podzielił się swoimi przyczynami decyzji o zatwierdzeniu, wybierz pozycję Wymagaj uzasadnienia recenzenta. Ich uzasadnienie jest widoczne dla innych recenzentów i osoby żądającej.

  18. Wybierz pozycję Przejrzyj i utwórz lub wybierz pozycję Dalej , jeśli tworzysz nowy pakiet dostępu. Wybierz pozycję Aktualizuj , jeśli edytujesz pakiet dostępu w dolnej części strony.

Wyświetlanie stanu przeglądu dostępu

Po dacie rozpoczęcia przegląd dostępu zostanie wyświetlony w sekcji Przeglądy dostępu. Wykonaj następujące kroki, aby wyświetlić stan przeglądu dostępu:

  1. W obszarze Zarządzanie tożsamościami wybierz pozycję Pakiety dostępu, a następnie wybierz pakiet dostępu ze stanem przeglądu dostępu, który chcesz sprawdzić.

  2. Po przejściu do przeglądu pakietu dostępu wybierz pozycję Przeglądy dostępu w menu po lewej stronie.

    Wybieranie przeglądów dostępu

  3. Zostanie wyświetlona lista zawierająca wszystkie zasady, które mają skojarzone przeglądy dostępu. Wybierz recenzję, aby wyświetlić raport.

    Lista przeglądów dostępu

  4. Po wyświetleniu raportu zostanie wyświetlona liczba przeglądanych użytkowników oraz akcje podjęte przez recenzenta.

    Wyświetlanie stanu przeglądu

Powiadomienia e-mail dotyczące przeglądów dostępu

Możesz wyznaczyć recenzentów lub użytkownicy mogą samodzielnie przeglądać dostęp. Domyślnie identyfikator Firmy Microsoft Entra będzie wysyłać wiadomość e-mail do recenzentów lub recenzentów wkrótce po rozpoczęciu przeglądu.

Wiadomość e-mail zawiera instrukcje dotyczące przeglądania dostępu do pakietów. Jeśli przegląd jest przeznaczony dla użytkowników do przejrzenia dostępu, pokaż im instrukcje dotyczące samodzielnego przeglądu pakietów dostępu.

Jeśli użytkownicy-goście zostali przypisani jako recenzenci i nie zaakceptowali zaproszenia gościa firmy Microsoft Entra, nie otrzymają wiadomości e-mail z przeglądów dostępu. Muszą najpierw zaakceptować zaproszenie i utworzyć konto z identyfikatorem Microsoft Entra ID, zanim będą mogli otrzymywać wiadomości e-mail.

Uwaga

Chociaż cykl przeglądu jest otwarty, recenzenci zawsze mogą zmieniać decyzje dotyczące przeglądu dostępu. W połowie przeglądu dostępu, nawet jeśli recenzent podjął wcześniej decyzję, wiadomość e-mail z przypomnieniem jest nadal wysyłana do recenzentów z powiadomieniem o tym, że cykl przeglądu dostępu jest nadal otwarty.

Następne kroki