Udostępnij za pośrednictwem

Tworzenie przeglądu pakietu dostępu w zarządzaniu uprawnieniami

  • Artykuł

Aby zmniejszyć ryzyko przestarzałego dostępu, należy włączyć okresowe przeglądy użytkowników, którzy mają aktywne przypisania do pakietu dostępu w zarządzaniu uprawnieniami. Przeglądy można włączyć podczas tworzenia nowego pakietu dostępu lub edytowania istniejących zasad przypisywania pakietów dostępu. W tym artykule opisano sposób włączania przeglądów dostępu dla pakietów dostępu.

Wymagania wstępne

Korzystanie z tej funkcji wymaga licencji microsoft Entra ID Governance lub Microsoft Entra Suite. Aby znaleźć odpowiednią licencję dla twoich wymagań, zobacz Podstawy licencjonowania zarządzania w usłudze Microsoft Entra ID.

Tworzenie przeglądu uprawnień pakietu dostępu

Przeglądy dostępu można włączyć podczas tworzenia nowego pakietu dostępu lub edytowania istniejących zasad przypisywania pakietów dostępu. Jeśli masz wiele zasad, dla różnych społeczności użytkowników, którzy mogą żądać dostępu, możesz mieć niezależne harmonogramy przeglądu dostępu dla poszczególnych zasad. Wykonaj następujące kroki, aby włączyć przeglądy dostępów dla przydziałów pakietu dostępu:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako Administrator zarządzania tożsamościami.

  2. Przejdź do Zarządzanie tożsamościami>Przeglądy dostępu>Pakiet dostępu.

  3. Aby utworzyć nowe zasady dostępu, wybierz pozycję Nowy pakiet dostępu .

  4. Aby edytować istniejące zasady dostępu, w menu po lewej stronie wybierz pozycję Pakiety dostępu i otwórz pakiet dostępu, który chcesz edytować. Następnie w menu po lewej stronie wybierz pozycję Zasady i wybierz zasady, które mają ustawienia cyklu życia, które chcesz edytować.

  5. Otwórz kartę Cykl życia zasad przypisywania pakietu dostępu, aby określić, kiedy wygasa przypisanie użytkownika do pakietu dostępu. Możesz również określić, czy użytkownicy mogą rozszerzać swoje przypisania.

  6. W sekcji Wygaśnięcie, ustaw, kiedy przydziały pakietów Access wygasną, na Datę, Liczbę dni, Liczbę godzin lub Nigdy.

    W obszarze Data wybierz datę wygaśnięcia w przyszłości.

    W polu Liczba dni określ liczbę z zakresu od 0 do 3660 dni.

    W polu Liczba godzin określ liczbę godzin.

    Na podstawie wyboru przypisanie użytkownika do pakietu dostępu wygasa w określonym dniu, pewną liczbę dni po jego/jej zatwierdzeniu lub nigdy.

    Pakiet dostępu — ustawienia wygasania cyklu życia

  7. Wybierz pozycję Pokaż zaawansowane ustawienia wygasania, aby wyświetlić inne ustawienia.

  8. Aby zezwolić użytkownikowi na rozszerzanie swoich przypisań, ustaw opcję Zezwalaj użytkownikom na rozszerzanie dostępu na wartość Tak.

    Jeśli w zasadach dozwolone są rozszerzenia, użytkownik otrzymuje wiadomość e-mail na 14 dni oraz jeden dzień przed wygaśnięciem przypisania pakietu dostępu, zachęcając go do przedłużenia przypisania. Użytkownik musi nadal znajdować się w zakresie zasad w momencie żądania rozszerzenia. Ponadto jeśli zasady mają jawną datę zakończenia przypisań, a użytkownik przesyła żądanie rozszerzenia dostępu, data rozszerzenia w żądaniu musi być na lub przed wygaśnięciem przydziałów zgodnie z definicją w zasadach, które zostały użyte do udzielenia użytkownikowi dostępu do pakietu dostępu. Jeśli na przykład zasady wskazują, że przypisania mają wygasnąć 30 czerwca, maksymalne rozszerzenie, którego użytkownik może zażądać, to 30 czerwca.

    Jeśli dostęp użytkownika zostanie rozszerzony, nie będzie mógł zażądać pakietu dostępu po określonej dacie rozszerzenia (data ustawiona w strefie czasowej użytkownika, który utworzył zasady).

  9. Aby wymagać zatwierdzenia w celu udzielenia rozszerzenia, ustaw opcję Wymagaj zatwierdzenia, aby udzielić rozszerzenia na wartość Tak.

    Zostaną użyte te same ustawienia zatwierdzania, które zostały określone na karcie Żądania.

  10. Następnie przenieś przełącznik wymagaj przeglądów dostępu na Tak.

    Dodawanie przeglądu dostępu

  11. Określ datę rozpoczęcia przeglądów obok pozycji Rozpocznij od.

  12. Następnie ustaw częstotliwość przeglądu na Rocznie, Co pół roku, Kwartalnie lub Miesięcznie. To ustawienie określa, jak często występują przeglądy dostępu.

  13. Ustaw czas trwania, aby zdefiniować, ile dni każda recenzja serii cyklicznej jest otwarta na wkład od recenzentów. Możesz na przykład zaplanować roczny przegląd, który rozpoczyna się 1 stycznia i jest otwarty do przeglądu przez 30 dni, tak aby recenzenci mieli czas do końca miesiąca, aby odpowiedzieć.

  14. Obok pozycji Recenzenci wybierz pozycję Samodzielna recenzja, jeśli chcesz, aby użytkownicy wykonali własny przegląd dostępu lub wybrali określonych recenzentów, jeśli chcesz wyznaczyć recenzenta. Możesz również wybrać pozycję Menedżer , jeśli chcesz wyznaczyć menedżera recenzenta jako recenzenta. Jeśli wybierzesz tę opcję, musisz dodać osobę rezerwową do przeglądu na wypadek, gdyby menedżer nie mógł zostać znaleziony w systemie.

  15. W przypadku wybrania określonych recenzentów określ, którzy użytkownicy wykonują przegląd dostępu:

    Wybierz opcję Dodaj recenzentów

    1. Wybierz pozycję Dodaj recenzentów.
    2. W oknie Wybieranie recenzentów wyszukaj i wybierz użytkowników, których chcesz uczynić recenzentami.
    3. Po wybraniu recenzentów wybierz przycisk Wybierz .

    Określanie recenzentów

  16. W przypadku wybrania opcji Menedżer określ recenzenta rezerwowego:

    1. Wybierz Dodaj recenzentów rezerwowych.
    2. W okienku Wybierz rezerwowych recenzentów wyszukaj i wybierz użytkowników, którzy mają być recenzentami rezerwowymi dla menedżera recenzenta.
    3. Po wybraniu recenzentów rezerwowych wybierz przycisk Wybierz .

    Dodawanie recenzentów rezerwowych

  17. Istnieją inne ustawienia zaawansowane, które można skonfigurować. Aby skonfigurować inne zaawansowane ustawienia przeglądu dostępu, wybierz pozycję Pokaż zaawansowane ustawienia przeglądu dostępu:

    1. Jeśli chcesz określić, co się stanie z dostępem użytkowników, gdy recenzent nie odpowie, wybierz pozycję Jeśli recenzenci nie odpowiadają, a następnie wybierz jedną z następujących pozycji:

      • Brak zmian , jeśli nie chcesz podjąć decyzji dotyczącej dostępu użytkowników.
      • Usuń dostęp , jeśli chcesz, aby dostęp użytkowników został usunięty.
      • Skorzystaj z zaleceń, jeśli chcesz podjąć decyzję na podstawie zaleceń z MyAccess.

      Dodawanie ustawień przeglądu dostępu zaawansowanego

    2. Jeśli chcesz zobaczyć zalecenia systemowe, wybierz pozycję Pokaż pomocników decyzyjnych recenzenta. Rekomendacje systemu są oparte na aktywności użytkowników. Recenzenci widzą jedną z następujących rekomendacji:

      • zatwierdź przegląd, jeśli użytkownik zalogował się co najmniej raz w ciągu ostatnich 30 dni.
      • odmówić przeglądu, jeśli użytkownik nie zalogował się w ciągu ostatnich 30 dni.

    3. Jeśli chcesz, aby recenzent podzielił się swoimi przyczynami decyzji o zatwierdzeniu, wybierz pozycję Wymagaj uzasadnienia recenzenta. Ich uzasadnienie jest widoczne dla innych recenzentów i osoby żądającej.

  18. Wybierz pozycję Przejrzyj i utwórz lub wybierz pozycję Dalej , jeśli tworzysz nowy pakiet dostępu. Wybierz pozycję Aktualizuj , jeśli edytujesz pakiet dostępu w dolnej części strony.

Wyświetlanie stanu przeglądu dostępu

Po dacie rozpoczęcia przegląd dostępu zostanie wyświetlony w sekcji Przeglądy dostępu. Wykonaj następujące kroki, aby wyświetlić stan przeglądu dostępu:

  1. W obszarze Zarządzanie tożsamościami wybierz pozycję Pakiety dostępu, a następnie wybierz pakiet dostępu ze stanem przeglądu dostępu, który chcesz sprawdzić.

  2. Po przejściu do przeglądu pakietu dostępu wybierz pozycję Przeglądy dostępu w menu po lewej stronie.

    Wybierz przeglądy dostępu

  3. Pojawi się lista zawierająca wszystkie polityki powiązane z przeglądami dostępu. Wybierz recenzję, aby wyświetlić raport.

    Lista przeglądów dostępu

  4. Po wyświetleniu raportu zostanie wyświetlona liczba przeglądanych użytkowników oraz akcje podjęte przez recenzenta.

    Wyświetlanie stanu przeglądu

Powiadomienia e-mail dotyczące przeglądów dostępu

Możesz wyznaczyć recenzentów lub użytkownicy mogą samodzielnie kontrolować swój dostęp. Domyślnie usługa Microsoft Entra ID będzie wysyłać wiadomość e-mail do recenzentów lub osób dokonujących samodzielnej recenzji wkrótce po rozpoczęciu przeglądu.

Wiadomość e-mail zawiera instrukcje dotyczące przeglądania dostępu do pakietów dostępu. Jeśli przegląd jest przeznaczony dla użytkowników do przejrzenia dostępu, pokaż im instrukcje dotyczące samodzielnego przeglądu pakietów dostępu.

Jeśli użytkownicy-goście zostali przypisani jako recenzenci i nie zaakceptowali zaproszenia gościa firmy Microsoft Entra, nie otrzymają wiadomości e-mail z przeglądów dostępu. Muszą najpierw zaakceptować zaproszenie i utworzyć konto z identyfikatorem Microsoft Entra ID, zanim będą mogli otrzymywać wiadomości e-mail.

Uwaga

Chociaż cykl przeglądu jest otwarty, recenzenci zawsze mogą zmieniać decyzje dotyczące przeglądu dostępu. W połowie przeglądu dostępu, nawet jeśli recenzent podjął wcześniej decyzję, wiadomość e-mail z przypomnieniem jest nadal wysyłana do recenzentów z powiadomieniem o tym, że cykl przeglądu dostępu jest nadal otwarty.

Następne kroki