Создание проверки доступа для групп и приложений в Microsoft Entra ID
Доступ сотрудников и гостей к группам и приложениям изменяется со временем. Чтобы снизить риск, связанный с устаревшими назначениями доступа, администраторы могут использовать идентификатор Microsoft Entra для создания проверок доступа для участников группы или доступа к приложениям.
Владельцы групп Microsoft 365 и владельцы групп безопасности также могут использовать Microsoft Entra ID для создания проверок доступа для участников группы, если пользователь с по крайней мере ролью администратора управления идентификацией включает параметр через панель параметров проверок доступа. Дополнительные сведения об этих сценариях см. в статье Управление проверками доступа.
Посмотрите короткое видео, в котором рассказывается о включении проверок доступа.
В этой статье описывается, как создать проверки доступа для участников группы или доступа к приложению.
- Чтобы просмотреть назначения пакетов доступа, см. настройку проверки доступа в управлении правами.
- Сведения о проверке ресурсов Azure или ролей Microsoft Entra см. в статье "Создание проверки доступа к ресурсам Azure и ролям Microsoft Entra в Управлении привилегированными идентичностями".
- Обзоры PIM для групп см. в статье о создании проверки доступа PIM для групп.
Предварительные условия
Для использования этой функции требуются лицензии Microsoft Entra ID Governance или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. основы лицензирования Microsoft Entra ID Governance.
Если вы просматриваете доступ к приложению, перед проведением обзора ознакомьтесь с статьей о подготовке проверки доступа пользователей к приложению, чтобы гарантировать, что приложение интегрировано с Microsoft Entra ID в вашем клиенте.
Примечание.
Проверки доступа фиксируют моментальный снимок доступа в начале каждого сеанса проверки. Любые изменения, внесенные во время процесса проверки, будут отражены в последующем цикле проверки. По сути, при начале каждого нового повторения извлекаются соответствующие данные о пользователях, ресурсах и их соответствующих рецензентах.
Примечание.
При проверке группы вложенные группы будут автоматически сплощены, поэтому пользователи из вложенных групп будут отображаться как отдельные пользователи. Если пользователь помечен для удаления из-за их членства в вложенной группе, он не будет автоматически удален из вложенной группы, а только из прямого членства в группах.
Создание одноэтапной проверки доступа
Область
Войдите в центр администрирования Microsoft Entra в качестве администратора управления удостоверениями.
Перейдите к управлению удостоверениями>проверкам доступа.
Щелкните Создать проверку доступа, чтобы создать проверку доступа.
В поле Выберите, что следует проверить выберите ресурс, который нужно проверить.
Если вы выбрали Команды и группы, у вас есть два варианта.
Все группы Microsoft 365 с гостевыми пользователями. Выберите этот параметр, если вы хотите создать повторяющиеся проверки для всех гостевых пользователей во всех группах Microsoft Teams и Microsoft 365 в вашей организации. Динамические группы и группы с назначением ролей не включаются. Чтобы исключить определенные группы, нажмите Выбрать группы для исключения.
Выберите команды и группы. Выберите этот параметр, если вы хотите указать конечный набор команд или групп для проверки. Список групп для выбора отображается справа.
Если вы выбрали Приложения, выберите одно приложение или несколько.
Примечание.
Выбор нескольких групп или приложений приводит к созданию нескольких проверок доступа. Например, если выбрать пять групп для проверки, это приведет к пяти отдельным проверкам доступа.
Теперь можно выбрать область для проверки. Можно выполнить следующие действия:
- Только гостевые пользователи: этот параметр ограничивает проверку доступа только гостевым пользователям Microsoft Entra B2B в вашем каталоге.
- Все. Выбор этого параметра ограничивает проверку доступа всеми объектами пользователей, связанными с ресурсом.
Примечание.
Если вы выбрали все группы Microsoft 365 с гостевыми пользователями, то ваш единственный вариант — проверить только гостевых пользователей.
Или если вы проводите проверку членства в группе, вы можете создать проверки доступа только для неактивных пользователей в группе. В разделе Область пользователей установите флажок Неактивные пользователи (на уровне арендатора). Если флажок установлен, область обзора сосредоточена только на неактивных пользователях, тех, кто не выполнил вход как в интерактивном, так и в неинтерактивном режиме для арендатора. Затем укажите количество неактивных дней до 730 дней (два года). Пользователи группы, которые были неактивны в течение указанного числа дней, являются единственными участниками проверки.
Примечание.
Недавно созданные пользователи не затрагиваются при настройке времени бездействия. Проверка доступа проверяет, был ли пользователь создан в настроенном временном интервале и игнорирует пользователей, которые не существовали по крайней мере в течение этого периода времени. Например, если задать время бездействия равным 90 дней, а гостевой пользователь был создан или приглашен менее 90 дней назад, на гостевого пользователя не будет распространяться проверка доступа. Это гарантирует, что пользователь сможет выполнить вход по крайней мере один раз перед удалением.
Выберите Далее: отзывы.
Далее: проверки
Вы можете создать одно- или многоэтапный обзор. Для одноэтапной проверки продолжайте здесь. Чтобы создать многоэтапную проверку доступа, выполните действия, описанные в разделе Создание многоэтапной проверки доступа
В разделе Укажите проверяющих в поле Выберите проверяющих выберите одного или нескольких пользователей, которые будут принимать решения при проверке доступа. Вы можете выбрать из следующих вариантов:
- Владелец(ы) группы. Этот вариант доступен только при проведении обзора в команде или группе.
- Выбранные пользователи или группы (Selected user(s) or groups(s))
- Пользователи проверяют собственный доступ
- Руководители пользователей
При выборе руководителей пользователей или владельцев групп вы также можете указать резервного проверяющего. Резервным проверяющим предлагается выполнить проверку, если у пользователя нет руководителя, указанного в каталоге, или группа не имеет владельца.
Примечание.
При проверке доступа к группе или группе только владельцы групп (во время начала проверки) считаются рецензентами. В ходе проверки, если список владельцев групп обновлен, новые владельцы групп не будут считаться рецензентами, а старые владельцы групп по-прежнему будут считаться рецензентами. Однако в случае для повторяющейся проверки любые изменения в списке владельцев групп будут рассматриваться при следующем проведении этой проверки.
Внимание
Для проверки доступа PIM для групп (предварительная версия), при выборе владельца группы в качестве рецензента, необходимо назначить как минимум одного резервного рецензента. Обзор будет назначать только активных владельцев в качестве рецензентов. Допустимые владельцы не включены. Если в начале проверки нет активных владельцев, резервные рецензенты будут назначены на проверку.
В разделе Указание повторения проверки укажите следующие значения:
Длительность (в днях): время, в течение которого проверка будет открыта для рецензентов.
Дата начала: время, когда начинается ряд проверок.
Дата окончания: время, когда завершается ряд проверок. Можно указать, что он никогда не заканчивается, Можно выбрать Завершить в определенную дату или Завершить после определенного числа повторений.
Выберите Далее: параметры.
Примечание.
При создании проверки доступа можно указать дату начала, но время начала может отличаться в течение нескольких часов в зависимости от системной обработки. Например, если вы создадите проверку доступа в 03:00 UTC 09/09, которая запланирована на выполнение 09/12, то проверка будет начата в 03:00 UTC в дату начала, но может быть отложена из-за системной обработки.
Вы можете указать дату начала, но время начала может отличаться в течение нескольких часов в зависимости от системной обработки.
Далее: параметры
В разделе Настройки после завершения можно указать, что происходит после завершения проверки.
Автоматически применять результаты к ресурсу. Установите этот флажок, если требуется автоматически блокировать доступ для запрещенных пользователей по окончании срока действия проверки. Если параметр отключен, необходимо вручную применить результаты после завершения проверки. Дополнительные сведения о применении результатов проверки см. в разделе об управлении проверками доступа.
Если рецензенты не отвечают. С помощью этого параметра укажите, что должно происходить с пользователями, которые не были проверены рецензентом в течение периода проверки. Этот параметр не влияет на пользователей, которые были проверены рецензентом. В раскрывающемся списке отображаются следующие параметры:
- Без изменений — доступ пользователя сохраняется без изменений.
- Удалить доступ — доступ пользователя блокируется.
- Утвердить доступ — доступ пользователя утверждается.
- Следовать рекомендациям: Следовать рекомендациям системы о запрете или утверждении продолжения доступа пользователя.
Предупреждение
Если параметр Если рецензенты не отвечают установлен на Удалить доступ или Принять рекомендации и Автоматически применять результаты к ресурсу включено, весь доступ к этому ресурсу потенциально может быть отменен, если рецензенты не смогут ответить.
Действие, которое будет применено к гостевым пользователям, которым было отказано в доступе. Этот параметр доступен лишь в том случае, если проверка доступа применяется только к гостевым пользователям, и позволяет указать, что будет происходит с гостевыми пользователями, для которых был заблокирован доступ (рецензентами или настройкой параметра Если рецензенты не отвечают).
- Удалить членство пользователя в ресурсе. Выбор этого варианта приведет к блокированию доступа гостевого пользователя к проверяемой группе или приложению. Они по-прежнему смогут войти в арендатора и не потеряют никакие другие права доступа.
- Заблокировать пользователю вход в систему на 30 дней, а затем удалить его из клиента. Выбор этого варианта приведет к блокировке входа заблокированного пользователя в клиент независимо от того, есть ли у него доступ к другим ресурсам. Если это действие было совершено по ошибке, администратор может повторно включить для гостевого пользователя доступ в течение 30 дней после его отключения. Если в течение 30 дней для отключенного пользователя не будут выполнены никакие действия, он будет удален из клиента.
Дополнительные сведения о рекомендациях по удалению гостевых пользователей, которые больше не имеют доступа к ресурсам в организации, см. в статье "Использование Управление идентификацией Microsoft Entra для проверки и удаления внешних пользователей, у которых больше нет доступа к ресурсам".
Примечание.
Действие, применяемое к отклоненным гостевым пользователям, не может быть настроено для проверок, охватывающих больше, чем просто гостевых пользователей. Кроме того, это также невозможно настроить для проверок всех групп Microsoft 365 с гостевыми пользователями. Когда невозможно настроить, для отклоненных пользователей используется параметр по умолчанию, который удаляет членство пользователя из ресурса.
С помощью функции После завершения проверки отправлять уведомление можно отправлять другим пользователям или группам уведомления с информацией о выполнении проверки Данная функция позволяет заинтересованным сторонам, за исключением автора обзора, получать информацию о ходе проверки. Чтобы использовать данную функцию, выберите Выбрать пользователей или группы и добавьте дополнительного пользователя или группу, для которых нужно получить статус завершения.
В разделе Включить вспомогательные приложения по принятию решений выберите, хотите ли вы, чтобы ваш рецензент получал рекомендации в процессе проверки:
- Если вы выберете Не входить в систему в течение 30 дней, пользователям, выполнившим вход в течение предыдущего 30-дневного периода, рекомендуется утвердить учетную запись. Пользователи, которые не входили в систему в течение последних 30 дней, рекомендуются к отказу в доступе. Этот 30-дневный период не зависит от того, были ли операции входа интерактивными. Вместе с рекомендацией отображается дата последнего входа указанного пользователя.
- Если выбрана принадлежность пользователей к группе, рецензенты получают рекомендацию утвердить или запретить доступ для пользователей на основе среднего расстояния пользователя в структуре отчетов организации. Пользователи, которые находятся далеко от всех остальных пользователей в группе, считаются обладающими "низким уровнем принадлежности" и получат рекомендацию об отказе в обзорах доступа к группе.
Примечание.
Если вы создаете проверку доступа на основе приложений, ваши рекомендации основываются на 30-дневном интервале с момента последнего входа пользователя в приложение, а не в арендатор.
В разделе Дополнительные параметры можно выбрать следующее:
Требуется обоснование. Установите этот флажок, чтобы требовать от рецензентов указывать причину утверждения или запрета.
Уведомления по электронной почте. Установите этот флажок, чтобы идентификатор Microsoft Entra ID отправлял Уведомления по электронной почте рецензентам при запуске проверки доступа и администраторам при завершении проверки.
Напоминания: Установите этот флажок, чтобы идентификатор Microsoft Entra ID отправлял напоминания о проверках доступа всем рецензентам. Рецензенты получают напоминания в процессе проверки независимо от того, завершили ли они ее.
Дополнительное содержимое для электронного сообщения рецензенту. Содержимое сообщения электронной почты, отправленного рецензентам, формируется автоматически на основе таких сведений о проверке, как имя проверки, имя ресурса и дата выполнения. Если требуется способ передачи дополнительных сведений, можно указать дополнительные инструкции или контактные данные в поле. Введенные сведения включаются в приглашения, и напоминания отправляются по электронной почте назначенным рецензентам. В разделе, выделенном на изображении ниже, показано, где отображаются эти сведения.
Выберите Далее: Просмотр + Создание.
Далее: проверка и создание
Назовите проверку доступа. При необходимости укажите описание проверки. Имя и описание отображаются для рецензентов.
Просмотрите сведения и щелкните Создать.
Создание многоэтапной проверки доступа
Многоэтапная проверка позволяет администратору определить два или три набора рецензентов, которые будут выполнять проверку последовательно. В одноэтапном обзоре все рецензенты принимают решение в течение одного периода, и решение последнего рецензента применяется. В многоэтапной проверке два или три независимых набора рецензентов принимают решение на своем собственном этапе. Этапы являются последовательными, и следующий этап не происходит до тех пор, пока решение не будет записано на предыдущем этапе. Многоэтапные проверки позволяют снизить нагрузку на последующих этапах проверки, обеспечить эскалацию или организовать согласованное принятие решений независимыми группами рецензентов.
Примечание.
Данные пользователей, включенные в многоэтапную проверку доступа, являются частью записи аудита в начале проверки. Администраторы могут удалить данные в любое время, удалив серию многоэтапной проверки доступа. Общие сведения о GDPR и защите данных пользователей см. в разделе, посвященном GDPR, в Центре управления безопасностью Майкрософт и на портале Service Trust Portal.
Выбрав ресурс и область проверки, перейдите на вкладку Проверки.
Установите флажок рядом с многоэтапной проверкой.
В разделе Первый этап проверки выберите рецензентов в раскрывающемся меню рядом с элементом Выберите проверяющих.
Если выбраны владельцы групп или руководители пользователей, то можно добавить резервного рецензента. Чтобы добавить резервных рецензентов, выберите Выбрать резервных рецензентов и добавьте пользователей, которых вы хотите назначить резервными рецензентами.
Укажите длительность первого этапа. Чтобы указать длительность, введите число в поле Длительность этапа (в днях). Это количество дней, в течение которых вы хотите, чтобы первый этап был доступен для рецензентов первого этапа для принятия решений.
В разделе Второй этап проверки выберите рецензентов в раскрывающемся меню рядом с элементом Выберите проверяющих. Эти рецензенты должны будут приступить к проверке после завершения первого этапа.
При необходимости добавьте резервных рецензентов.
Укажите длительность второго этапа.
По умолчанию при создании многоэтапной проверки отображается два этапа. Однако вы можете добавить третий этап. Чтобы добавить третий этап, выберите + Добавить этап и заполните обязательные поля.
Вы можете разрешить 2-му и 3-му рецензентам этапа видеть решения, принятые на предыдущем этапе. Если вы хотите разрешить им видеть решения, принятые на предыдущих этапах, установите флажок рядом с параметром "Показать решения предыдущих этапов для рецензентов последующих этапов" в разделе "Показать результаты проверки". Не устанавливайте этот флажок, если нужно, чтобы рецензенты проводили проверку независимо друг от друга.
Длительность каждого повторения определяется суммой продолжительности в днях, указанной в каждом этапе.
Заполните поля Повторение проверки, Дата начала и Дата окончания для проверки. Тип повторения должен быть как минимум равен общей длительности повторения (то есть максимальная длительность еженедельного повторения составляет 7 дней).
Чтобы указать, какие рецензируемые будут переходить с одного этапа на другой, выберите один или несколько из следующих параметров рядом с Указать рецензируемых для перехода на следующий этап:
- Утвержденные проверяемые — на следующие этапы переводятся только утвержденные проверяемые.
- Отклоненные проверяемые — на следующие этапы переводятся только отклоненные проверяемые.
- Не проверенные проверяемые — на следующие этапы переводятся только не проверенные проверяемые.
- Проверяемые, помеченные как "Не знаю": на следующие этапы переводятся только проверяемые, помеченные как "Не знаю".
- Все: все переходят на следующий этап, если вы хотите, чтобы рецензенты на всех этапах принимали решение.
Перейдите на вкладку Параметры, чтобы завершить настройку и создать проверку. Следуйте инструкциям в разделе Далее: параметры.
Включите пользователей и команды прямого соединения B2B, получающих доступ к общим каналам Teams, в проверки доступа
Вы можете создавать проверки доступа для пользователей с прямым соединением B2B через общие каналы в Microsoft Teams. При внешней совместной работе можно использовать проверки доступа Microsoft Entra, чтобы убедиться, что внешний доступ к общим каналам остается текущим. Внешние пользователи в общих каналах называются пользователями с прямым соединением B2B. Чтобы узнать больше об общих каналах Teams и пользователях с прямым соединением B2B, ознакомьтесь со статьей Прямое соединение B2B.
При создании проверки доступа для команды с общими каналами ваши рецензенты могут оценить сохраняющуюся необходимость в доступе таких внешних пользователей и команд в общих каналах. Вы можете выполнить проверку доступа для пользователей B2B Connect, других поддерживаемых пользователей для B2B сотрудничества и внутренних пользователей, которые не являются пользователями B2B, в рамках одного обзора.
Примечание.
В настоящее время пользователи и команды с прямым соединением B2B включаются только в одноэтапные проверки. Если включены многоэтапные проверки, пользователи и команды прямого подключения B2B не будут включены в проверку доступа.
Пользователи и команды с прямым соединением B2B включаются в проверки доступа группы Microsoft 365 с поддержкой Teams, в которую входят общие каналы. Чтобы создать отзыв, необходимо иметь по крайней мере роль администратора пользователей или администратора управления удостоверениями.
Используйте инструкции ниже, чтобы создать проверку доступа для команды с общими каналами:
Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора управления идентификацией.
Перейдите к управлению идентификацией>проверкам доступа.
Выберите + Новая проверка доступа.
Выберите Teams + Группы, а затем выберите Команды + Группы, чтобы задать Область проверки. Пользователи и группы с прямым соединением B2B не включаются в проверки всех групп Microsoft 365 с гостевыми пользователями.
Выберите команду, у которой есть общие каналы с одним или несколькими пользователями или командами с прямым соединением B2B.
Задайте значение для параметра Область.
- Выберите всех пользователей для включения:
- все внутренние пользователи;
- пользователи службы совместной работы B2B, являющиеся членами команды;
- пользователи с прямым соединением B2B;
- команды, использующие общие каналы.
- Или выберите Только гостевые пользователи, чтобы включить только пользователей и команды с прямым соединением B2B и пользователей службы совместной работы B2B.
- Выберите всех пользователей для включения:
Перейдите на вкладку Проверки. Выберите рецензента для выполнения проверки, а затем укажите значения для параметров Длительность и Частота проверки.
Примечание.
- Если для параметра Выбрать рецензентов задано значение Пользователи проверяют собственный доступ или Руководители пользователей, пользователи и команды с прямым соединением B2B не смогут проверять собственный доступ в вашем арендаторе. Владелец проверяемой команды получит электронное письмо с просьбой проверить пользователя B2B Direct Connect и Teams.
- Если выбрать Руководители пользователей, выбранный резервный рецензент проверит всех пользователей без руководителя в домашнем арендаторе. К ним относятся пользователи с прямым соединением B2B и команды без руководителя.
Перейдите на вкладку Параметры и настройте дополнительные параметры. Затем перейдите на вкладку Проверить и создать, чтобы начать проверку доступа. Более подробные сведения о создании проверки и параметрах конфигурации см. в разделе Создание одноэтапной проверки доступа.
Разрешить владельцам групп создавать проверки доступа к своим группам и управлять ими
Войдите в админцентр Microsoft Entra не ниже уровня администратора управления идентификацией.
Перейдите к Управление идентификацией>Обзоры доступа>Настройки.
На странице Уполномочить, кто может создавать проверки доступа и управлять ими установите для параметра Владельцы групп могут создавать проверки доступа для групп, которыми они владеют, и управлять ими значение Да.
Примечание.
По умолчанию для этого параметра установлено значение Нет. Чтобы разрешить владельцам групп создавать проверки доступа и управлять ими, измените значение на Да.
Создание проверки доступа программным способом
Вы также можете создать проверку доступа с помощью Microsoft Graph или PowerShell.
Чтобы создать проверку доступа с помощью Graph, вызовите API Graph для создания определения расписания проверки доступа. Вызывающий объект должен быть пользователем в соответствующей роли с приложением, у которого есть делегированное разрешение AccessReview.ReadWrite.All
, или приложением с разрешением уровня приложения AccessReview.ReadWrite.All
. Дополнительные сведения см. в статье "Обзор API проверки доступа" и руководствах по просмотру участников группы безопасности или просмотру гостей в группах Microsoft 365.
Вы также можете создать проверку доступа в PowerShell, используя New-MgIdentityGovernanceAccessReviewDefinition
командлеты Microsoft Graph PowerShell из модуля управления удостоверениями. Дополнительные сведения см. в примерах.
При запуске проверки доступа
После указания параметров проверки доступа и её создания в списке появится проверка доступа с индикатором её состояния.
По умолчанию идентификатор Microsoft Entra отправляет сообщение электронной почты рецензентам вскоре после однократной проверки или повторения повторяющейся проверки. Если вы решили не поручать идентификатору Microsoft Entra отправку электронной почты, обязательно сообщите рецензентам, что проверка доступа ожидает их завершения. Вы можете показать им инструкции по проверке доступа к группам или приложениям. Если ваш отзыв предназначен для гостей, чтобы они могли проверить собственный доступ, покажите им инструкции по проверке доступа к группам или приложениям.
Если вы назначили гостей в качестве обозревателей, но они не приняли приглашение к арендатору, они не получат электронное письмо из проверок доступа. Прежде чем они смогут начать проверку, они должны принять приглашение.
Обновление проверки доступа
После запуска одной или нескольких проверок доступа может потребоваться изменить параметры имеющихся проверок доступа. Ниже приведены некоторые распространенные сценарии.
Изменение параметров или рецензентов. Если проверка доступа повторяется, то в разделах Текущий и Серия доступны отдельные параметры. Изменения параметров или рецензентов в разделе Текущий применяются только к текущей проверке доступа. Изменения параметров в разделе Серия применяются ко всем последующим повторениям.
Добавление и удаление рецензентов. При обновлении проверок доступа вы можете добавить резервного рецензента в дополнение к основному. При обновлении проверки доступа основные рецензенты могут быть удалены. Резервные рецензенты не подлежат удалению.
Примечание.
Резервных рецензентов можно добавлять, только если типом рецензента является руководитель или владелец группы. Основных рецензентов можно добавлять, если выбран тип рецензента "Пользователь".
Напоминание рецензентам. При обновлении проверок доступа вы можете включить параметр Напоминания в разделе Дополнительные параметры. После этого пользователи будут получать уведомление по электронной почте в средней точке периода проверки независимо от того, завершили ли они проверку.
Примечание.
После инициирования проверки доступа можно использовать вызов API contactedReviewers, чтобы просмотреть список всех рецензентов, которым отправлено уведомление по электронной почте для проверки доступа, или тех, кому оно было бы отправлено при отключенных уведомлениях. Метки времени, когда этих пользователей уведомили, также предоставляются.