Vytvoření kontroly přístupu u skupin a aplikací v Microsoft Entra ID

  • Článek

Přístup ke skupinám a aplikacím pro zaměstnance a hosty se v průběhu času mění. Pokud chcete snížit riziko spojené se zastaralým přiřazením přístupu, můžou správci pomocí Microsoft Entra ID vytvořit kontroly přístupu pro členy skupiny nebo přístup k aplikacím.

Vlastníci skupin zabezpečení a Microsoft 365 můžou také pomocí ID Microsoft Entra vytvářet kontroly přístupu pro členy skupiny, pokud uživatel v globálním Správa istratoru nebo v roli zásady správného řízení identit Správa istrator umožňuje nastavení prostřednictvím podokna Kontroly přístupu Nastavení podokno. Další informace o těchto scénářích najdete v tématu Správa kontrol přístupu.

Podívejte se na krátké video, které se týká povolení kontrol přístupu.

Tento článek popisuje, jak vytvořit jednu nebo více kontrol přístupu pro členy skupiny nebo přístup k aplikacím.

Požadavky

  • Licence microsoft Entra ID P2 nebo Microsoft Entra ID Governance.
  • Vytvoření kontroly pro neaktivní uživatele nebo s doporučeními přidružení mezi uživateli vyžaduje licenci microsoft Entra ID governance.
  • Globální správce nebo správce zásad správného řízení identit pro vytváření kontrol skupin nebo aplikací
  • Uživatelé musí být v roli globálního správce nebo roli správce privilegovaných rolí, aby mohli vytvářet kontroly pro skupiny, které je možné přiřadit role. Další informace naleznete v tématu Použití skupin Microsoft Entra ke správě přiřazení rolí.
  • Vlastník microsoftu 365 a skupiny zabezpečení

Další informace najdete v tématu Licenční požadavky.

Pokud kontrolujete přístup k aplikaci, přečtěte si článek o tom, jak se připravit na kontrolu přístupu uživatelů k aplikaci , abyste měli jistotu, že je aplikace integrovaná s Microsoft Entra ID ve vašem tenantovi.

Poznámka:

Kontroly přístupu zachycují snímek přístupu na začátku každé instance kontroly. Všechny změny provedené během procesu kontroly se projeví v dalším cyklu kontroly. S zahájením každého nového opakování se v podstatě načtou příslušná data týkající se uživatelů, zdrojů, které kontrolují, a jejich revidujících.

Vytvoření kontroly přístupu s jednou fází

Obor

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator zásad správného řízení identit.

  2. Přejděte na Kontroly přístupu k zásadám správného řízení>identit.

  3. Výběrem možnosti Nová kontrola přístupu vytvořte novou kontrolu přístupu.

    Snímek obrazovky znázorňující podokno Kontroly přístupu v zásadách správného řízení identit

  4. V poli Vybrat, co chcete zkontrolovat, vyberte prostředek, který chcete zkontrolovat.

    Snímek obrazovky znázorňující vytvoření kontroly přístupu

  5. Pokud jste vybrali Teams + Skupiny, máte dvě možnosti:

    • Všechny skupiny Microsoftu 365 s uživateli typu host: Tuto možnost vyberte, pokud chcete vytvořit opakovaná hodnocení pro všechny uživatele typu host ve všech skupinách Microsoft Teams a Microsoft 365 ve vaší organizaci. Dynamické skupiny a skupiny s možností přiřazení role nejsou zahrnuty. Jednotlivé skupiny můžete vyloučit také tak , že vyberete Vybrat skupiny, které chcete vyloučit.

    • Vyberte Teams + skupiny: Tuto možnost vyberte, pokud chcete určit konečnou sadu týmů nebo skupin, které chcete zkontrolovat. Vpravo se zobrazí seznam skupin, ze které si můžete vybrat.

      Snímek obrazovky znázorňující výběr Teams + Skupiny

  6. Pokud jste vybrali Aplikace, vyberte jednu nebo více aplikací.

    Snímek obrazovky znázorňující rozhraní, které se zobrazí, pokud jste vybrali aplikace místo skupin

Poznámka:

Výběr více skupin nebo aplikací způsobí vytvoření více kontrol přístupu. Pokud například vyberete pět skupin, které chcete zkontrolovat, výsledek je pět samostatných kontrol přístupu.

  1. Teď můžete vybrat obor kontroly. Máte následující možnosti:

    • Pouze uživatelé typu host: Tato možnost omezuje kontrolu přístupu pouze na uživatele typu host Microsoft Entra B2B ve vašem adresáři.
    • Všichni: Tato možnost definuje kontrolu přístupu všem objektům uživatelů přidruženým k prostředku.

    Poznámka:

    Pokud jste vybrali všechny skupiny Microsoftu 365 s uživateli typu host, máte jedinou možnost zkontrolovat jenom uživatele typu host.

  2. Nebo pokud provádíte kontrolu členství ve skupině, můžete vytvořit kontroly přístupu jenom pro neaktivní uživatele ve skupině. V části Obor uživatelé zaškrtněte políčko vedle neaktivních uživatelů (na úrovni tenanta). Pokud toto políčko zaškrtnete, rozsah kontroly se zaměřuje jenom na neaktivní uživatele, kteří se k tenantovi nepřihlásili interaktivně nebo neinteraktivně. Pak zadejte dny neaktivní s mnoha dny neaktivními až 730 dny (dva roky). Uživatelé ve skupině neaktivní po zadaný počet dní jsou jedinými uživateli v kontrole.

    Poznámka:

    Při konfiguraci doby nečinnosti nejsou nedávno vytvořená uživatelé ovlivněni. Kontrola přístupu zkontroluje, jestli byl uživatel vytvořen v nakonfigurovaném časovém rámci, a ignoruje uživatele, kteří alespoň tuto dobu neexistovali. Pokud například nastavíte dobu nečinnosti na 90 dní a uživatel typu host byl vytvořen nebo pozván před méně než 90 dny, nebude uživatel typu host v oboru kontroly přístupu. Tím se zajistí, že se uživatel může před odebráním přihlásit alespoň jednou.

  3. Vyberte Další: Recenze.

Další: Recenze

  1. Můžete vytvořit jednofázovou nebo vícefázovou kontrolu. Pokud chcete zkontrolovat jednu fázi, pokračujte tady. Pokud chcete vytvořit kontrolu přístupu ve více fázích, postupujte podle kroků v části Vytvoření kontroly přístupu s více fázemi.

  2. V části Určení revidujících vyberte v poli Vybrat revidujících buď jeden nebo více lidí, kteří se budou rozhodovat v kontrolách přístupu. Lze vybrat následující možnosti:

    • Vlastníci skupiny: Tato možnost je dostupná jenom v případě, že provedete kontrolu týmu nebo skupiny.
    • Vybrané uživatele nebo skupiny
    • Uživatelé kontrolují svůj vlastní přístup
    • Správci uživatelů

    Pokud zvolíte správce uživatelů nebo vlastníky skupin, můžete také určit náhradního revidujícíma. Náhradní revidujícím se zobrazí výzva k revizi, pokud uživatel nemá v adresáři zadaný žádný správce nebo pokud skupina nemá vlastníka.

    Poznámka:

    V rámci kontroly přístupu k týmu nebo skupině se jako revidujícím považují pouze vlastníci skupiny (v okamžiku zahájení kontroly). Pokud se během kontroly aktualizuje seznam vlastníků skupin, nebudou se noví vlastníci skupin považovat za revidujícím ani za starší vlastníky skupin. V případě opakované kontroly se však všechny změny v seznamu vlastníků skupiny budou považovat za další instanci této kontroly.

    Důležité

    U PIM pro skupiny (Preview) musíte vybrat vlastníky skupin. Ke kontrole je povinné přiřadit alespoň jednoho záložního revidujícíma. Revize přiřadí jako revidujícím pouze aktivní vlastníky. Opravňující vlastníci nejsou zahrnuti. Pokud po zahájení kontroly nejsou žádní aktivní vlastníci, budou revidujícím přiřazeni náhradní revidoři.

    Snímek obrazovky znázorňující kontrolu nového přístupu

  3. V části Zadat opakování revize zadejte následující výběry:

    • Doba trvání (vednechch

    • Počáteční datum: Kdy začíná řada recenzí.

    • Koncové datum: Kdy skončí řada recenzí. Můžete určit, že nikdy nekončí . Nebo můžete po počtu výskytů vybrat Možnost Konec na konkrétní datum nebo Konec.

      Snímek obrazovky znázorňující výběr toho, jak často se má kontrola provést

  4. Vyberte Další: Nastavení.

Další: Nastavení

  1. V části Nastavení po dokončení můžete určit, co se stane po dokončení kontroly.

    Snímek obrazovky, který zobrazuje nastavení Po dokončení

    • Automaticky použít výsledky pro prostředek: Toto políčko zaškrtněte, pokud chcete, aby se po skončení doby trvání kontroly automaticky odebral přístup odepřených uživatelů. Pokud je tato možnost zakázaná, musíte výsledky po dokončení kontroly použít ručně. Další informace o použití výsledků kontroly najdete v tématu Správa kontrol přístupu.

    • Pokud revidujícím neodpoví: Tuto možnost použijte k určení toho, co se stane pro uživatele, kteří nekontrolují žádné revidované v období kontroly. Toto nastavení nemá vliv na uživatele, kteří kontroloři kontrolovali. V rozevíracím seznamu jsou uvedené následující možnosti:

      • Beze změny: Přístup uživatele zůstane beze změny.
      • Odebrání přístupu: Odebere přístup uživatele.
      • Schválení přístupu: Schválí přístup uživatele.
      • Přijmout doporučení: Přijme doporučení systému, aby odepřel nebo schválil trvalý přístup uživatele.

      Upozorňující

      Pokud je nastavení Pokud revidujícím neodpoví , nastavená možnost Odebrat přístup nebo přijmout doporučení a povolit automatické použití výsledků na prostředek , může se veškerý přístup k tomuto prostředku odvolat, pokud revidujícím neodpoví.

    • Akce, která se má použít u odepřených uživatelů typu host: Tato možnost je dostupná jenom v případě, že je kontrola přístupu vymezená tak, aby zahrnovala jenom uživatele typu host a určili, co se stane uživatelům typu host, pokud je revidující nebo pokud revidující nereagují na nastavení.

      • Odebrat členství uživatele z prostředku: Tato možnost odebere přístup uživatele typu host ke skupině nebo aplikaci, která se kontroluje. Stále se můžou přihlásit k tenantovi a nepřijdou o žádný jiný přístup.
      • Blokovat přihlášení uživatele po dobu 30 dnů a pak odebrat uživatele z tenanta: Tato možnost blokuje odepření uživatele typu host v přihlášení k tenantovi bez ohledu na to, jestli má přístup k jiným prostředkům. Pokud se tato akce proběhla omylem, správci můžou přístup uživatele typu host obnovit do 30 dnů od zakázání uživatele typu host. Pokud se po 30 dnech pro zakázaného uživatele typu host neprovedou žádná akce, odstraní se z tenanta.

    Další informace o osvědčených postupech pro odebrání uživatelů typu host, kteří už nemají přístup k prostředkům ve vaší organizaci, najdete v tématu Použití zásad správného řízení ID Microsoft Entra k kontrole a odebrání externích uživatelů, kteří už nemají přístup k prostředkům.

    Poznámka:

    Akce, která se má použít u odepřených uživatelů typu host, není možné konfigurovat u kontrol omezených na více než uživatele typu host. Není také možné konfigurovat recenze všech skupin Microsoftu 365 s uživateli typu host. Pokud není možné konfigurovat, použije se výchozí možnost odebrání členství uživatele z prostředku u odepřených uživatelů.

  2. Na konci kontroly můžete poslat oznámení jiným uživatelům nebo skupinám s aktualizacemi dokončení. Tato funkce umožňuje ostatním účastníkům, než je tvůrce revizí, aktualizovat průběh kontroly. Pokud chcete tuto funkci použít, zvolte Vybrat uživatele nebo skupiny a přidejte dalšího uživatele nebo skupinu, pro které chcete získat stav dokončení.

  3. V části Povolit pomocníky pro rozhodování o kontrole zvolte, jestli má kontrolor během procesu kontroly dostávat doporučení:

    1. Pokud do 30 dnů vyberete Možnost Bez přihlášení, doporučuje se schválení uživatelům, kteří se přihlásili během předchozích 30denních období. Pro odepření se doporučuje uživatelům, kteří se během posledních 30 dnů nepřihlásili. Tento 30denní interval je bez ohledu na to, jestli byly přihlášení interaktivní, nebo ne. Spolu s doporučením se zobrazí také datum posledního přihlášení zadaného uživatele.
    2. Pokud vyberete přidružení uživatele k skupině, kontroloři dostanou doporučení ke schválení nebo zamítnutí přístupu pro uživatele na základě průměrné vzdálenosti uživatele ve struktuře vytváření sestav organizace. Uživatelé, kteří jsou vzdáleni od všech ostatních uživatelů ve skupině, se považují za "nízké přidružení" a v kontrolách přístupu ke skupině dostanou doporučení odepření.

    Poznámka:

    Pokud vytvoříte kontrolu přístupu na základě aplikací, vaše doporučení vycházejí z 30denního intervalu v závislosti na tom, kdy se uživatel naposledy přihlásil k aplikaci místo tenanta.

    Snímek obrazovky s možnostmi Povolit pomocníky pro rozhodování revidujícího

  4. V části Upřesnit nastavení můžete zvolit následující:

    • Požadováno odůvodnění: Toto políčko zaškrtněte, pokud chcete, aby kontrolor musel zadat důvod schválení nebo odepření.

    • E-mailová oznámení: Toto políčko zaškrtněte, pokud chcete, aby ID Microsoft Entra po zahájení kontroly přístupu a správcům po dokončení kontroly odesílala e-mailová oznámení revidujícím.

    • Připomenutí: Toto políčko zaškrtněte, pokud chcete, aby ID Microsoft Entra odeslalo připomenutí kontrolorům přístupu probíhajících kontrolorům. Revidujícím se zobrazí připomenutí v polovině recenze bez ohledu na to, jestli dokončili svoji recenzi nebo ne.

    • Další obsah e-mailu revidujících: Obsah e-mailu odeslaného revidujícím se automaticky vygeneruje na základě podrobností kontroly, jako je název recenze, název prostředku a termín splnění. Pokud potřebujete sdělit další informace, můžete do pole zadat podrobnosti, jako jsou pokyny nebo kontaktní údaje. Informace, které zadáte, jsou součástí pozvánky a e-maily s připomenutím se odesílají přiřazeným recenzentům. Část zvýrazněná na následujícím obrázku ukazuje, kde se tyto informace zobrazují.

      Snímek obrazovky znázorňující další obsah revidujících

  5. Vyberte Další: Zkontrolovat + vytvořit.

    Snímek obrazovky znázorňující kartu Revize a vytvoření

Další: Zkontrolovat a vytvořit

  1. Pojmenujte kontrolu přístupu. Volitelně zadejte popis kontroly. Jméno a popis se zobrazí revidujícím.

  2. Zkontrolujte informace a vyberte Vytvořit.

Vytvoření kontroly přístupu ve vícefázové fázi

Vícefázová kontrola umožňuje správci definovat dvě nebo tři sady revidujících, aby jeden po druhém dokončil kontrolu. V rámci jednofázové kontroly se všichni revidujícím rozhodnou ve stejném období a poslední kontrolor, který se rozhodne, použije své rozhodnutí. V rámci vícefázové kontroly se každý ze dvou nebo tří nezávislých skupin kontrolorů rozhodne ve své vlastní fázi. Fáze jsou sekvenční a další fáze se nestane, dokud se v předchozí fázi nezaznamená rozhodnutí. Vícefázové kontroly lze použít ke snížení zátěže pro pozdější revidující, umožnění eskalace revidujících nebo k tomu, aby nezávislé skupiny revidujících souhlasily s rozhodnutími.

Poznámka:

Data uživatelů zahrnutých v kontrolách vícefázového přístupu jsou součástí záznamu auditu na začátku kontroly. Správa istrátory mohou data kdykoli odstranit odstraněním vícefázové řady kontroly přístupu. Obecné informace o GDPR a ochraně uživatelských dat najdete v části GDPR v Centru zabezpečení Microsoftu a v části GDPR portálu Service Trust Portal.

  1. Po výběru prostředku a rozsahu kontroly přejděte na kartu Recenze .

  2. Zaškrtněte políčko vedle vícefázové kontroly.

  3. V části První fáze kontroly vyberte revidujícím v rozevírací nabídce vedle možnosti Vybrat revidujících.

  4. Pokud vyberete vlastníky skupin nebo správce uživatelů, máte možnost přidat náhradního revidujícíma. Pokud chcete přidat náhradní, vyberte Vybrat záložní revidujícím a přidejte uživatele, kteří mají být náhradními revidujícím.

    Snímek obrazovky s povolenou vícefázovou kontrolou a nastavením vícefázové kontroly

  5. Přidejte dobu trvání první fáze. Pokud chcete přidat dobu trvání, zadejte číslo do pole vedle doby trvání fáze (ve dnech). Jedná se o počet dní, po který chcete, aby se první fáze otevřela kontrolorům první fáze, aby se mohli rozhodovat.

  6. V části Kontrola druhé fáze vyberte revidujícím v rozevírací nabídce vedle možnosti Vybrat revidujících. Tito revidujícím budou požádáni o kontrolu po uplynutí doby trvání první fáze kontroly.

  7. V případě potřeby přidejte další revidujícím.

  8. Přidejte dobu trvání druhé fáze.

  9. Ve výchozím nastavení se při vytváření vícefázové kontroly zobrazí dvě fáze. Můžete ale přidat až tři fáze. Pokud chcete přidat třetí fázi, vyberte + Přidat fázi a vyplňte požadovaná pole.

  10. Můžete se rozhodnout, že umožníte revidujícím 2. a třetí fázi zobrazit rozhodnutí provedená v předchozích fázích. Pokud jim chcete povolit, aby viděli předchozí rozhodnutí, zaškrtněte políčko vedle možnosti Zobrazit předchozí fáze rozhodnutí pro pozdější revidujícím v části Zobrazit výsledky kontroly. Pokud chcete, aby kontroloři mohli toto nastavení nezávisle kontrolovat, nechte toto políčko nezaškrtnuté.

    Snímek obrazovky znázorňující dobu trvání a zobrazení nastavení předchozích fází povolených pro vícefázovou kontrolu

  11. Doba trvání každé opakování je nastavená na součet dnů trvání, které jste zadali v každé fázi.

  12. Zadejte opakování kontroly, počáteční datum a koncové datum kontroly. Typ opakování musí být alespoň tak dlouhý, dokud celková doba trvání opakování (tj. maximální doba trvání týdenního opakování kontroly je 7 dní).

  13. Pokud chcete určit, které kontroly budou pokračovat z fáze do fáze, vyberte jednu nebo více z následujících možností vedle možnosti Zadat kontroly, které chcete přejít do další fáze : Snímek obrazovky znázorňující nastavení a možnosti kontroly pro vícefázovou kontrolu

    1. Schválené kontroly – pouze kontroly, které byly schváleny, přejdou na další fáze.
    2. Odepření revizí – Pouze kontroly, které byly odepřeny, se přesunou na další fáze.
    3. Nezkontrolované revize – Přechod na další fáze se přesune jenom na recenze, které nebyly zkontrolovány.
    4. Revize označené jako "Nevím" – Přechod na další fáze se přesune jenom na recenze označené jako "Nevím".
    5. Vše: všichni se přesunou na další fázi, pokud chcete, aby se rozhodli všichni revidujícím.

  14. Pokračujte na kartu Nastavení a dokončete zbývající nastavení a vytvořte kontrolu. Postupujte podle pokynů v části Další: Nastavení.

Zahrnout B2B přímé propojení uživatelů a týmů, které přistupují ke sdíleným kanálům Teams, do kontrol přístupu

Můžete vytvořit kontroly přístupu pro uživatele B2B s přímým připojením prostřednictvím sdílených kanálů v Microsoft Teams. Při externí spolupráci můžete pomocí kontrol přístupu Microsoft Entra zajistit, aby externí přístup ke sdíleným kanálům zůstal aktuální. Externím uživatelům ve sdílených kanálech se říká přímé připojení uživatelů B2B. Další informace o sdílenýchkanálch

Když vytvoříte kontrolu přístupu u týmu se sdílenými kanály, revidují vaši revidujícím nepřetržitý přístup k těmto externím uživatelům a Týmům ve sdílených kanálech. Ve stejné kontrole můžete zkontrolovat přístup uživatelů připojení B2B a dalších podporovaných uživatelů spolupráce B2B a uživatelů, kteří nejsou interními uživateli B2B.

Poznámka:

V současné době jsou uživatelé a týmy přímého propojení B2B zahrnuti pouze do jednofázových kontrol. Pokud jsou povoleny vícefázové kontroly, uživatelé B2B s přímým připojením a týmy se do kontroly přístupu nezahrnou.

Uživatelé a týmy přímé připojení B2B jsou součástí kontrol přístupu skupiny Microsoft 365 s podporou Teams, ve které jsou sdílené kanály součástí. Pokud chcete vytvořit recenzi, musíte být:

  • Globální správce
  • Správce uživatelů
  • Zásady správného řízení identit Správa istrator

Pomocí následujících pokynů vytvořte kontrolu přístupu u týmu se sdílenými kanály:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator zásad správného řízení identit.

  2. Přejděte na Kontroly přístupu k zásadám správného řízení>identit.

  3. Vyberte + Nová kontrola přístupu.

  4. Vyberte Teams + Skupiny a pak vyberte Vybrat týmy a skupiny a nastavte obor Revize. B2B přímé propojení uživatelů a týmů nejsou zahrnuté v recenzích všech skupin Microsoftu 365 s uživateli typu host.

  5. Vyberte tým, který sdílí kanály sdílené s 1 nebo více uživateli nebo týmy B2B s přímým připojením.

  6. Nastavte obor.

    Snímek obrazovky znázorňující nastavení rozsahu kontroly pro kontrolu sdílených kanálů

    • Zvolte Všechny uživatele , kteří mají zahrnout:
      • Všichni interní uživatelé
      • Uživatelé spolupráce B2B, kteří jsou členy týmu
      • Uživatelé přímého připojení B2B
      • Týmy, které přistupuje ke sdíleným kanálům
    • Nebo zvolte uživatele typu host, pokud chcete zahrnout jenom uživatele B2B s přímým připojením a uživatele spolupráce Teams a B2B.

  7. Pokračujte na kartu Revize. Výběrem revidujících dokončete kontrolu a pak zadejte opakování Doba trvání a Kontrola.

    Poznámka:

    • Pokud nastavíte možnost Vybrat revidujících na Uživatele, zkontrolují jejich vlastní přístup nebo správci uživatelů, B2B přímé připojení uživatelů a Teams nebude moct zkontrolovat jejich vlastní přístup ve vašem tenantovi. Vlastník týmu, který kontroluje tým, dostane e-mail, který požádá vlastníka, aby zkontroloval uživatele b2B s přímým připojením a Teams.
    • Pokud vyberete Správce uživatelů, vybraný záložní kontrolor zkontroluje všechny uživatele bez vedoucího v domovském tenantovi. To zahrnuje přímé připojení uživatelů B2B a Teams bez manažera.

  8. Přejděte na kartu Nastavení a nakonfigurujte další nastavení. Pak přejděte na kartu Revize a Vytvořit a spusťte kontrolu přístupu. Podrobnější informace o vytvoření nastavení kontroly a konfigurace najdete v části Vytvoření kontroly přístupu s jednou fází.

Povolit vlastníkům skupin vytvářet a spravovat kontroly přístupu jejich skupin

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Požadovaná role je globální Správa istrator nebo zásady správného řízení identit Správa istrator.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator zásad správného řízení identit.

  2. Přejděte na Kontroly> přístupu k zásadám správného řízení>identit Nastavení.

  3. Na stránce Delegát, který může vytvářet a spravovat kontroly přístupu, nastavte vlastníky skupiny, kteří můžou vytvářet a spravovat kontroly přístupu pro skupiny, které vlastní, na ano.

    Snímek obrazovky znázorňující povolení kontroly vlastníků skupin

    Poznámka:

    Ve výchozím nastavení je nastavení nastaveno na Ne. Pokud chcete vlastníkům skupin povolit vytváření a správu kontrol přístupu, změňte nastavení na Ano.

Programové vytvoření kontroly přístupu

Kontrolu přístupu můžete vytvořit také pomocí Microsoft Graphu nebo PowerShellu.

Pokud chcete vytvořit kontrolu přístupu pomocí Graphu, zavolejte rozhraní Graph API a vytvořte definici plánu kontroly přístupu. Volající musí být buď uživatelem v příslušné roli s aplikací, která má delegovaná AccessReview.ReadWrite.All oprávnění, nebo aplikaci s oprávněním AccessReview.ReadWrite.All aplikace. Další informace najdete v tématu Přehled rozhraní API pro kontroly přístupu a kurzů, jak zkontrolovat členy skupiny zabezpečení nebo zkontrolovat hosty ve skupinách Microsoftu 365.

Kontrolu přístupu můžete vytvořit také v PowerShellu s rutinou New-MgIdentityGovernanceAccessReviewDefinition z rutin Prostředí Microsoft Graph PowerShell pro modul zásad správného řízení identit. Další informace najdete v příkladech.

Při spuštění kontroly přístupu

Po zadání nastavení kontroly přístupu a jeho vytvoření se kontrola přístupu zobrazí v seznamu s indikátorem jeho stavu.

Snímek obrazovky se seznamem kontrol přístupu a jejich stavem

Ve výchozím nastavení Microsoft Entra ID odešle revidujícím e-mail krátce po jednorázové kontrole nebo opakování opakované kontroly. Pokud se rozhodnete, že microsoft Entra ID neodesílá e-mail, nezapomeňte informovat revidujícím, že kontrola přístupu čeká na dokončení. Můžete jim ukázat pokyny, jak zkontrolovat přístup ke skupinám nebo aplikacím. Pokud máte kontrolu pro hosty, aby zkontrolovali svůj vlastní přístup, zobrazte jim pokyny, jak kontrolovat přístup pro sebe ke skupinám nebo aplikacím.

Pokud jste hostům přiřadili pozvánku jako revidujícím a nepřijmou pozvánku do tenanta, nebudou dostávat e-maily z kontrol přístupu. Před zahájením kontroly musí pozvánku nejprve přijmout.

Aktualizace kontroly přístupu

Po spuštění jedné nebo více kontrol přístupu můžete chtít upravit nebo aktualizovat nastavení existujících kontrol přístupu. Tady je několik běžných scénářů, které je potřeba vzít v úvahu:

  • Nastavení aktualizace nebo revidující: Pokud je kontrola přístupu opakovaná, jsou v části Aktuální a v části Řady samostatná nastavení. Aktualizace nastavení nebo revidujících v části Aktuální aplikuje změny pouze na aktuální kontrolu přístupu. Aktualizace nastavení v části Řada aktualizuje nastavení pro všechna budoucí opakování.

    Snímek obrazovky znázorňující aktualizaci nastavení kontroly přístupu

  • Přidání a odebrání revidujících: Když aktualizujete kontroly přístupu, můžete kromě primárního revidujících přidat náhradního revidora. Při aktualizaci kontroly přístupu můžou být primární revidoři odebráni. Náhradní revidujícím nejsou podle návrhu vyměnitelné.

    Poznámka:

    Náhradní revidujícím je možné přidat pouze tehdy, když je typ revidujícím manažerem nebo vlastníkem skupiny. Primární revidujícím je možné přidat, když je vybraným uživatelem typ revidujících.

  • Připomeňte revidujícím: Při aktualizaci kontrol přístupu se můžete rozhodnout povolit možnost Připomenutí v části Upřesnit nastavení. Uživatelé pak dostanou e-mailové oznámení v polovině období kontroly bez ohledu na to, jestli kontrolu dokončili nebo ne.

    Snímek obrazovky s připomenutím revidujících

Další kroky