Csoportok és alkalmazások hozzáférési felülvizsgálatának létrehozása

Befejeződött

A csoportokhoz és alkalmazásokhoz való hozzáférés az alkalmazottak és a vendégek számára az idő múlásával változik. Az elavult hozzáférési hozzárendelésekhez kapcsolódó kockázatok csökkentése érdekében a rendszergazdák Azure Active Directory (Azure AD) használatával hozhatnak létre hozzáférési felülvizsgálatokat a csoporttagok vagy az alkalmazások eléréséhez. Ha rendszeresen szeretné áttekinteni a hozzáférést, akkor ismétlődő hozzáférési felülvizsgálatokat is létrehozhat.

Videó lejátszását jelző ikon Tekintse meg ezt a videót a hozzáférési felülvizsgálatok üzembe helyezésével és létrehozásával kapcsolatos további információkért.

Előfeltételek

  • Prémium szintű Azure AD P2

  • Globális rendszergazda vagy felhasználói rendszergazda

Egy vagy több hozzáférési felülvizsgálat létrehozása

  1. Jelentkezzen be a Azure Portalba, és nyissa meg az Identity irányításáért lapot.

  2. A bal oldali menüben kattintson a hozzáférési felülvizsgálatok elemre.

  3. Új hozzáférési felülvizsgálat létrehozásához kattintson az új hozzáférés-ellenőrzés elemre.

    Az identitás-irányítás hozzáférési felülvizsgálatok panelje

  4. Az 1. lépés: válassza ki, hogy mit szeretne áttekinteni, válassza ki az áttekinteni kívánt erőforrást.

    Hozzáférési felülvizsgálat létrehozása – a név és a Leírás áttekintése

  5. Ha a Teams + groups elemet választotta az 1. lépésben, a 2. lépésben két lehetőség közül választhat:

    • A vendég felhasználókkal Microsoft 365 összes csoport. Akkor válassza ezt a lehetőséget, ha ismétlődő értékeléseket kíván létrehozni az összes vendég felhasználóról a szervezet összes Microsoft-csapata és M365-csoportja között. Kiválaszthat bizonyos csoportokat, ha rákattint a kizárni kívánt csoport (ok) elemre.

    • Válassza a csapatok és csoportok lehetőséget. Válassza ezt a lehetőséget, ha meg szeretné adni az áttekinteni kívánt csapatok és/vagy csoportok véges csoportját. Ha erre a lehetőségre kattint, megjelenik a megfelelő csoportok listája.

    Csapatok és csoportok

    A felhasználói felületen kiválasztott csoportok és csoportok

  6. Ha az 1. lépésben az alkalmazásokat választotta, akkor a 2. lépésben egy vagy több alkalmazást is kijelölhet.

    Megjegyzés

    Több csoport és/vagy alkalmazás kiválasztásakor a rendszer több hozzáférési felülvizsgálatot eredményez. Ha például öt csoportot választ az áttekintéshez, a rendszer öt külön hozzáférési felülvizsgálatot fog eredményezni.

    Az illesztőfelület akkor jelenik meg, ha a csoportok helyett az alkalmazásokat választotta

  7. Ezután a 3. lépésben kiválaszthatja a felülvizsgálat hatókörét. A következő lehetőségek közül választhat:

    • Csak vendég felhasználók. Ha ezt a beállítást választja, a hozzáférési felülvizsgálatot csak az Azure AD B2B-vendég felhasználói használhatják a címtárban.

    • Mindenki. Ha ezt a beállítást választja, a rendszer a hozzáférési felülvizsgálatot az erőforráshoz társított összes felhasználói objektumra kijelöli.

    Megjegyzés

    Ha a 2. lépésben a vendég felhasználókkal rendelkező összes Microsoft 365 csoportot választotta, akkor az egyetlen lehetőség, hogy a 3. lépésben a vendég felhasználóit tekintse át.

  8. Kattintson a Tovább gombra: felülvizsgálatok

  9. A véleményezők kiválasztása szakaszban válasszon ki egy vagy több személyt a hozzáférési felülvizsgálatok végrehajtásához. A következő lehetőségek közül választhat:

    • Csoport tulajdonosa (k) (csak akkor érhető el, ha egy csapatra vagy csoportra vonatkozó felülvizsgálatot kell végrehajtani)

    • Kijelölt felhasználó (k) vagy csoportok

    • A felhasználók saját hozzáférést tekinthetnek meg

    • (Előzetes verzió) a felhasználók felettesei. Ha a felhasználók vagy a csoport tulajdonosai közül választ, lehetősége van tartalék felülvizsgáló megadására is. A tartalék felülvizsgálók akkor is megtalálhatók, ha a felhasználó nem rendelkezik a címtárban megadott Felettessel, vagy ha a csoport nem rendelkezik tulajdonossal.

      új hozzáférési felülvizsgálat

  10. A felülvizsgálati szakasz ismétlődésének meghatározása szakaszban megadhat egy gyakoriságot, például hetente, havonta, negyedévente, félévente, évente. Ezután megadhat egy időtartamot, amely meghatározza, hogy a felülvizsgálatok milyen hosszú ideig legyenek megnyitva a véleményezők számára. Például a havi felülvizsgálathoz beállítható maximális időtartam 27 nap az átfedő felülvizsgálatok elkerüléséhez. Előfordulhat, hogy le kívánja rövidíteni az időtartamot, hogy a felülvizsgálók bemenete korábban legyen alkalmazva. Ezután kiválaszthatja a kezdési és a befejezési dátumot.

    Válassza ki, hogy milyen gyakran történjen a felülvizsgálat

  11. Kattintson a következő: beállítások gombra a lap alján.

  12. A befejezési beállítások lehetőségnél megadhatja, hogy mi történjen a felülvizsgálat befejeződése után.

    Hozzáférési felülvizsgálat létrehozása a befejezési beállítások alapján

    Ha azt szeretné, hogy a rendszer automatikusan eltávolítsa a hozzáférést a megtagadott felhasználók számára, állítsa az eredmények automatikus alkalmazása az erőforrásra lehetőséget az engedélyezéshez. Ha a felülvizsgálat befejeződése után manuálisan szeretné alkalmazni az eredményeket, állítsa a kapcsolót a Letiltás lehetőségre. Ha a felülvizsgálók nem válaszolnak a listára, adja meg, hogy mi történik azon felhasználók esetében, akiket a felülvizsgálati időszakon belül nem tekintenek át a véleményező. Ez a beállítás nem érinti azokat a felhasználókat, akiket manuálisan ellenőriztek a véleményezők. Ha megtagadja a végső felülvizsgáló döntését, a rendszer eltávolítja a felhasználó hozzáférését.

    • Nincs változás – a felhasználó hozzáférése változatlan marad

    • Hozzáférés eltávolítása – a felhasználó hozzáférésének eltávolítása

    • Hozzáférés jóváhagyása – a felhasználó hozzáférésének jóváhagyása

    • Javaslatok készítése – a rendszer javaslata a felhasználó folyamatos hozzáférésének megtagadására vagy jóváhagyására

    A befejezési beállítások megadása után

    A megtagadott vendég -felhasználókra vonatkozó művelet végrehajtásával adhatja meg, hogy mi történik a vendég felhasználókkal, ha meg vannak tagadva.

    • Ha eltávolítja a felhasználó tagságát az erőforrásból , a rendszer eltávolítja a megtagadott felhasználó hozzáférését az áttekintett csoporthoz vagy alkalmazáshoz, továbbra is bejelentkezhet a bérlőbe.

    • A felhasználó 30 napig való beléptetésének tiltása, majd a bérlő felhasználójának eltávolítása megakadályozza, hogy a megtagadott felhasználók bejelentkezzenek a bérlőbe, függetlenül attól, hogy hozzáférnek-e más erőforrásokhoz. Ha hiba történt, vagy ha egy rendszergazda úgy dönt, hogy újra engedélyezi az egyik hozzáférését, akkor a felhasználó letiltását követő 30 napon belül megteheti. Ha a letiltott felhasználók nem végeznek műveleteket, a rendszer törli a bérlőről.

    Megjegyzés

    A megtagadott vendég felhasználóinak alkalmazására vonatkozó művelet nem konfigurálható az olyan felülvizsgálatokon, amelyek több mint vendég felhasználóra vonatkoznak. Nem konfigurálható a vendég felhasználókkal rendelkező összes M365-csoport felülvizsgálatára is. Ha nem konfigurálható, a felhasználó tagságának az erőforrásból való eltávolítására szolgáló alapértelmezett beállítás a megtagadott felhasználóknál használatos.

  13. A felülvizsgálati döntési segítők engedélyezése lehetőségnél válassza ki, hogy szeretné-e, ha a felülvizsgáló javaslatokat kapjon a felülvizsgálati folyamat során.

    Döntési segítők beállításainak engedélyezése

  14. A Speciális beállítások szakaszban a következők közül választhat:

    • Annak engedélyezéséhez , hogy a felülvizsgáló megkövetelje a jóváhagyás okát, meg kell adnia az indoklást .

    • Az e-mail-értesítések beállításával engedélyezheti , hogy az Azure ad e-mailes értesítéseket küldjön a felülvizsgálók számára a hozzáférési felülvizsgálat indításakor, valamint a rendszergazdáknak a felülvizsgálat befejezésekor.

    • Az emlékeztetők beállításával engedélyezheti , hogy az Azure ad emlékeztetőket küldjön a folyamatban lévő hozzáférési felülvizsgálatokról azon felülvizsgálók számára, akik nem fejezték be a felülvizsgálatot. Ezek az emlékeztetők a felülvizsgálat időtartamán keresztül félúton lesznek.

    • A felülvizsgálók számára küldött e-mailek tartalma automatikusan létrejön a felülvizsgálati adatok alapján, például a felülvizsgálat neve, az erőforrás neve, a határidő stb. Ha további információkkal (például további utasításokkal vagy kapcsolattartási információkkal) szeretne kommunikálni, ezeket az adatokat a további tartalom a felülvizsgáló e-mailek számára című szakaszban adhatja meg. A beírt információk a meghívót és az emlékeztető e-maileket tartalmazzák a hozzárendelt felülvizsgálók számára. Az alábbi képen Kiemelt szakasz megjeleníti, hogy hol jelennek meg ezek az információk.

    További tartalom a felülvizsgáló számára

  15. Kattintson a Next (tovább) gombra: felülvizsgálat + létrehozás gombra a következő lapra való ugráshoz.

  16. Nevezze el a hozzáférési felülvizsgálatot. Szükség esetén adja meg a Leírás áttekintését. A név és a leírás a felülvizsgálók számára jelenik meg.

  17. Tekintse át az adatokat, és válassza a Létrehozás lehetőséget.

    felülvizsgálati képernyő létrehozása

A hozzáférési felülvizsgálat elindítása

Miután megadta a hozzáférési felülvizsgálat beállításait, kattintson a Start gombra. A hozzáférési felülvizsgálat megjelenik a listában az állapotának jelzésével.

Hozzáférési felülvizsgálatok és azok állapotának listája

Alapértelmezés szerint az Azure AD egy e-mailt küld a felülvizsgálók számára röviddel a felülvizsgálat elindítása után. Ha úgy dönt, hogy nem szeretné elküldeni az Azure AD-t az e-mail-címre, tájékoztassa a véleményezőket arról, hogy a hozzáférési felülvizsgálat a befejezésre vár. Megtekintheti a csoportokhoz vagy alkalmazásokhoz való hozzáférés ellenőrzésének utasításait. Ha az Ön véleménye szerint a vendégek áttekinthetik a saját hozzáférését, megtudhatják, hogyan tekintheti át a hozzáférést a csoportokhoz vagy alkalmazásokhoz.

Ha a vendégek felülvizsgálók vannak hozzárendelve, és nem fogadták el a meghívást, nem kapnak e-mailt a hozzáférési felülvizsgálatokból, mert először el kell fogadniuk a meghívót a felülvizsgálat előtt.

Hozzáférési felülvizsgálati állapot tábla

status Meghatározás
NotStarted A felülvizsgálat létrejött, a felhasználó felderítése elindul.
Inicializálás A felhasználó felderítése folyamatban van a felülvizsgálat részét képező összes felhasználó azonosítására.
Indítás A felülvizsgálat megkezdődött. Ha az e-mail-értesítések engedélyezve vannak, a rendszer e-maileket küld a felülvizsgálók számára.
Folyamatban A felülvizsgálat megkezdődött. Ha az e-mail-értesítések engedélyezve vannak, a rendszer elküldte az e-maileket a felülvizsgálók számára. A felülvizsgálók a határidőig küldhetnek döntéseket.
Befejezése A felülvizsgálat folyamatban van, és a rendszer elküldi az e-maileket a felülvizsgálati tulajdonosnak.
Automatikus áttekintés A felülvizsgálat a rendszer-felülvizsgálati szakaszban található. A rendszer rögzíti azokat a felhasználókat, akik a javaslatok vagy az előre konfigurált döntések alapján nem voltak ellenőrizve.
Automatikusan felülvizsgálva A rendszer minden olyan felhasználó számára rögzíti a döntéseket, akiket nem vizsgáltak meg. A felülvizsgálat készen áll a alkalmazásra , ha engedélyezve van az automatikus alkalmazás.
Alkalmazása A jóváhagyott felhasználók hozzáférése nem változik.
Alkalmazva A megtagadott felhasználókat, ha vannak ilyenek, el lettek távolítva az erőforrásból vagy a címtárból.
Sikertelen Az ellenőrzés nem haladhat előre. Ez a hiba kapcsolódhat a bérlő törléséhez, a licencek változásához vagy a belső bérlő egyéb változásaihoz.

Felülvizsgálatok létrehozása API-kon keresztül

Az API-k használatával hozzáférési felülvizsgálatokat is létrehozhat. A csoportok és alkalmazás-felhasználók hozzáférési felülvizsgálatának kezelése a Azure Portalban Microsoft Graph API-k használatával is elvégezhető.