Tworzenie przeglądu dostępu do grup i aplikacji w przeglądach dostępu usługi Azure ADCreate an access review of groups and applications in Azure AD access reviews

Dostęp do grup i aplikacji dla pracowników i Gości zmienia się wraz z upływem czasu.Access to groups and applications for employees and guests changes over time. Aby zmniejszyć ryzyko związane ze starymi przypisaniami dostępu, Administratorzy mogą używać Azure Active Directory (Azure AD) do tworzenia przeglądów dostępu dla członków grupy lub dostępu do aplikacji.To reduce the risk associated with stale access assignments, administrators can use Azure Active Directory (Azure AD) to create access reviews for group members or application access. Jeśli musisz rutynowo przeglądać dostęp, możesz również utworzyć cykliczne przeglądy dostępu.If you need to routinely review access, you can also create recurring access reviews. Aby uzyskać więcej informacji na temat tych scenariuszy, zobacz Zarządzanie dostępem użytkowników i Zarządzanie dostępem gościa.For more information about these scenarios, see Manage user access and Manage guest access.

W tym artykule opisano sposób tworzenia jednej lub kilku przeglądów dostępu dla członków grupy lub dostępu do aplikacji.This article describes how to create one or more access reviews for group members or application access.

Wymagania wstępnePrerequisites

  • Usługa Azure AD — warstwa Premium P2Azure AD Premium P2
  • Administrator globalny lub administrator użytkownikówGlobal administrator or User administrator

Aby uzyskać więcej informacji, zobacz wymagania dotyczące licencji.For more information, see License requirements.

Utwórz co najmniej jedną weryfikację dostępuCreate one or more access reviews

  1. Zaloguj się do Azure Portal i Otwórz stronę zarządzania tożsamościami.Sign in to the Azure portal and open the Identity Governance page.

  2. W menu po lewej stronie kliknij pozycję przeglądy dostępu.In the left menu, click Access reviews.

  3. Kliknij kolejno pozycje nowy przegląd dostępu , aby utworzyć nowy przegląd dostępu.Click New access review to create a new access review.

    Okienko przeglądy dostępu w programie Zarządzanie tożsamościami

  4. Nadaj nazwę przeglądowi dostępu.Name the access review. Opcjonalnie nadaj przeglądowi opis.Optionally, give the review a description. Nazwa i opis są widoczne dla recenzentów.The name and description are shown to the reviewers.

    Tworzenie przeglądu dostępu — nazwa i opis przeglądu

  5. Ustaw datę początkową.Set the Start date. Domyślnie przegląd dostępu odbywa się raz, uruchamia się w tym samym czasie, który jest tworzony i upływa w ciągu miesiąca.By default, an access review occurs once, starts the same time it's created, and it ends in one month. Można zmienić datę początkową i końcową w taki sposób, aby przegląd dostępu został uruchomiony w przyszłości, a ostatni w ciągu kilku dni.You can change the start and end dates to have an access review start in the future and last however many days you want.

    Tworzenie przeglądu dostępu — daty rozpoczęcia i zakończenia

  6. Aby umożliwić cykliczne przeglądy dostępu, Zmień ustawienie częstotliwości z jednego czasu na co tydzień, co miesiąc, co kwartał lub co rok.To make the access review recurring, change the Frequency setting from One time to Weekly, Monthly, Quarterly or Annually. Za pomocą suwaka czas trwania lub pola tekstowego Zdefiniuj, ile dni każdy przegląd cyklicznej serii będzie otwarty do wprowadzania danych od recenzentów.Use the Duration slider or text box to define how many days each review of the recurring series will be open for input from reviewers. Na przykład maksymalny czas, który można ustawić dla comiesięcznego przeglądu wynosi 27 dni, aby uniknąć nakładających się przeglądów.For example, the maximum duration that you can set for a monthly review is 27 days, to avoid overlapping reviews.

  7. Użyj ustawienia End , aby określić, jak zakończyć cykliczne serie przeglądu dostępu.Use the End setting to specify how to end the recurring access review series. Seria może kończyć się na trzy sposoby: działa stale, aby rozpocząć przeglądy w nieskończoność, aż do określonej daty lub po zakończeniu zdefiniowanej liczby wystąpień.The series can end in three ways: it runs continuously to start reviews indefinitely, until a specific date, or after a defined number of occurrences has been completed. Po utworzeniu seria może zostać zatrzymana przez innego administratora lub innego administratora globalnego, zmieniając datę w ustawieniach, aby zakończyć działanie.You, another User administrator, or another Global administrator can stop the series after creation by changing the date in Settings, so that it ends on that date.

  8. W sekcji Użytkownicy Określ użytkowników, których dotyczy przegląd dostępu.In the Users section, specify the users that the access review applies to. Przeglądy dostępu mogą dotyczyć członków grupy lub użytkowników, którzy zostali przypisani do aplikacji.Access reviews can be for the members of a group or for users who were assigned to an application. Można dodatkowo określić zakres przeglądu dostępu, aby przeglądać tylko użytkowników-Gości, którzy są członkami (lub przypisani do aplikacji), a nie przeglądać wszystkich użytkowników, którzy są członkami lub którzy mają dostęp do aplikacji.You can further scope the access review to review only the guest users who are members (or assigned to the application), rather than reviewing all the users who are members or who have access to the application.

    Tworzenie przeglądu dostępu — użytkownicy

  9. W sekcji Grupa wybierz co najmniej jedną grupę, do której chcesz przejrzeć członkostwo.In the Group section, select one or more groups that you would like to review membership of.

    Uwaga

    Wybranie więcej niż jednej grupy spowoduje utworzenie wielu przeglądów dostępu.Selecting more than one group will create multiple access reviews. Na przykład wybranie pięciu grup spowoduje utworzenie pięciu odrębnych przeglądów dostępu.For example, selecting five groups will create five separate access reviews.

    Tworzenie przeglądu dostępu — Wybieranie grupy

  10. W sekcji aplikacje (w przypadku wybrania opcji przypisane do aplikacji w kroku 8) wybierz aplikacje, do których chcesz przejrzeć dostęp.In the Applications section (if you selected Assigned to an application in step 8), select the applications that you would like to review access to.

    Uwaga

    Wybranie więcej niż jednej aplikacji spowoduje utworzenie wielu przeglądów dostępu.Selecting more than one application will create multiple access reviews. Na przykład wybranie pięciu aplikacji spowoduje utworzenie pięciu odrębnych przeglądów dostępu.For example, selecting five applications will create five separate access reviews.

    Tworzenie przeglądu dostępu — Wybieranie aplikacji

  11. W sekcji recenzenci wybierz co najmniej jedną osobę, aby przejrzeć wszystkich użytkowników w zakresie.In the Reviewers section, select either one or more people to review all the users in scope. Możesz również wybrać, aby członkowie mogli przeglądać swój własny dostęp.Or you can select to have the members review their own access. Jeśli zasób jest grupą, możesz poproszony właściciele grupy o przeglądanie.If the resource is a group, you can ask the group owners to review. Można również wymagać od recenzentów podania przyczyny zatwierdzenia dostępu.You also can require that the reviewers supply a reason when they approve access.

    Tworzenie przeglądu dostępu — recenzenci

  12. W sekcji programy wybierz program, którego chcesz użyć.In the Programs section, select the program you want to use. Program domyślny jest zawsze obecny.Default Program is always present.

    Tworzenie przeglądu dostępu — programy

    Można uprościć śledzenie i zbieranie przeglądów dostępu do różnych celów, organizując je w programy.You can simplify how to track and collect access reviews for different purposes by organizing them into programs. Poszczególne przeglądy dostępu mogą być połączone z programem.Each access review can be linked to a program. Następnie podczas przygotowywania raportów dla audytora można skupić się na przeglądach dostępu w zakresie dla konkretnej inicjatywy.Then when you prepare reports for an auditor, you can focus on the access reviews in scope for a particular initiative. Wyniki przeglądu programów i dostępu są widoczne dla użytkowników w roli administratora globalnego, administratora użytkowników, administratora zabezpieczeń lub czytelnika zabezpieczeń.Programs and access review results are visible to users in the Global administrator, User administrator, Security administrator, or Security reader role.

    Aby wyświetlić listę programów, przejdź do strony przeglądy dostępu i wybierz pozycję programy.To see a list of programs, go to the access reviews page and select Programs. Jeśli jesteś administratorem globalnym lub rolą administratora użytkownika, możesz utworzyć dodatkowe programy.If you're in a Global administrator or User administrator role, you can create additional programs. Na przykład można wybrać opcję posiadania jednego programu dla każdej inicjatywy zgodności lub celu prowadzenia działalności biznesowej.For example, you can choose to have one program for each compliance initiative or business goal. Jeśli program nie jest już potrzebny i nie ma żadnych kontrolek, można go usunąć.If you no longer need a program and it doesn't have any controls linked to it, you can delete it.

Po zakończeniu ustawieńUpon completion settings

  1. Aby określić, co się stanie po zakończeniu przeglądu, rozwiń sekcję po zakończeniu ustawień .To specify what happens after a review completes, expand the Upon completion settings section.

    Tworzenie przeglądu dostępu — po zakończeniu ustawień

  2. Jeśli chcesz automatycznie usunąć dostęp dla użytkowników, których odmówiono, ustaw opcję automatycznie Zastosuj wyniki do zasobu do włączenia.If you want to automatically remove access for users that were denied, set Auto apply results to resource to Enable. Jeśli chcesz ręcznie zastosować wyniki po zakończeniu przeglądu, ustaw przełącznik do wyłączenia.If you want to manually apply the results when the review completes, set the switch to Disable.

  3. Użyj listy powinien nie odpowiadać , aby określić, co się dzieje w przypadku użytkowników, którzy nie są recenzowani przez recenzenta w okresie przeglądu.Use the Should reviewer not respond list to specify what happens for users that are not reviewed by the reviewer within the review period. To ustawienie nie ma wpływu na użytkowników, którzy zostali ręcznie przejrzał przez recenzentów.This setting does not impact users who have been reviewed by the reviewers manually. Jeśli ostateczna decyzja recenzenta jest odmowa, dostęp użytkownika zostanie usunięty.If the final reviewer's decision is Deny, then the user's access will be removed.

    • Bez zmian — nie zmieniaj dostępu użytkownikaNo change - Leave user's access unchanged
    • Usuwanie dostępu — Usuwanie dostępu użytkownikaRemove access - Remove user's access
    • Zatwierdzanie dostępu — zatwierdzanie dostępu użytkownikaApprove access - Approve user's access
    • Zapoznaj się z zaleceniami — zapoznaj się z zaleceniami systemu dotyczącymi odmowy lub zatwierdzenia ciągłego dostępu użytkownikaTake recommendations - Take the system's recommendation on denying or approving the user's continued access

Ustawienia zaawansowaneAdvanced settings

  1. Aby określić dodatkowe ustawienia, rozwiń sekcję Ustawienia zaawansowane .To specify additional settings, expand the Advanced settings section.

    Tworzenie przeglądu dostępu — Ustawienia zaawansowane

  2. Ustaw opcję Pokaż zalecenia do włączenia , aby wyświetlić recenzentów zalecenia systemowe na podstawie informacji o dostępie użytkownika.Set Show recommendations to Enable to show the reviewers the system recommendations based the user's access information.

  3. Ustaw przyczynę Wymagaj przy zatwierdzeniu , aby umożliwić recenzentowi podanie przyczyny zatwierdzenia.Set Require reason on approval to Enable to require the reviewer to supply a reason for approval.

  4. Ustaw powiadomienia pocztą , aby umożliwić usłudze Azure AD wysyłanie powiadomień e-mail do recenzentów po rozpoczęciu przeglądu dostępu oraz do administratorów po zakończeniu przeglądu.Set Mail notifications to Enable to have Azure AD send email notifications to reviewers when an access review starts, and to administrators when a review completes.

  5. Ustaw przypomnienia , aby umożliwić usłudze Azure AD wysyłanie przypomnień o przeglądach dostępu w toku do recenzentów, którzy nie ukończyli swojego przeglądu.Set Reminders to Enable to have Azure AD send reminders of access reviews in progress to reviewers who have not completed their review.

    Domyślnie usługa Azure AD automatycznie wysyła przypomnienia recenzentom, którzy jeszcze nie odpowiedzieli, po upływie połowy czasu przeznaczonego na przekazanie opinii.By default, Azure AD automatically sends a reminder halfway to the end date to reviewers who haven't yet responded.

Rozpocznij przegląd dostępuStart the access review

Po określeniu ustawień przeglądu dostępu kliknij przycisk Uruchom.Once you have specified the settings for an access review, click Start. Przegląd dostępu zostanie wyświetlony na liście ze wskaźnikiem jego stanu.The access review will appear in your list with an indicator of its status.

Lista przeglądów dostępu i ich stan

Domyślnie usługa Azure AD wysyła wiadomość e-mail do recenzentów wkrótce po rozpoczęciu przeglądu.By default, Azure AD sends an email to reviewers shortly after the review starts. Jeśli nie chcesz, aby usługa Azure AD wysłała wiadomość e-mail, pamiętaj, aby poinformować recenzentów, że przegląd dostępu oczekuje na jego zakończenie.If you choose not to have Azure AD send the email, be sure to inform the reviewers that an access review is waiting for them to complete. Można wyświetlić instrukcje dotyczące sposobu przeglądania dostępu do grup lub aplikacji.You can show them the instructions for how to review access to groups or applications. Jeśli Twoje przeglądy są przeznaczone dla Gości, aby zapoznać się z własnym dostępem, Pokaż im instrukcje dotyczące sposobu przeglądania dostępu do grup lub aplikacji.If your review is for guests to review their own access, show them the instructions for how to review access for yourself to groups or applications.

Jeśli przypisano Gości jako recenzentów, którzy nie zaakceptowali zaproszenia, nie otrzymają wiadomości e-mail od przeglądów dostępu, ponieważ najpierw muszą zaakceptować zaproszenie przed rozpoczęciem przeglądu.If you have assigned guests as reviewers and they have not accepted the invite, they will not receive an email from access reviews because they must first accept the invite prior to reviewing.

Tworzenie przeglądów za pośrednictwem interfejsów APICreate reviews via APIs

Możesz również tworzyć przeglądy dostępu za pomocą interfejsów API.You can also create access reviews using APIs. Aby zarządzać przeglądami dostępu dla grup i użytkowników aplikacji w Azure Portal, można również wykonać Microsoft Graph interfejsów API.What you do to manage access reviews of groups and application users in the Azure portal can also be done using Microsoft Graph APIs. Aby uzyskać więcej informacji, zobacz Dokumentacja interfejsu API przeglądów dostępu usługi Azure AD.For more information, see the Azure AD access reviews API reference. Aby uzyskać przykład kodu, zobacz przykład pobierania przeglądów dostępu do usługi Azure AD za pośrednictwem Microsoft Graph.For a code sample, see Example of retrieving Azure AD access reviews via Microsoft Graph.

Następne krokiNext steps