Conclua uma revisão de acesso de grupos e aplicativos em revisões de acesso
Como administrador, você cria uma revisão de acesso de grupos ou aplicativos e os revisores executam a revisão de acesso. Este artigo descreve como ver os resultados da revisão de acesso e aplicá-los.
Nota
Este artigo fornece passos sobre como eliminar dados pessoais do dispositivo ou serviço e pode ser utilizado para apoiar as suas obrigações ao abrigo do RGPD. Para obter informações gerais sobre o RGPD, consulte a secção RGPD do Centro de Confiança da Microsoft e a secção RGPD do Portal de Confiança do Serviço.
Pré-requisitos
- Governança do Microsoft Entra ID P2 ou Microsoft Entra ID
- Administrador global, administrador de usuários ou administrador de governança de identidade para gerenciar o acesso de revisões em grupos e aplicativos. Os usuários que têm a função de Administrador Global ou a função de Administrador de Função Privilegiada podem gerenciar revisões de grupos atribuíveis de função, consulte Usar grupos do Microsoft Entra para gerenciar atribuições de função
- Os leitores de segurança têm acesso de leitura.
Para obter mais informações, consulte Requisitos de licença.
Exibir o status de uma revisão de acesso
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Você pode acompanhar o progresso das revisões de acesso à medida que elas são concluídas.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Revisões de acesso à governança de >identidade.
Na lista, selecione uma revisão de acesso.
Na página Visão geral, você pode ver o progresso da instância atual da revisão. Se não houver uma instância ativa aberta no momento, você verá informações sobre a instância anterior. Nenhum direito de acesso é alterado no diretório até que a revisão seja concluída.
Todas as lâminas em Atual só podem ser visualizadas durante a duração de cada instância de revisão.
Nota
Embora a revisão de acesso atual mostre apenas informações sobre a instância de revisão ativa, você pode obter informações sobre avaliações que ainda não ocorrerão na Série na seção Revisão agendada.
A página Resultados fornece mais informações sobre cada usuário em revisão na instância, incluindo a capacidade de parar, redefinir e baixar resultados.
Se você estiver visualizando uma revisão de acesso que revisa o acesso de convidado em grupos do Microsoft 365, a folha Visão geral lista cada grupo na avaliação.
Selecione em um grupo para ver o progresso da revisão nesse grupo, também para Parar, Redefinir, Aplicar e Excluir.
Se quiser interromper uma revisão de acesso antes que ela atinja a data de término agendada, selecione o botão Parar .
Quando você interrompe uma avaliação, os revisores não poderão mais dar respostas. Não é possível reiniciar uma avaliação depois que ela for interrompida.
Se você não estiver mais interessado na revisão de acesso, poderá excluí-la clicando no botão Excluir .
Ver o estado da revisão em várias fases (pré-visualização)
Para ver o status e o estágio de uma revisão de acesso de vários estágios:
Selecione a revisão de vários estágios que você deseja verificar o status ou veja em que estágio ela está.
Selecione Resultados no menu de navegação esquerdo em Atual.
Quando você estiver na página de resultados, em Status , ele informará em qual estágio a revisão de vários estágios está. A próxima etapa da revisão não ficará ativa até que a duração especificada durante a configuração da revisão de acesso tenha passado.
Se uma decisão tiver sido tomada, mas a duração da revisão para este estágio ainda não tiver expirado, você poderá selecionar o botão Parar estágio atual na página de resultados. Isso desencadeará a próxima etapa da revisão.
Obter os resultados
Para visualizar os resultados de uma revisão, selecione a página Resultados . Para ver o acesso de um utilizador, na caixa Pesquisar, escreva o nome a apresentar ou o nome principal de utilizador cujo acesso tenha sido revisto.
Para exibir os resultados de uma instância concluída de uma revisão de acesso recorrente, selecione Histórico de revisão e, em seguida, selecione a instância específica na lista de instâncias de revisão de acesso concluídas, com base nas datas de início e término da instância. Os resultados desta instância podem ser obtidos na página Resultados. As revisões de acesso recorrente permitem que você tenha uma imagem constante do acesso a recursos que podem precisar ser atualizados com mais frequência do que as avaliações de acesso único.
Para recuperar os resultados de uma revisão de acesso, em andamento ou concluída, selecione o botão Download . O ficheiro CSV resultante pode ser visualizado no Excel ou noutros programas que abram ficheiros CSV codificados com UTF-8.
Recuperar os resultados programaticamente
Você também pode recuperar os resultados de uma revisão de acesso usando o Microsoft Graph ou o PowerShell.
Primeiro, você precisará localizar a instância da revisão de acesso. Se o accessReviewScheduleDefinition for uma revisão de acesso recorrente, as instâncias representarão cada recorrência. Uma revisão que não se repita terá exatamente uma instância. As instâncias também representam cada grupo exclusivo que está sendo revisado na definição de agenda. Se uma definição de agenda revisar vários grupos, cada grupo terá uma instância exclusiva para cada recorrência. Cada instância contém uma lista de decisões sobre as quais os revisores podem agir, com uma decisão por identidade sendo revisada.
Depois de identificar a instância, para recuperar as decisões usando o Graph, chame a API do Graph para listar as decisões de uma instância. Se esta for uma revisão de vários estágios, chame a API do Graph para listar decisões de uma revisão de acesso de vários estágios. O chamador deve ser um usuário em uma função apropriada com um aplicativo que tenha a permissão delegada AccessReview.Read.All ou ou um aplicativo com a AccessReview.Read.All permissão ou AccessReview.ReadWrite.AllAccessReview.ReadWrite.All aplicativo. Para obter mais informações, consulte o tutorial sobre como revisar um grupo de segurança.
Você também pode recuperar as decisões no PowerShell com o Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision cmdlet do módulo Cmdlets do Microsoft Graph PowerShell para Governança de Identidade . Observe que o tamanho de página padrão dessa API é de 100 itens de decisão.
Aplicar as alterações
Se a aplicação automática de resultados ao recurso tiver sido habilitada com base em suas seleções nas configurações Após a conclusão, a aplicação automática será executada assim que uma instância de revisão for concluída, ou antes, se você interromper manualmente a revisão.
Se a aplicação automática de resultados ao recurso não estiver habilitada para a revisão, navegue até Histórico de avaliações em Série depois que a duração da revisão terminar ou a avaliação tiver sido interrompida mais cedo e selecione na instância da avaliação que você deseja aplicar.
Selecione Aplicar para aplicar manualmente as alterações. Se o acesso de um usuário foi negado na revisão, quando você seleciona Aplicar, o ID do Microsoft Entra remove sua associação ou atribuição de aplicativo.
O status da revisão muda de Concluído para estados intermediários, como Aplicando e, finalmente, para o estado Resultado aplicado. Você deve esperar ver usuários negados, se houver, sendo removidos da associação ao grupo ou atribuição de aplicativo em alguns minutos.
A aplicação manual ou automática de resultados não tem efeito em um grupo originado em um diretório local. Se você quiser alterar um grupo que se origina localmente, baixe os resultados e aplique essas alterações à representação do grupo nesse diretório.
Nota
Alguns usuários negados não conseguem ter resultados aplicados a eles. Os cenários em que isso pode acontecer incluem:
- Revisão de membros de um grupo sincronizado do Windows Server AD local: se o grupo for sincronizado a partir do Windows Server AD local, o grupo não poderá ser gerenciado no Microsoft Entra ID e, portanto, a associação não poderá ser alterada.
- Revisão de um recurso (função, grupo, aplicativo) com grupos aninhados atribuídos: para usuários que têm associação por meio de um grupo aninhado, não removeremos sua associação ao grupo aninhado e, portanto, eles manterão o acesso ao recurso que está sendo revisado.
- Usuário não encontrado / outros erros também podem resultar em um resultado de aplicação não sendo suportado.
- Rever os membros do grupo ativado para correio: O grupo não pode ser gerido no Microsoft Entra ID, pelo que a associação não pode ser alterada.
- A revisão de um Aplicativo que usa atribuição de grupo não removerá os membros desses grupos, portanto, eles manterão o acesso existente da relação de grupo para a atribuição de aplicativo
Ações tomadas em usuários convidados negados em uma revisão de acesso
Na criação de uma avaliação, o criador pode escolher entre duas opções para usuários convidados negados em uma revisão de acesso.
- Os usuários convidados negados podem ter seu acesso ao recurso removido. Esta é a predefinição.
- O usuário convidado negado pode ser impedido de entrar por 30 dias e, em seguida, excluído do locatário. Durante o período de 30 dias, o usuário convidado pode restaurar o acesso ao locatário por um administrador. Após a conclusão do período de 30 dias, se o usuário convidado não tiver tido acesso ao recurso concedido a ele novamente, ele será removido do locatário permanentemente. Além disso, usando o centro de administração do Microsoft Entra, um Administrador Global pode excluir permanentemente explicitamente um usuário excluído recentemente antes que esse período de tempo seja atingido. Depois que um usuário for excluído permanentemente, os dados sobre esse usuário convidado serão removidos das avaliações de acesso ativo. As informações de auditoria sobre os utilizadores eliminados permanecem no registo de auditoria.
Ações tomadas em usuários de conexão direta B2B negados
Usuários e equipes de conexão direta B2B negados perdem o acesso a todos os canais compartilhados na Equipe.