Завершение проверки доступа групп и приложений в проверках доступа
Как администратор вы создаете проверку доступа для групп или приложений, а рецензенты выполняют проверку доступа. В этой статье описывается, как просмотреть результаты проверки доступа и применить их.
Примечание.
В этой статье приведены пошаговые инструкции по удалению персональных данных с устройства или из службы. Эти сведения можно использовать для соблюдения обязательств согласно Общему регламенту по защите данных (GDPR). Общие сведения о GDPR см. в разделе GDPR Центра управления безопасностью Майкрософт и в разделе GDPR на портале Service Trust Portal.
Необходимые компоненты
- Идентификатор Microsoft Entra P2 или Управление идентификацией Microsoft Entra
- Глобальный администратор, администратор пользователей или администратор управления удостоверениями для управления доступом к проверкам для групп и приложений. Пользователи с ролью Global Администратор istrator или ролью "Привилегированная роль" Администратор istrator могут управлять проверками групп, назначаемых ролями, см. статью "Использование групп Записей Майкрософт для управления назначениями ролей"
- У читателей сведений о безопасности есть доступ на чтение.
Дополнительные сведения см. в статье Лицензионные требования.
Просмотр состояния проверки доступа
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Вы можете отслеживать ход проверки доступа по мере их завершения.
Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.
Перейдите к проверкам доступа к управлению удостоверениями>.
В списке выберите проверку доступа.
На странице Обзор можно просмотреть прогресс текущегоэкземпляра проверки. Если в то время не открыт активный экземпляр, вы увидите сведения о предыдущем экземпляре. Права доступа к каталогу не меняются до тех пор, пока проверка не будет завершена.
Все колонки в текущем экземпляре отображаются только в течение срока действия каждого экземпляра проверки.
Примечание.
Хотя в текущей проверке доступа отображаются только сведения об активном экземпляре проверки, вы можете получить сведения о проверках, которые еще предстоит пройти, выбрав Серии в разделе Плановая проверка.
На странице "Результаты" содержатся дополнительные сведения о каждом пользователе в разделе проверки в экземпляре, включая возможность прекращать, сбрасывать и скачивать результаты.
Если вы просматриваете проверку доступа, которая проверяет гостевой доступ в группах Microsoft 365, в колонке "Обзор" перечислены все группы в обзоре.
Выберите группу, чтобы просмотреть ход проверки в этой группе, а также остановить, сбросить, применить и удалить.
Если вы хотите остановить проверку доступа, прежде чем она достигла запланированной даты окончания, нажмите кнопку "Остановить ".
Если вы прекратите проверку, рецензенты больше не смогут давать ответы. Невозможно перезапустить проверку после ее остановки.
Если вы больше не заинтересованы в проверке доступа, ее можно удалить, нажав кнопку Удалить.
Просмотр состояния многоэтапной проверки (предварительная версия)
Чтобы просмотреть состояние и этап многоэтапной проверки доступа, выполните приведенные ниже действия.
Выберите многоэтапную проверку, состояние которой необходимо проверить, или посмотреть этап, на котором она находится.
Выберите "Результаты " в меню навигации слева в разделе "Текущий".
Когда вы находитесь на странице результатов, в разделе "Состояние " он сообщает вам, на каком этапе выполняется многоэтапная проверка. Следующий этап проверки станет активен по истечении времени, указанного при настройке проверки доступа.
Если было принято решение, но срок проверки для этого этапа еще не истек, можно нажать кнопку "Остановить текущую стадию " на странице результатов. Будет активирован следующий этап проверки.
Получение результатов
Чтобы просмотреть результаты проверки, выберите страницу результатов . Чтобы просмотреть только доступ пользователя, в поле поиска введите отображаемое имя или имя субъекта-пользователя, доступ которого был проверен.
Чтобы просмотреть результаты завершенного экземпляра проверки доступа, повторяющегося, выберите журнал проверки, а затем выберите конкретный экземпляр из списка завершенных экземпляров проверки доступа на основе даты начала и окончания экземпляра. Результаты этого экземпляра можно получить на странице Результаты. Повторяющиеся проверки доступа позволяют получить постоянную картину доступа к ресурсам, которые, возможно, потребуется обновлять чаще, чем одноразовые проверки доступа.
Чтобы получить результаты проверки доступа, как выполняется, так и завершено, нажмите кнопку "Скачать ". Полученный CSV-файл можно просмотреть в Excel или в других программах, которые поддерживают CSV-файлы в кодировке UTF-8.
Получение результатов программным способом
Вы также можете получить результаты проверки доступа с помощью Microsoft Graph или PowerShell.
Сначала необходимо найти экземпляр проверки доступа. Если accessReviewScheduleDefinition является повторяющейся проверкой доступа, экземпляры представляют каждое повторение. Проверка, которая не повторяется, будет иметь ровно один экземпляр. Экземпляры также представляют каждую уникальную группу, проверяемую в определении расписания. Если определение расписания проверяет несколько групп, каждая группа будет иметь уникальный экземпляр для каждого повторения. Каждый экземпляр содержит список решений, над которыми рецензенты могут принимать меры, с одним решением для каждого удостоверения.
После того как вы определили экземпляр, чтобы получить решения с помощью Graph, вызовите API Graph для перечисления решений из экземпляра. Если это многоэтапная проверка, вызовите API Graph для перечисления решений из многоэтапной проверки доступа. Вызывающий объект должен быть пользователем в соответствующей роли с приложением, которое имеет делегированное AccessReview.Read.All или AccessReview.ReadWrite.All разрешение, или приложение с разрешением или AccessReview.ReadWrite.All разрешением AccessReview.Read.All приложения. Дополнительные сведения см. в руководстве по просмотру группы безопасности.
Вы также можете получить решения в PowerShell с Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision помощью командлета из командлетов Microsoft Graph PowerShell для модуля управления удостоверениями . Обратите внимание, что размер страницы по умолчанию этого API составляет 100 элементов принятия решений.
Применение изменений
Если автоматическое применение результатов к ресурсу было включено на основе выбранных вариантов в параметрах завершения, автоматическое применение будет выполнено после завершения экземпляра проверки или более ранней версии, если вы вручную остановите проверку.
Если автоматическое применение результатов к ресурсу не было включено для проверки, перейдите к журналу проверки в разделе "Серия" после окончания длительности проверки или проверка была остановлена раньше и выберите экземпляр проверки, который вы хотите применить.
Нажмите кнопку "Применить" , чтобы вручную применить изменения. Если доступ пользователя был отклонен в проверке, при нажатии кнопки "Применить" идентификатор Microsoft Entra удаляет свое членство или назначение приложения.
Состояние проверки изменяется с завершенного с помощью промежуточных состояний, таких как применение и, наконец, к результату состояния, примененного. Все пользователи, отклоненные по результатам проверки, будут лишены членства в группах или назначений в приложениях в течение нескольких минут.
Применение вручную или автоматическое применение результатов не оказывает влияния на группу, созданную в локальном каталоге. Если вы хотите изменить группу, которая создана в локальной среде, скачайте результаты и примените изменения к представлению группы в этом каталоге.
Примечание.
Некоторым отклоненным пользователям не удается применить к себе результаты. Ниже указаны сценарии, в которых могут произойти следующие события.
- Просмотр участников синхронизированной локальной группы Windows Server AD: если группа синхронизируется из локальной среды Windows Server AD, группа не может управляться в идентификаторе Microsoft Entra ID и поэтому членство невозможно изменить.
- Проверка ресурса (роли, группы, приложения) с назначенными вложенными группами: для пользователей, входящих во вложенную группу, членство во вложенной группе не будет удалено, поэтому у них останется доступ к проверяемому ресурсу.
- Пользователь не найден или другие ошибки также могут привести к тому, что применение результата не будет поддерживаться.
- Просмотр участников группы с поддержкой почты: группу нельзя управлять в идентификаторе Microsoft Entra, поэтому членство нельзя изменить.
- Проверка приложения, использующего назначение группы, не приведет к удалению членов этих групп, поэтому они будут сохранять существующий доступ из связи группы для назначения приложения.
Действия, предпринятые для гостевых пользователей, которым отказано в проверке доступа
При создании проверки автор может выбрать один из двух вариантов для гостевых пользователей, которым отказано в проверке доступа.
- Отклоненные гостевые пользователи могут иметь доступ к удаленному ресурсу. Это значение по умолчанию.
- Отклоненному гостевому пользователю можно заблокировать вход в систему на период в 30 дней, а затем удалить его из арендатора. В течение 30-дневного периода гостевой пользователь может восстановить доступ к арендатору с помощью администратора. После завершения 30-дневного периода, если у гостевого пользователя нет доступа к ресурсу, предоставленному им снова, они будут удалены из клиента окончательно. Кроме того, с помощью Центра администрирования Microsoft Entra глобальный Администратор istrator может явно удалить недавно удаленного пользователя до достижения этого периода времени. Если пользователь удален навсегда, данные об этом гостевом пользователе будут удалены из активных проверок доступа. Сведения аудита об удаленных пользователях остаются в журнале аудита.
Действия, предпринятые для запрещенных пользователей B2B с прямым соединением
Запрещено прямое подключение пользователей и команд B2B потерять доступ ко всем общим каналам в команде.