Создание проверки доступа для групп и приложений в Microsoft Entra ID

Доступ сотрудников и гостей к группам и приложениям изменяется со временем. Чтобы снизить риск, связанный с устаревшими назначениями доступа, администраторы могут использовать идентификатор Microsoft Entra для создания проверок доступа для участников группы или доступа к приложениям.

Владельцы групп безопасности Microsoft 365 и безопасности также могут использовать идентификатор Microsoft Entra для создания проверок доступа для участников группы, если пользователь в роли Глобального Администратор istrator или управления удостоверениями Администратор istrator включает параметр с помощью панели проверки доступа Параметры. Дополнительные сведения об этих сценариях см. в статье Управление проверками доступа.

Посмотрите короткое видео, в котором рассказывается о включении проверок доступа.

В этой статье описывается, как создать проверки доступа для участников группы или доступа к приложению.

• Сведения о проверке назначений пакетов доступа см. в статье о настройке проверки доступа в управлении правами.
• Сведения о проверке ресурсов Azure или ролей Microsoft Entra см. в статье о создании проверки доступа в PIM.
• Обзоры PIM для групп см. в статье о создании проверки доступа PIM для групп.

Необходимые компоненты

• Лицензии Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra.
• Для создания проверки неактивных пользователей или рекомендаций о принадлежности пользователей к группам требуется лицензия Управление идентификацией Microsoft Entra.
• Глобальный администратор или администратор управления удостоверениями для создания проверок в группах или приложениях.
• Пользователи должны находиться в роли глобального администратора или роли администратора привилегированных ролей, чтобы создавать проверки для групп, назначаемых ролями. Дополнительные сведения см. в разделе "Использование групп Microsoft Entra" для управления назначениями ролей.
• Microsoft 365 и владелец группы безопасности.

Дополнительные сведения см. в статье Лицензионные требования.

Если вы просматриваете доступ к приложению, а затем перед созданием проверки см. статью о подготовке проверки доступа пользователей к приложению , чтобы убедиться, что приложение интегрировано с идентификатором Microsoft Entra в клиенте.

Примечание.

Проверки доступа записывают моментальный снимок доступа в начале каждого экземпляра проверки. Любые изменения, внесенные во время процесса проверки, будут отражены в последующем цикле проверки. По сути, при начале каждого нового повторения извлекаются соответствующие данные о пользователях, ресурсах и их соответствующих рецензентах.

Создание одноэтапной проверки доступа

Область

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

2. Перейдите к проверкам доступа к управлению удостоверениями>.

3. Щелкните Создать проверку доступа, чтобы создать проверку доступа.

   

4. В поле Выберите, что следует проверить выберите ресурс, который нужно проверить.

   

5. Если вы выбрали Команды и группы, у вас есть два варианта.

   • Все группы Microsoft 365 с гостевыми пользователями. Выберите этот параметр, если вы хотите создать повторяющиеся проверки для всех гостевых пользователей во всех группах Microsoft Teams и Microsoft 365 в вашей организации. Динамические группы и группы с назначением ролей не включаются. Чтобы исключить определенные группы, нажмите Выбрать группы для исключения.

   • Выберите команды и группы. Выберите этот параметр, если вы хотите указать конечный набор команд или групп для проверки. Список групп для выбора отображается справа.

     

6. Если вы выбрали Приложения, выберите одно приложение или несколько.

   

Примечание.

Выбор нескольких групп или приложений приводит к созданию нескольких проверок доступа. Например, если выбрать пять групп для проверки, это приведет к пяти отдельным проверкам доступа.

7. Теперь можно выбрать область для проверки. Можно выполнить следующие действия:

   • Только гостевые пользователи: этот параметр ограничивает проверку доступа только гостевым пользователям Microsoft Entra B2B в вашем каталоге.
   • Все. Выбор этого параметра ограничивает проверку доступа всеми объектами пользователей, связанными с ресурсом.

   Примечание.

   Если вы выбрали все группы Microsoft 365 с гостевыми пользователями, то единственный вариант — проверить гостевых пользователей.

8. Или если вы проводите проверку членства в группе, вы можете создать проверки доступа только для неактивных пользователей в группе. В разделе Область пользователей установите флажок Только неактивные пользователи (на уровне арендатора). Если вы проверка поле, область проверки фокусируется только на неактивных пользователей, тех, кто не вошел в систему в интерактивном или неинтерактивном режиме в клиенте. Затем укажите неактивные дни с многодневным неактивным до 730 дней (два года). Пользователи в группе неактивны в течение указанного числа дней являются единственными пользователями в проверке.

   Примечание.

   Недавно созданные пользователи не затрагиваются при настройке времени бездействия. Проверка доступа проверяет, был ли пользователь создан в настроенном временном интервале и игнорирует пользователей, которые не существовали по крайней мере в течение этого периода времени. Например, если задать время бездействия равным 90 дней, а гостевой пользователь был создан или приглашен менее 90 дней назад, на гостевого пользователя не будет распространяться проверка доступа. Это гарантирует, что пользователь сможет выполнить вход по крайней мере один раз перед удалением.

9. Выберите Далее: проверка.

Далее: проверки

1. Вы можете создать одно- или многоэтапную проверку. Чтобы создать одноэтапную проверку, выполните описанную ниже процедуру. Чтобы создать многоэтапную проверку доступа, выполните действия, описанные в разделе Создание многоэтапной проверки доступа

2. В разделе Укажите проверяющих в поле Выберите проверяющих выберите одного или нескольких пользователей, которые будут принимать решения при проверке доступа. Варианты:

   • Владельцы групп. Этот вариант доступен только при выполнении проверки в команде или группе.
   • Выбранные пользователи или группы (Selected user(s) or groups(s))
   • Пользователи проверяют собственный доступ
   • Руководители пользователей

   При выборе руководителей пользователей или владельцев групп вы также можете указать резервного проверяющего. Резервным проверяющим предлагается выполнить проверку, если у пользователя нет руководителя, указанного в каталоге, или группа не имеет владельца.

   Примечание.

   При проверке доступа к группе или группе только владельцы групп (во время начала проверки) считаются рецензентами. В ходе проверки, если список владельцев групп обновлен, новые владельцы групп не будут считаться рецензентами, а старые владельцы групп по-прежнему будут считаться рецензентами. Однако в случае повторяющейся проверки все изменения списка владельцев групп будут рассматриваться в следующем экземпляре этой проверки.

   Внимание

   Для PIM для групп (предварительная версия) необходимо выбрать владельца группы. Обязательно назначить по крайней мере одного резервного рецензента рецензирование. Проверка будет назначать только активных владельцев в качестве рецензентов. Допустимые владельцы не включены. Если при начале проверки нет активных владельцев, резервные рецензенты будут назначены проверке.

   

3. В разделе Указание повторения проверки укажите следующие значения:

   • Длительность (в днях): время, в течение которого проверка будет открыта для рецензентов.

   • Дата начала: время, когда начинается ряд проверок.

   • Дата окончания: время, когда завершается ряд проверок. Можно указать, что он никогда не заканчивается, заканчивается в определенную дату или после определенного числа повторений.

     

4. Выберите Далее: параметры.

Далее: параметры

1. В разделе Настройки после завершения можно указать, что происходит после завершения проверки.

   

   • Автоматически применять результаты к ресурсу. Установите этот флажок, если требуется автоматически блокировать доступ для запрещенных пользователей по окончании срока действия проверки. Если параметр отключен, необходимо вручную применить результаты после завершения проверки. Дополнительные сведения о применении результатов проверки см. в разделе об управлении проверками доступа.

   • Если рецензенты не отвечают. С помощью этого параметра укажите, что должно происходить с пользователями, которые не были проверены рецензентом в течение периода проверки. Этот параметр не влияет на пользователей, которые были проверены рецензентом. В раскрывающемся списке отображаются следующие параметры:

     • Без изменений — доступ пользователя сохраняется без изменений.
     • Удалить доступ — доступ пользователя блокируется.
     • Утвердить доступ — доступ пользователя утверждается.
     • Получить рекомендации — применить рекомендации системы в отношении запрета или утверждения доступа пользователя.

     Предупреждение

     Если параметры, если рецензенты не отвечают , задано значение Remove access or Take recommendations and Take recommendations and Auto apply results to resource enabled, all access to this resource потенциально может быть отменен, если рецензенты не смогут отвечать.

   • Действие, которое будет применено к гостевым пользователям, которым было отказано в доступе. Этот параметр доступен лишь в том случае, если проверка доступа применяется только к гостевым пользователям, и позволяет указать, что будет происходит с гостевыми пользователями, для которых был заблокирован доступ (рецензентами или настройкой параметра Если рецензенты не отвечают).

     • Удалить членство пользователя в ресурсе. Выбор этого варианта приведет к блокированию доступа гостевого пользователя к проверяемой группе или приложению. Он по-прежнему сможет входить в клиент и не потеряет другие права доступа.
     • Заблокировать пользователю вход в систему на 30 дней, а затем удалить его из клиента. Выбор этого варианта приведет к блокировке входа заблокированного пользователя в клиент независимо от того, есть ли у него доступ к другим ресурсам. Если это действие было совершено по ошибке, администратор может повторно включить для гостевого пользователя доступ в течение 30 дней после его отключения. Если в течение 30 дней для отключенного пользователя не будут выполнены никакие действия, он будет удален из клиента.

   Дополнительные сведения о рекомендациях по удалению гостевых пользователей, которые больше не имеют доступа к ресурсам в организации, см. в статье "Использование Управление идентификацией Microsoft Entra для проверки и удаления внешних пользователей, у которых больше нет доступа к ресурсам".

   Примечание.

   Действие, применяемое к запрещенным гостевым пользователям, не настраивается при проверке, ограниченной несколькими гостевыми пользователями. Кроме того, его нельзя настроить для проверок всех групп Microsoft 365 с гостевыми пользователями. Если вы не настраиваете, параметр по умолчанию для удаления членства пользователя из ресурса используется для запрещенных пользователей.

2. С помощью функции После завершения проверки отправлять уведомление можно отправлять другим пользователям или группам уведомления с информацией о выполнении проверки Данная функция позволяет заинтересованным сторонам, за исключением автора обзора, получать информацию о ходе проверки. Чтобы использовать данную функцию, выберите Выбрать пользователей или группы и добавьте дополнительного пользователя или группу, для которых нужно получить статус завершения.

3. В разделе Включить вспомогательные приложения по принятию решений выберите, хотите ли вы, чтобы ваш рецензент получал рекомендации в процессе проверки:

   1. Если вы выберете Не входить в систему в течение 30 дней, пользователям, выполнившим вход в течение предыдущего 30-дневного периода, рекомендуется утвердить учетную запись. Пользователи, которые не входили в течение этого периода, рекомендуются к блокировке. Этот 30-дневный период не зависит от того, были ли операции входа интерактивными. Вместе с рекомендацией отображается дата последнего входа указанного пользователя.
   2. Если выбрана принадлежность пользователей к группе, рецензенты получают рекомендацию утвердить или запретить доступ для пользователей на основе среднего расстояния пользователя в структуре отчетов организации. Пользователи, которые находятся далеко от всех остальных пользователей в группе, считаются "низкой принадлежностью" и получат рекомендацию об отказе в проверках доступа к группе.

   Примечание.

   Если проверка доступа создается для приложений, эти рекомендации основываются на интервале 30 дней для времени последнего входа пользователя в приложение, а не в клиент.

   

4. В разделе Дополнительные параметры можно выбрать следующее:

   • Требуется обоснование. Установите этот флажок, чтобы требовать от рецензентов указывать причину утверждения или запрета.

   • Уведомления по электронной почте. Выберите этот проверка box, чтобы идентификатор Microsoft Entra ID отправлял Уведомления по электронной почте рецензентам при запуске проверки доступа и администраторам при завершении проверки.

   • Напоминания. Выберите этот проверка box, чтобы идентификатор Microsoft Entra ID отправлял напоминания о проверках доступа, выполняемых всем рецензентам. Рецензенты получают напоминания в процессе проверки независимо от того, завершили ли они ее.

   • Дополнительное содержимое для электронного сообщения рецензенту. Содержимое сообщения электронной почты, отправленного рецензентам, формируется автоматически на основе таких сведений о проверке, как имя проверки, имя ресурса и дата выполнения. Если требуется способ передачи дополнительных сведений, можно указать дополнительные инструкции или контактные данные в поле. Введенные сведения включаются в приглашения, и напоминания отправляются по электронной почте назначенным рецензентам. В разделе, выделенном на изображении ниже, показано, где отображаются эти сведения.

     

5. По завершении выберите Next: Просмотр + создание.

   

Далее: проверка и создание

1. Назовите проверку доступа. При необходимости укажите описание проверки. Имя и описание отображаются для рецензентов.

2. Просмотрите сведения и щелкните Создать.

Создание многоэтапной проверки доступа

Многоэтапная проверка позволяет администратору определить два или три набора рецензентов, которые будут выполнять проверку последовательно. В одноэтапном обзоре все рецензенты выполняют решение в течение одного периода, а последний рецензент принять решение, применяет свое решение. В многоэтапном обзоре два или три независимых набора рецензентов каждый из них принимает решение в рамках собственного этапа. Этапы являются последовательными, и следующий этап не происходит до тех пор, пока решение не будет записано на предыдущем этапе. Многоэтапные проверки позволяют снизить нагрузку на последующих этапах проверки, обеспечить эскалацию или организовать согласованное принятие решений независимыми группами рецензентов.

Примечание.

Данные пользователей, включенные в многоэтапную проверку доступа, являются частью записи аудита в начале проверки. Администраторы могут удалить данные в любое время, удалив серию многоэтапной проверки доступа. Общие сведения о GDPR и защите данных пользователей см. в разделе, посвященном GDPR, в Центре управления безопасностью Майкрософт и на портале Service Trust Portal.

1. Выбрав ресурс и область проверки, перейдите на вкладку Проверки.

2. Выберите проверка box рядом с многоэтапной проверкой.

3. В разделе Первый этап проверки выберите рецензентов в раскрывающемся меню рядом с элементом Выберите проверяющих.

4. Если выбраны владельцы групп или руководители пользователей, то можно добавить резервного рецензента. Чтобы добавить резервный вариант, выберите " Выбрать резервных рецензентов " и добавьте пользователей, которые вы хотите использовать резервные рецензенты.

   

5. Укажите длительность первого этапа. Чтобы указать длительность, введите число в поле Длительность этапа (в днях). Это период в днях, в течение которого рецензенты первого этапа должны принять решение.

6. В разделе Второй этап проверки выберите рецензентов в раскрывающемся меню рядом с элементом Выберите проверяющих. Эти рецензенты должны будут приступить к проверке после завершения первого этапа.

7. При необходимости добавьте резервных рецензентов.

8. Укажите длительность второго этапа.

9. По умолчанию при создании многоэтапной проверки отображается два этапа. Однако вы можете добавить третий этап. Чтобы добавить третий этап, выберите + Добавить этап и заполните обязательные поля.

10. Вы можете разрешить 2-й и 3-й этап рецензенты просмотру решений, принятых на предыдущем этапе. Если вы хотите разрешить им видеть принятые ранее решения, выберите поле рядом с отображением предыдущих решений этапов для последующих рецензентов этапа в разделе "Показать результаты проверки". Не устанавливайте этот флажок, если нужно, чтобы рецензенты проводили проверку независимо друг от друга.

    

11. Длительность каждого повторения определяется суммой дней длительности, указанных на каждом этапе.

12. Заполните поля Повторение проверки, Дата начала и Дата окончания для проверки. Тип повторения должен быть не меньше, чем общая длительность повторения (т. е. максимальная длительность еженедельного повторения проверки составляет 7 дней).

13. Чтобы указать, какие проверяющие будут продолжаться с этапа до этапа, выберите один или несколько из следующих параметров рядом с параметром "Указать проверяющие", чтобы перейти к следующему этапу :

    1. Утвержденные проверяемые — на следующие этапы переводятся только утвержденные проверяемые.
    2. Отклоненные проверяемые — на следующие этапы переводятся только отклоненные проверяемые.
    3. Не проверенные проверяемые — на следующие этапы переводятся только не проверенные проверяемые.
    4. Проверяемые, помеченный как "неизвестно" — на следующие этапы переводятся только проверяемые, помеченный как "неизвестно".
    5. Все — на следующие этапы переводятся все проверяемые. Таким образом, решение смогут принять рецензенты на всех этапах.

14. Перейдите на вкладку Параметры, чтобы завершить настройку и создать проверку. Следуйте инструкциям в разделе Далее: параметры.

Включение пользователей и команд прямого соединения B2B, получающих доступ к общим каналам Teams, в проверки доступа

Вы можете создавать проверки доступа для пользователей с прямым соединением B2B через общие каналы в Microsoft Teams. При внешней совместной работе можно использовать проверки доступа Microsoft Entra, чтобы убедиться, что внешний доступ к общим каналам остается текущим. Внешние пользователи в общих каналах называются пользователями с прямым соединением B2B. Чтобы узнать больше об общих каналах Teams и пользователях с прямым соединением B2B, ознакомьтесь со статьей Прямое соединение B2B.

При создании проверки доступа для команды с общими каналами ваши рецензенты могут оценить сохраняющуюся необходимость в доступе таких внешних пользователей и команд в общих каналах. Вы можете выполнить проверку доступа для пользователей с прямым соединением B2B и других поддерживаемых B2B пользователей-участников и внутренних пользователей без B2B в одной проверке.

Примечание.

В настоящее время пользователи и команды с прямым соединением B2B включаются только в одноэтапные проверки. Если включены многоэтапные проверки, пользователи и команды прямого подключения B2B не будут включены в проверку доступа.

Пользователи и команды с прямым соединением B2B включаются в проверки доступа группы Microsoft 365 с поддержкой Teams, в которую входят общие каналы. Чтобы создать проверку, вам нужно иметь следующие права:

• Глобальный администратор
• Администратор пользователей
• Администратор управления удостоверениями

Используйте инструкции ниже, чтобы создать проверку доступа для команды с общими каналами:

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

2. Перейдите к проверкам доступа к управлению удостоверениями>.

3. Выберите + Новая проверка доступа.

4. Выберите Teams + Группы, а затем выберите команды + группы, чтобы задать область проверки. Пользователи и группы с прямым соединением B2B не включаются в проверки всех групп Microsoft 365 с гостевыми пользователями.

5. Выберите команду с общими каналами, которые доступны одному или нескольким пользователям или группам с прямым соединением B2B.

6. Задайте значение для параметра Область.

   

   • Выберите всех пользователей , которые нужно включить:
     • все внутренние пользователи;
     • пользователи службы совместной работы B2B, являющиеся членами команды;
     • пользователи с прямым соединением B2B;
     • команды, использующие общие каналы.
   • Или выберите Только гостевые пользователи, чтобы включить только пользователей и команды с прямым соединением B2B и пользователей службы совместной работы B2B.

7. Перейдите на вкладку Проверки. Выберите рецензента для выполнения проверки, а затем укажите значения для параметров Длительность и Частота проверки.

   Примечание.

   • Если для параметра Выбрать рецензентов задано значение Пользователи проверяют собственный доступ или Руководители пользователей, пользователи и команды с прямым соединением B2B не смогут проверять собственный доступ в вашем арендаторе. Владелец проверяемой команды получит сообщение электронной почты с просьбой владельцу проверить пользователей и команды с прямым соединением B2B.
   • Если выбрать Руководители пользователей, выбранный резервный рецензент проверит всех пользователей без руководителя в домашнем арендаторе. К ним относятся пользователи и команды с прямым соединением B2B без руководителя.

8. Перейдите на вкладку Параметры и настройте дополнительные параметры. Затем перейдите на вкладку Проверить и создать, чтобы начать проверку доступа. Более подробные сведения о создании проверки и параметрах конфигурации см. в разделе Создание одноэтапной проверки доступа.

Разрешить владельцам групп создавать проверки доступа к своим группам и управлять ими

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Необходимая роль — это глобальный Администратор istrator или управление удостоверениями Администратор istrator.

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

2. Перейдите к проверкам >доступа к управлению удостоверениями>Параметры.

3. На странице Уполномочить, кто может создавать проверки доступа и управлять ими установите для параметра Владельцы групп могут создавать проверки доступа для групп, которыми они владеют, и управлять ими значение Да.

   

   Примечание.

   По умолчанию для этого параметра установлено значение Нет. Чтобы разрешить владельцам групп создавать проверки доступа и управлять ими, измените значение на Да.

Создание проверки доступа программным способом

Вы также можете создать проверку доступа с помощью Microsoft Graph или PowerShell.

Чтобы создать проверку доступа с помощью Graph, вызовите API Graph для создания определения расписания проверки доступа. Вызывающий объект должен быть пользователем в соответствующей роли с приложением с делегированным AccessReview.ReadWrite.All разрешением или приложением с разрешением AccessReview.ReadWrite.All приложения. Дополнительные сведения см. в статье "Обзор api проверки доступа" и учебники по просмотру участников группы безопасности или просмотр гостей в группах Microsoft 365.

Вы также можете создать проверку доступа в PowerShell с New-MgIdentityGovernanceAccessReviewDefinition помощью командлета Microsoft Graph PowerShell для модуля управления удостоверениями . Дополнительные сведения см. в примерах.

При запуске проверки доступа

После указания параметров проверки доступа и его создания в списке появится проверка доступа с индикатором его состояния.

По умолчанию идентификатор Microsoft Entra отправляет сообщение электронной почты рецензентам вскоре после однократной проверки или повторения повторяющейся проверки. Если у вас нет идентификатора Microsoft Entra, отправьте сообщение электронной почты, обязательно сообщите рецензентам, что проверка доступа ожидает их завершения. Вы можете показать им инструкции по проверке доступа к группам или приложениям. Если ваш отзыв предназначен для гостей, чтобы они могли проверить собственный доступ, покажите им инструкции по проверке доступа к группам или приложениям.

Если вы назначили гостей в качестве рецензентов, но они не приняли приглашение на присоединение к клиенту, они не получат сообщение электронной почты для проверки доступа. Прежде чем они смогут начать проверку, они должны принять приглашение.

Обновление проверки доступа

После запуска одной или нескольких проверок доступа может потребоваться изменить параметры имеющихся проверок доступа. Ниже приведены некоторые распространенные сценарии.

• Изменение параметров или рецензентов. Если проверка доступа повторяется, то в разделах Текущий и Серия доступны отдельные параметры. Изменения параметров или рецензентов в разделе Текущий применяются только к текущей проверке доступа. Изменения параметров в разделе Серия применяются ко всем последующим повторениям.

  

• Добавление и удаление рецензентов. При обновлении проверок доступа вы можете добавить резервного рецензента в дополнение к основному. При обновлении проверки доступа основные рецензенты могут быть удалены. Резервные рецензенты не подлежат удалению.

  Примечание.

  Резервных рецензентов можно добавлять, только если типом рецензента является руководитель или владелец группы. Основных рецензентов можно добавлять, если выбран тип рецензента "Пользователь".

• Напоминание рецензентам. При обновлении проверок доступа вы можете включить параметр Напоминания в разделе Дополнительные параметры. После этого пользователи будут получать уведомление по электронной почте в средней точке периода проверки независимо от того, завершили ли они проверку.

  

Следующие шаги

• Выполнение проверки доступа для групп или приложений
• Создание проверки доступа PIM для групп (предварительная версия)
• Проверка доступа к группам или приложениям
• Проверка собственного доступа к группам или приложениям