Slutför en åtkomstgranskning av grupper och program i åtkomstgranskningar

  • Artikel

Som administratör skapar du en åtkomstgranskning av grupper eller program och granskare utför åtkomstgranskningen. Den här artikeln beskriver hur du ser resultatet av åtkomstgranskningen och tillämpar dem.

Kommentar

Den här artikeln innehåller steg om hur du tar bort personuppgifter från enheten eller tjänsten och kan användas för att stödja dina skyldigheter enligt GDPR. För allmän information om GDPR, se GDPR-avsnittet för Microsoft Trust Center och GDPR-avsnitt av Service Trust Portal.

Förutsättningar

  • Microsoft Entra ID P2 eller Microsoft Entra ID-styrning
  • Global administratör, användaradministratör eller identitetsstyrningsadministratör för att hantera åtkomsten till granskningar av grupper och program. Användare som har rollen Global administratör eller Privilegierad rolladministratör kan hantera granskningar av rolltilldelningsbara grupper. Mer information finns i Använda Microsoft Entra-grupper för att hantera rolltilldelningar
  • Säkerhetsläsare har läsbehörighet.

Mer information finns i Licenskrav.

Visa status för en åtkomstgranskning

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Du kan spåra förloppet för åtkomstgranskningar när de har slutförts.

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Åtkomstgranskningar för identitetsstyrning>.

  3. Välj en åtkomstgranskning i listan.

    På sidan Översikt kan du se förloppet för den aktuella instansen av granskningen. Om det inte finns någon aktiv instans öppen vid den tidpunkten visas information om den tidigare instansen. Inga åtkomsträttigheter ändras i katalogen förrän granskningen har slutförts.

    Review of All company group

    Alla blad under Aktuell kan endast visas under varaktigheten för varje granskningsinstans.

    Kommentar

    Även om den aktuella åtkomstgranskningen endast visar information om den aktiva granskningsinstansen kan du få information om granskningar som ännu inte har ägt rum i serien under avsnittet Schemalagd granskning.

    Sidan Resultat innehåller mer information om varje användare som granskas i instansen, inklusive möjligheten att stoppa, återställa och ladda ned resultat.

    Review guest access across Microsoft 365 groups

    Om du visar en åtkomstgranskning som granskar gäståtkomst i Microsoft 365-grupper visas varje grupp i granskningen på bladet Översikt.

    review guest access across Microsoft 365 groups

    Välj i en grupp för att se förloppet för granskningen för den gruppen, även för Att stoppa, återställa, tillämpa och ta bort.

    review guest access across Microsoft 365 groups in detail

  4. Om du vill stoppa en åtkomstgranskning innan den har nått det schemalagda slutdatumet väljer du knappen Stoppa .

    När du stoppar en granskning kommer granskarna inte längre att kunna ge svar. Du kan inte starta om en granskning när den har stoppats.

  5. Om du inte längre är intresserad av åtkomstgranskningen kan du ta bort den genom att klicka på knappen Ta bort .

Visa status för granskning i flera steg (förhandsversion)

Så här ser du statusen och fasen för en åtkomstgranskning i flera steg:

  1. Välj den granskning i flera steg som du vill kontrollera statusen för eller se vilket stadium den finns i.

  2. Välj Resultat på den vänstra navigeringsmenyn under Aktuell.

  3. När du är på resultatsidan under Status anger den vilket stadium granskningen av flera steg är i. Nästa steg i granskningen blir inte aktivt förrän varaktigheten som angavs under åtkomstgranskningskonfigurationen har passerat.

  4. Om ett beslut har fattats, men granskningstiden för den här fasen inte har upphört att gälla ännu, kan du välja knappen Stoppa aktuell fas på resultatsidan. Detta utlöser nästa steg i granskningen.

Hämta resultaten

Om du vill visa resultatet för en granskning väljer du sidan Resultat . Om du bara vill se en användares åtkomst skriver du visningsnamnet eller användarens huvudnamn i rutan Sök för den användare vars åtkomst har granskats.

Retrieve results for an access review

Om du vill visa resultatet av en slutförd instans av en åtkomstgranskning som är återkommande väljer du Granska historik och väljer sedan den specifika instansen i listan över slutförda åtkomstgranskningsinstanser baserat på instansens start- och slutdatum. Resultatet av instansen kan hämtas från sidan Resultat. Med återkommande åtkomstgranskningar kan du ha en konstant bild av åtkomsten till resurser som kan behöva uppdateras oftare än enstaka åtkomstgranskningar.

Om du vill hämta resultatet av en åtkomstgranskning, både pågår eller slutförts, väljer du knappen Ladda ned . Den resulterande CSV-filen kan visas i Excel eller i andra program som kan öppna UTF-8-kodade CSV-filer.

Hämta resultaten programmatiskt

Du kan också hämta resultatet av en åtkomstgranskning med hjälp av Microsoft Graph eller PowerShell.

Du måste först hitta instansen av åtkomstgranskningen. Om accessReviewScheduleDefinition är en återkommande åtkomstgranskning representerar instanser varje upprepning. En granskning som inte upprepas har exakt en instans. Instanser representerar också varje unik grupp som granskas i schemadefinitionen. Om en schemadefinition granskar flera grupper har varje grupp en unik instans för varje upprepning. Varje instans innehåller en lista över beslut som granskare kan vidta åtgärder på, med ett beslut per identitet som granskas.

När du har identifierat instansen anropar du Graph-API:et för att lista beslut från en instans för att hämta besluten med Graph. Om det här är en granskning i flera steg anropar du Graph API för att lista beslut från en åtkomstgranskning i flera steg. Anroparen måste antingen vara en användare i en lämplig roll med ett program som har delegerat AccessReview.Read.All eller AccessReview.ReadWrite.All behörighet, eller ett program med behörigheten AccessReview.Read.All eller AccessReview.ReadWrite.All programmet. Mer information finns i självstudien om hur du granskar en säkerhetsgrupp.

Du kan också hämta besluten i PowerShell med cmdleten Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecisionfrån Microsoft Graph PowerShell-cmdletar för modulen Identitetsstyrning . Observera att standardstorleken för sidan för det här API:et är 100 beslutsobjekt.

Tillämpa ändringarna

Om Auto apply results to resource was enabled based on your selections in Upon completion settings ,autoapply will be executed once a review instance completes, or earlier if you manually stop the review.If Auto apply results to resource was enabled based on your selections in Upon completion settings, will autoapply will be executed once a review instance completes, or earlier if you manually stop the review.

Om Auto apply results to resource inte har aktiverats för granskningen går du till Granska historik under Serie efter att granskningstiden har upphört eller granskningen stoppades tidigt och väljer den instans av granskningen som du vill använda.

Apply access review changes

Välj Använd för att tillämpa ändringarna manuellt. Om en användares åtkomst nekades i granskningen tar Microsoft Entra-ID bort sitt medlemskap eller programtilldelning när du väljer Tillämpa.

Apply access review changes button

Statusen för granskningen ändras från Slutförd via mellanliggande tillstånd, till exempel Tillämpa och slutligen på tillstånd Resultat tillämpat. Du bör förvänta dig att eventuella nekade användare tas bort från gruppmedlemskapet eller programtilldelningen om några minuter.

Att tillämpa resultat manuellt eller automatiskt påverkar inte en grupp som har sitt ursprung i en lokal katalog. Om du vill ändra en grupp som har sitt ursprung lokalt laddar du ned resultaten och tillämpar ändringarna på representationen av gruppen i katalogen.

Kommentar

Vissa nekade användare kan inte tillämpa resultat på dem. Scenarier där detta kan inträffa är:

  • Granska medlemmar i en synkroniserad lokal Windows Server AD-grupp: Om gruppen synkroniseras från lokala Windows Server AD kan gruppen inte hanteras i Microsoft Entra-ID och därför kan medlemskapet inte ändras.
  • Granska en resurs (roll, grupp, program) med kapslade grupper tilldelade: För användare som har medlemskap via en kapslad grupp tar vi inte bort deras medlemskap i den kapslade gruppen och därför behåller de åtkomsten till den resurs som granskas.
  • Användaren hittades inte/andra fel kan också leda till att ett tillämpat resultat inte stöds.
  • Granska medlemmar i e-postaktiverad grupp: Gruppen kan inte hanteras i Microsoft Entra-ID, så medlemskapet kan inte ändras.
  • Om du granskar ett program som använder grupptilldelning tas inte medlemmarna i dessa grupper bort, så de behåller den befintliga åtkomsten från grupprelationen för programtilldelningen

Åtgärder som vidtas för nekade gästanvändare i en åtkomstgranskning

När granskningen har skapats kan skaparen välja mellan två alternativ för nekade gästanvändare i en åtkomstgranskning.

  • Nekade gästanvändare kan få sin åtkomst till resursen borttagen. Det här är standardinställningen.
  • Den nekade gästanvändaren kan blockeras från att logga in i 30 dagar och sedan tas bort från klientorganisationen. Under 30-dagarsperioden kan gästanvändaren återställas åtkomsten till klientorganisationen av en administratör. När 30-dagarsperioden har slutförts tas gästanvändaren bort permanent från klientorganisationen om gästanvändaren inte har haft åtkomst till resursen som beviljats dem igen. Med hjälp av administrationscentret för Microsoft Entra kan dessutom en global administratör uttryckligen permanent ta bort en nyligen borttagen användare innan den tidsperioden nås. När en användare har tagits bort permanent tas data om gästanvändaren bort från aktiva åtkomstgranskningar. Granskningsinformation om borttagna användare finns kvar i spårningsloggen.

Åtgärder som vidtas på nekade B2B-direktanslutningsanvändare

Nekade B2B-direktanslutningsanvändare och team förlorar åtkomst till alla delade kanaler i teamet.

Nästa steg