Skapa en åtkomstgranskning av grupper och program i Azure AD

  • Artikel
  • 8 minuter för att läsa

Åtkomsten till grupper och program för anställda och gäster ändras över tid. För att minska risken för inaktuella åtkomsttilldelningar kan administratörer använda Azure Active Directory (Azure AD) för att skapa åtkomstgranskningar för gruppmedlemmar eller programåtkomst.

Microsoft 365- och säkerhetsgruppägare kan också använda Azure AD för att skapa åtkomstgranskningar för gruppmedlemmar så länge den globala administratören eller användaradministratören aktiverar inställningen via fönstret Åtkomstgranskningar Inställningar (förhandsversion). Mer information om dessa scenarier finns i Hantera åtkomstgranskningar.

Titta på en kort video som handlar om att aktivera åtkomstgranskningar.

Den här artikeln beskriver hur du skapar en eller flera åtkomstgranskningar för gruppmedlemmar eller programåtkomst.

Förutsättningar

  • Azure AD Premium P2.
  • Global administratör administratör, användaradministratör eller identitetsstyrningsadministratör för att skapa granskningar av grupper eller program.
  • Globala administratörer och privilegierade rolladministratörer kan skapa granskningar för rollde tilldelningsbara grupper. Mer information finns i Använda Azure AD-grupper för att hantera rolltilldelningar.
  • (Förhandsversion) Microsoft 365 och ägare av säkerhetsgrupp.

Mer information finns i Licenskrav.

Skapa en eller flera åtkomstgranskningar

  1. Logga in på Azure Portal och öppna sidan Identitetsstyrning.

  2. På den vänstra menyn väljer du Åtkomstgranskningar.

  3. Välj Ny åtkomstgranskning för att skapa en ny åtkomstgranskning.

    Skärmbild som visar fönstret Åtkomstgranskningar i Identitetsstyrning.

  4. I rutan Välj vad du vill granska väljer du vilken resurs som du vill granska.

    Skärmbild som visar hur du skapar en åtkomstgranskning.

  5. Om du har Teams + grupper har du två alternativ:

    • Alla Microsoft 365 grupper med gästanvändare: Välj det här alternativet om du vill skapa återkommande granskningar för alla dina gästanvändare i alla dina Microsoft Teams och Microsoft 365 grupper i din organisation. Dynamiska grupper och roll-tilldelningsbara grupper ingår inte. Du kan också välja att undanta enskilda grupper genom att välja Välj grupper som ska undantas.

    • Välj Teams + grupper: Välj det här alternativet om du vill ange en begränsad uppsättning team eller grupper att granska. En lista över grupper att välja mellan visas till höger.

      Skärmbild som visar val Teams + grupper.

  6. Om du har valt Program väljer du ett eller flera program.

    Skärmbild som visar gränssnittet som visas om du har valt program i stället för grupper.

    Anteckning

    Om du väljer flera grupper eller program skapas flera åtkomstgranskningar. Om du till exempel väljer fem grupper att granska blir resultatet fem separata åtkomstgranskningar.

  7. Nu kan du välja ett omfång för granskningen. Alternativen är:

    • Endast gästanvändare: Det här alternativet begränsar åtkomstgranskningen till endast Azure AD B2B-gästanvändare i din katalog.
    • Alla: Det här alternativet omfattar åtkomstgranskningen för alla användarobjekt som är associerade med resursen.

    Anteckning

    Om du har valt Alla Microsoft 365 grupper med gästanvändare är det enda alternativet att endast granska Gästanvändare.

  8. Välj Nästa: Granskar.

  9. I avsnittet Ange granskare går du till rutan Välj granskare och väljer antingen en eller flera personer för att göra åtkomstgranskningarna. Du kan välja mellan:

    • Gruppägare: Det här alternativet är endast tillgängligt när du granskar ett team eller en grupp.
    • Valda användare eller grupper
    • Användare granskar sin egen åtkomst
    • Användares chefer

    Om du väljer antingen Chefer för användare eller Gruppägare kan du även ange en återställningsgranskning. Fallback-granskare uppmanas att göra en granskning när användaren inte har någon chef angiven i katalogen eller om gruppen inte har någon ägare.

    Skärmbild som visar Ny åtkomstgranskning.

  10. I avsnittet Ange upprepning av granskning anger du följande val:

    • Varaktighet (i dagar): Hur länge en granskning är öppen för indata från granskare.

    • Startdatum: När serien med granskningar börjar.

    • Slutdatum: När serien med granskningar slutar. Du kan ange att den aldrig slutar. Eller så kan du välja Avsluta på ett visst datum eller Avsluta efter antalet förekomster.

      Skärmbild som visar hur ofta granskningen ska ske.

  11. Välj Nästa: Inställningar.

  12. I avsnittet Inställningar för slutförande kan du ange vad som ska hända när granskningen är klar.

    Skärmbild som visar inställningarna vid slutförande.

    • Tillämpa resultat automatiskt på resursen: Markera den här kryssrutan om du vill att åtkomsten till nekade användare ska tas bort automatiskt när granskningen har avslutats. Om alternativet är inaktiverat måste du manuellt tillämpa resultatet när granskningen är klar. Mer information om hur du tillämpar resultatet av granskningen finns i Hantera åtkomstgranskningar.

    • Om granskare inte svarar: Använd det här alternativet för att ange vad som händer för användare som inte granskas av någon granskare inom granskningsperioden. Den här inställningen påverkar inte användare som har granskats av en granskare. I listrutan visas följande alternativ:

      • Ingen ändring: Lämnar en användares åtkomst oförändrad.
      • Ta bort åtkomst: Tar bort en användares åtkomst.
      • Godkänn åtkomst: Godkänner en användares åtkomst.
      • Ta rekommendationer: Tar systemets rekommendation att neka eller godkänna användarens fortsatt åtkomst.

    • Åtgärd som ska tillämpas på nekade gästanvändare: Det här alternativet är endast tillgängligt om åtkomstgranskningen är begränsad till att endast inkludera gästanvändare för att ange vad som händer med gästanvändare om de antingen nekas av en granskare eller av inställningen Om granskare inte svarar.

      • Ta bort användarens medlemskap från resursen: Det här alternativet tar bort en nekad gästanvändares åtkomst till gruppen eller programmet som granskas. De kan fortfarande logga in på klienten och förlorar inte någon annan åtkomst.
      • Blockera användare från att logga in i 30 dagar och ta sedan bort användare från klientorganisationen: Det här alternativet blockerar en nekad gästanvändare från att logga in på klienten, oavsett om de har åtkomst till andra resurser. Om den här åtgärden vidtogs som ett fel kan administratörer återaktiveras gästanvändarens åtkomst inom 30 dagar efter att gästanvändaren inaktiverades. Om ingen åtgärd vidtas för den inaktiverade gästanvändaren efter 30 dagar tas de bort från klientorganisationen.

    Mer information om metodtips för att ta bort gästanvändare som inte längre har åtkomst till resurser i din organisation finns i Använda Azure AD Identity Governance för att granska och ta bort externa användare som inte längre har resursåtkomst.

    Anteckning

    Åtgärden som ska tillämpas på nekade gästanvändare kan inte konfigureras för granskningar som är begränsade till mer än gästanvändare. Det kan inte heller konfigureras för granskningar av alla grupper Microsoft 365 med gästanvändare. Om det inte går att konfigurera används standardalternativet att ta bort en användares medlemskap från resursen för nekade användare.

  13. Använd alternativet Skicka meddelande till i slutet av granskningen för att skicka meddelanden till andra användare eller grupper med slutförandeuppdateringar. Med den här funktionen kan andra intressenter än granskningsskaparen uppdateras om granskningsförloppet. Om du vill använda den här funktionen väljer du Välj användare eller Grupp(er) och lägger till en annan användare eller grupp som du vill ha statusen slutförd för.

  14. I avsnittet Aktivera beslutshjälp för granskning väljer du om du vill att granskaren ska få rekommendationer under granskningsprocessen. När den här inställningen är aktiverad rekommenderas användare som har loggat in under den föregående 30-dagarsperioden för godkännande. Användare som inte har loggat in under de senaste 30 dagarna rekommenderas för nekande.

    Anteckning

    Om du skapar en åtkomstgranskning baserat på program baseras dina rekommendationer på intervallet på 30 dagar beroende på när användaren senast loggade in i programmet i stället för klienten.

    Skärmbild som visar alternativet Aktivera beslutshjälp för granskare.

  15. I avsnittet Avancerade inställningar kan du välja följande:

    • Motivering krävs: Markera den här kryssrutan om du vill kräva att granskaren ska ange en orsak till godkännande eller nekande.

    • E-postmeddelanden: Markera den här kryssrutan om du vill att Azure AD ska skicka e-postmeddelanden till granskare när en åtkomstgranskning startar och till administratörer när en granskning är klar.

    • Påminnelser: Markera den här kryssrutan om du vill att Azure AD ska skicka påminnelser om pågående åtkomstgranskningar till alla granskare. Granskarna får påminnelserna halvvägs genom granskningen, oavsett om de har slutfört granskningen eller inte.

    • Ytterligare innehåll för granskarens e-post: Innehållet i e-postmeddelandet som skickas till granskare genereras automatiskt baserat på granskningsinformationen, till exempel granskningsnamn, resursnamn och förfallodatum. Om du behöver förmedla mer information kan du ange information som instruktioner eller kontaktinformation i rutan. Den information som du anger ingår i inbjudan och e-postmeddelanden skickas till tilldelade granskare. Avsnittet som är markerat i följande bild visar var den här informationen visas.

      Skärmbild som visar ytterligare innehåll för granskare.

  16. Välj Nästa: Granska + skapa.

    Skärmbild som visar fliken Granska + skapa.

  17. Ge åtkomstgranskningen ett namn. Du kan också ge granskningen en beskrivning. Namnet och beskrivningen visas för granskarna.

  18. Granska informationen och välj Skapa.

Tillåt gruppägare att skapa och hantera åtkomstgranskningar av sina grupper (förhandsversion)

Den nödvändiga rollen är global administratör eller användaradministratör.

  1. Logga in på Azure Portal och öppna sidan Identity Governance ( Identitetsstyrning).

  2. På menyn till vänster går du till Åtkomstgranskningar och väljer Inställningar.

  3. På sidan Delegera vem som kan skapa och hantera åtkomstgranskningar anger du (förhandsversion) Gruppägare kan skapa och hantera åtkomstgranskningar för grupper som de äger till Ja.

    Skärmbild som visar hur gruppägare kan granskas.

    Anteckning

    Som standard är inställningen inställd på Nej. Om du vill tillåta gruppägare att skapa och hantera åtkomstgranskningar ändrar du inställningen till Ja.

Starta åtkomstgranskningen

När du har angett inställningarna för en åtkomstgranskning väljer du Starta. Åtkomstgranskningen visas i listan med en indikator på dess status.

Skärmbild som visar en lista över åtkomstgranskningar och deras status.

Som standard skickar Azure AD ett e-postmeddelande till granskare strax efter att granskningen har startat. Om du väljer att inte få Azure AD att skicka e-postmeddelandet måste du informera granskarna om att en åtkomstgranskning väntar på att de ska slutföras. Du kan visa dem instruktionerna för hur du granskar åtkomsten till grupper eller program. Om din granskning är till för gäster att granska sin egen åtkomst, visar du dem anvisningarna för hur du granskar åtkomst för dig själv till grupper eller program.

Om du har tilldelat gäster som granskare och de inte har accepterat sin inbjudan till klientorganisationen får de inte något e-postmeddelande från åtkomstgranskningar. De måste först acceptera inbjudan innan de kan börja granska.

Uppdatera åtkomstgranskningen

När en eller flera åtkomstgranskningar har startat kanske du vill ändra eller uppdatera inställningarna för dina befintliga åtkomstgranskningar. Här är några vanliga scenarier att tänka på:

  • Uppdatera inställningar eller granskare: Om en åtkomstgranskning är återkommande finns det separata inställningar under Aktuell och under Serie. Om du uppdaterar inställningarna eller granskarna under Aktuell tillämpas endast ändringar i den aktuella åtkomstgranskningen. Om du uppdaterar inställningarna under Serie uppdateras inställningarna för alla framtida upprepningar.

    Skärmbild som visar uppdatering av inställningarna för åtkomstgranskning.

  • Lägga till och ta bort granskare: När du uppdaterar åtkomstgranskningar kan du välja att lägga till en reserv granskare utöver den primära granskaren. Primära granskare kan tas bort när du uppdaterar en åtkomstgranskning. Fallback-granskare kan inte tas bort.

    Anteckning

    Fallback-granskare kan bara läggas till när granskartypen är chef eller gruppägare. Primära granskare kan läggas till när granskartypen är den valda användaren.

  • Påminn granskarna: När du uppdaterar åtkomstgranskningar kan du välja att aktivera alternativet Påminnelser under Avancerade inställningar. Användarna får sedan ett e-postmeddelande mitt under granskningsperioden, oavsett om de har slutfört granskningen eller inte.

    Skärmbild som visar en påminnelse om granskare.

Nästa steg