Vytvoření kontroly přístupu PIM pro skupiny v Microsoft Entra ID (Preview)

  • Článek

Tento článek popisuje, jak vytvořit jednu nebo více kontrol přístupu pro PIM pro skupiny, které budou zahrnovat aktivní členy skupiny a oprávněné členy. Kontroly se dají provádět u aktivních členů skupiny, kteří jsou aktivní v okamžiku vytvoření kontroly, a oprávněných členů skupiny.

Požadavky

  • Licence zásad správného řízení pro Microsoft Entra ID
  • Kontroly pro skupiny můžou vytvářet jenom uživatelé v roli globálního správce, správce zásad správného řízení identit nebo správce privilegovaných rolí. Další informace naleznete v tématu Použití skupin Microsoft Entra ke správě přiřazení rolí.

Další informace najdete v tématu Licenční požadavky.

Vytvoření PIM pro kontrolu přístupu ke skupinám

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Obor

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte do historie kontroly přístupu k zásadám správného řízení>identit>.

  3. Výběrem možnosti Nová kontrola přístupu vytvořte novou kontrolu přístupu.

    Snímek obrazovky znázorňující podokno Kontroly přístupu v zásadách správného řízení identit

  4. V poli Vybrat, co chcete zkontrolovat, vyberte Teams + Skupiny.

    Snímek obrazovky znázorňující vytvoření kontroly přístupu

  5. Vyberte Teams + Skupiny a pak v části Zkontrolovat obor vyberte Teams + skupiny. Na obrazovce se zobrazí seznam skupin, ze které si můžete vybrat.

    Snímek obrazovky znázorňující výběr Teams + Skupiny

Poznámka:

Když vyberete PIM pro skupiny, budou uživatelé, kteří skupinu zkontrolují, zahrnovat všechny oprávněné uživatele a aktivní uživatele v této skupině.

  1. Teď můžete vybrat obor kontroly. Máte následující možnosti:

    • Pouze uživatelé typu host: Tato možnost omezuje kontrolu přístupu pouze na uživatele typu host Microsoft Entra B2B ve vašem adresáři.
    • Všichni: Tato možnost definuje kontrolu přístupu všem objektům uživatelů přidruženým k prostředku.

  2. Pokud provádíte kontrolu členství ve skupině, můžete vytvořit kontroly přístupu jenom pro neaktivní uživatele ve skupině. V části Obor uživatelé zaškrtněte políčko vedle neaktivních uživatelů (na úrovni tenanta). Pokud toto políčko zaškrtnete, rozsah kontroly se zaměřuje jenom na neaktivní uživatele, uživatele, kteří se k tenantovi nepřihlásili interaktivně nebo neinteraktivně. Pak zadejte dny neaktivní s mnoha dny neaktivními až 730 dny (dva roky). Uživatelé ve skupině neaktivní po zadaný počet dní jsou jedinými uživateli v kontrole.

Poznámka:

Při konfiguraci doby nečinnosti nejsou nedávno vytvořená uživatelé ovlivněni. Kontrola přístupu zkontroluje, jestli byl uživatel vytvořen v nakonfigurovaném časovém rámci, a ignoruje uživatele, kteří alespoň tuto dobu neexistovali. Pokud například nastavíte dobu nečinnosti na 90 dní a uživatel typu host byl vytvořen nebo pozván před méně než 90 dny, nebude uživatel typu host v oboru kontroly přístupu. Tím se zajistí, že se uživatel může před odebráním přihlásit alespoň jednou.

  1. Vyberte Další: Recenze.

Jakmile se k tomuto kroku dostanete, můžete postupovat podle pokynů uvedených v části Další: Kontroly přístupu v článku Vytvoření kontroly přístupu skupin nebo aplikací k dokončení kontroly přístupu.

Poznámka:

U kontrol přístupu PIM pro skupiny (Preview) je při výběru vlastníka skupiny jako revidujícího povinné přiřadit alespoň jednoho záložního revidujícího. Revize přiřadí jako revidujícím pouze aktivní vlastníky. Opravňující vlastníci nejsou zahrnuti. Pokud po zahájení kontroly nejsou žádní aktivní vlastníci, budou revidujícím přiřazeni náhradní revidoři.

Další kroky