Поделиться через

Создание проверки доступа для групп и приложений в Microsoft Entra ID

Доступ сотрудников и гостей к группам и приложениям изменяется со временем. Чтобы снизить риск, связанный с устаревшими назначениями доступа, администраторы могут использовать идентификатор Microsoft Entra для создания проверок доступа для участников группы или доступа к приложениям.

Владельцы групп Microsoft 365 и безопасности также могут использовать Microsoft Entra ID для создания проверок доступа для участников группы, если пользователь, имеющий как минимум роль администратора управления удостоверениями, включит настройку с помощью панели настроек проверок доступа. Дополнительные сведения об этих сценариях см. в статье "Управление проверками доступа".

Посмотрите короткое видео, в котором рассказывается о включении проверок доступа.

В этой статье описывается, как создать проверки доступа для участников группы или доступа к приложению.

Предварительные условия

Для использования этой функции требуются лицензии Microsoft Entra ID Governance или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, ознакомьтесь с основами лицензирования управления идентификаторами Microsoft Entra ID.

Если вы проверяете доступ к приложению, перед созданием проверки ознакомьтесь со статьей о подготовке проверки доступа пользователей к приложению, чтобы убедиться, что приложение интегрировано с Microsoft Entra ID в клиенте.

Примечание.

Проверки доступа фиксируют моментальный снимок доступа в начале каждого сеанса проверки. Любые изменения, внесенные во время процесса проверки, будут отражены в последующем цикле проверки. По сути, при начале каждого нового повторения извлекаются соответствующие данные о пользователях, ресурсах и их соответствующих рецензентах.

Примечание.

При проверке группы вложенные группы автоматически плоские, поэтому пользователи из вложенных групп отображаются как отдельные пользователи. Если пользователь помечен для удаления из-за их членства в вложенной группе, он не будет автоматически удален из вложенной группы, но только из прямого членства в группах.

Создание одноэтапной проверки доступа

Область

  1. Войдите в центр администрирования Microsoft Entra в качестве администратора управления удостоверениями.

  2. Перейдите к управлению идентификаторами проверкам доступа.

  3. Выберите "Создать проверку доступа" , чтобы создать новую проверку доступа.

    Снимок экрана, на котором показана область проверки доступа в службе управления удостоверениями.

  4. В поле "Выбор того, что нужно проверить ", выберите нужный ресурс.

    Снимок экрана: создание проверки доступа.

  5. Если вы выбрали Teams + Группы, у вас есть два варианта:

    • Все группы Microsoft 365 с гостевыми пользователями: выберите этот параметр, если вы хотите создать повторяющиеся проверки для всех гостевых пользователей во всех группах Microsoft Teams и Microsoft 365 в вашей организации. Динамические группы и группы с назначением ролей не включаются. Вы также можете исключить отдельные группы, выбрав " Выбрать группы", чтобы исключить их.

    • Выберите Teams + группы: выберите этот параметр, если вы хотите указать конечный набор команд или групп для проверки. Список групп для выбора отображается справа.

      Снимок экрана, на котором показан выбор Teams + Groups.

  6. Если выбрано приложение, выберите одно или несколько приложений.

    Снимок экрана: интерфейс, который отображается при выборе приложений вместо групп.

Примечание.

Выбор нескольких групп или приложений приводит к созданию нескольких проверок доступа. Например, если выбрать пять групп для проверки, это приведет к пяти отдельным проверкам доступа.

  1. Теперь можно выбрать область для проверки. Можно выполнить следующие действия:

    • Только гостевые пользователи: этот параметр ограничивает проверку доступа только гостевым пользователям Microsoft Entra B2B в вашем каталоге.
    • Все: этот параметр ограничивает проверку доступа ко всем объектам пользователя, связанным с ресурсом.

    Примечание.

    Если выбраны все группы Microsoft 365 с гостевыми пользователями, единственным вариантом является проверка только гостевых пользователей.

  2. Или если вы проводите проверку членства в группе, вы можете создать проверки доступа только для неактивных пользователей в группе. В разделе "Область пользователей" установите флажок "Неактивные пользователи" (на уровне клиента). Если флажок установлен, область обзора сосредоточена только на неактивных пользователях, тех, кто не выполнил вход как в интерактивном, так и в неинтерактивном режиме для арендатора. Затем укажите Неактивные дни с количеством неактивных дней до 730 дней (два года). Пользователи группы, которые были неактивны в течение указанного числа дней, являются единственными участниками проверки.

    Примечание.

    Недавно созданные пользователи не затрагиваются при настройке времени бездействия. Проверка доступа проверяет, был ли пользователь создан в настроенном интервале времени и игнорирует пользователей, которые не существовали по крайней мере в течение этого периода времени. Например, если задать время бездействия как 90 дней, а гостевой пользователь был создан или приглашен менее 90 дней назад, гостевой пользователь не будет находиться в области проверки доступа. Это гарантирует, что пользователь сможет выполнить вход по крайней мере один раз перед удалением.

  3. Нажмите кнопку "Далее": отзывы.

Далее: проверки

  1. Вы можете создать одно- или многоэтапный обзор. Для одноэтапной проверки продолжайте здесь. Чтобы создать проверку доступа с несколькими этапами, выполните действия, описанные в разделе "Создание многоэтапной проверки доступа"

  2. В разделе "Указание рецензентов" в поле "Выбор рецензентов " выберите одного или нескольких пользователей для принятия решений в проверках доступа. Вы можете выбрать из следующих вариантов:

    • Владельцы групп: этот параметр доступен только при выполнении проверки в команде или группе.
    • Выбранные пользователи или группы
    • Пользователи просматривают собственный доступ
    • Руководители пользователей

    При выборе менеджеров пользователей или владельцев групп можно также указать резервный рецензент. Резервным проверяющим предлагается выполнить проверку, если у пользователя нет руководителя, указанного в каталоге, или группа не имеет владельца.

    Примечание.

    При проверке доступа к группе или группе только владельцы групп (во время начала проверки) считаются рецензентами. Если список владельцев групп обновлен, новые владельцы групп не будут считаться рецензентами и старые владельцы групп по-прежнему будут считаться рецензентами. Однако в случае для повторяющейся проверки любые изменения в списке владельцев групп будут рассматриваться при следующем проведении этой проверки.

    Внимание

    Для проверки доступа PIM для групп (предварительная версия) при выборе владельца группы в качестве рецензента необходимо назначить по крайней мере одного резервного рецензента. Обзор будет назначать только активных владельцев в качестве рецензентов. Допустимые владельцы не включены. Если в начале проверки нет активных владельцев, резервные рецензенты будут назначены на проверку.

    Снимок экрана: проверка нового доступа.

  3. В разделе "Указание повторения проверки" укажите следующие выборы:

    • Длительность (в днях): как долго рецензенты могут вносить свои замечания.

    • Дата начала: когда начинается ряд отзывов.

    • Дата окончания: когда заканчивается ряд проверок. Вы можете указать, что он никогда не заканчивается. Кроме того, можно выбрать Завершить на конкретную дату или Завершить после определенного числа повторений.

      Снимок экрана: выбор частоты выполнения проверки.

  4. Нажмите кнопку "Далее": "Параметры".

Примечание.

При создании проверки доступа можно указать дату начала, однако время начала может смещаться в течение нескольких часов из-за системной обработки. Например, если вы создаете проверку доступа в 03:00 UTC 09/09, которая запланирована на выполнение 09/12, то проверка должна начаться в 03:00 UTC в дату начала, но может быть отложена из-за системной обработки.

Вы можете указать дату начала, но время начала может отличаться в течение нескольких часов в зависимости от обработки системой.

Далее: параметры

  1. В разделе параметров завершения можно указать, что происходит после завершения проверки.

    Снимок экрана, показывающий настройки после завершения.

    • Автоматическое применение результатов к ресурсу: Установите этот флажок, если вы хотите, чтобы доступ для пользователей, которым отказано, удалялся автоматически после завершения срока проверки. Если параметр отключен, необходимо вручную применить результаты после завершения проверки. Дополнительные сведения о применении результатов проверки см. в статье "Управление проверками доступа".

    • Если рецензенты не отвечают: используйте этот параметр, чтобы указать, что происходит с пользователями, не проверенными ни одним рецензентом в течение периода проверки. Этот параметр не влияет на пользователей, которые были проверены рецензентом. В раскрывающемся списке отображаются следующие параметры:

      • Нет изменений: оставляет доступ пользователя без изменений.
      • Удаление доступа. Удаляет доступ пользователя.
      • Утверждение доступа: утверждает доступ пользователя.
      • Примите рекомендации: Принимает рекомендацию системы на отказ или одобрение продолжения доступа пользователя.

      Предупреждение

      Если в настройках параметра рецензенты не отвечают установлено значение Удалить доступ или Принять рекомендации и включена опция Автоматически применять результаты к ресурсу, весь доступ к этому ресурсу может быть отозван, если рецензенты не дадут ответа.

    • Действие для применения к запрещенным гостевым пользователям: этот параметр доступен только в том случае, если проверка доступа ограничена, чтобы включить только гостевых пользователей, чтобы указать, что происходит с гостевыми пользователями, если они отклонены рецензентом или параметром "Если рецензенты не отвечают ".

      • Удаление членства пользователя из ресурса: этот параметр удаляет доступ гостевого пользователя к группе или приложению, который проверяется. Они по-прежнему смогут войти в арендатора и не потеряют никакие другие права доступа.
      • Заблокировать пользователя от входа в систему на 30 дней, затем удалить пользователя из арендатора. Этот параметр блокирует отказанному гостевому пользователю возможность входа в арендатора, независимо от доступа к другим ресурсам. Если это действие было совершено по ошибке, администратор может повторно включить для гостевого пользователя доступ в течение 30 дней после его отключения. Если в течение 30 дней для отключенного пользователя не будут выполнены никакие действия, он будет удален из клиента.

    Дополнительные сведения о рекомендациях по удалению гостевых пользователей, которые больше не имеют доступа к ресурсам в организации, см. в статье "Управление идентификаторами Microsoft Entra" для проверки и удаления внешних пользователей, у которых больше нет доступа к ресурсам.

    Примечание.

    Действие, которое применяется к запрещенным гостевым пользователям, не настраивается для проверок, охватывающих не только гостевых пользователей. Он также не настраивается для проверок всех групп Microsoft 365 с гостевыми пользователями. Если это невозможно настроить, параметр по умолчанию для удаления членства пользователя из ресурса используется для запрещенных пользователей.

  2. Используйте параметр Отправить уведомление в конце проверки, чтобы отправить уведомления другим пользователям или группам с обновлениями завершения. Данная функция позволяет заинтересованным сторонам, за исключением автора обзора, получать информацию о ходе проверки. Чтобы использовать эту функцию, выберите "Выбрать пользователей" или "Группы" и добавьте другого пользователя или группу, для которой требуется получить состояние завершения.

  3. В разделе "Включение вспомогательных средств для принятия решений в ходе проверки" выберите, хотите ли вы, чтобы ваш обозреватель получал рекомендации в ходе проверки:

    1. Если вы выберете "Нет входа" в течение 30 дней, пользователи, выполнившие вход за предыдущий 30-дневный период, рекомендуются для утверждения. Пользователи, которые не входили в систему в течение последних 30 дней, рекомендуются к отказу в доступе. Этот 30-дневный период не зависит от того, были ли операции входа интерактивными. Вместе с рекомендацией отображается дата последнего входа указанного пользователя.
    2. Если выбрана принадлежность пользователей к группе, рецензенты получают рекомендацию утвердить или запретить доступ для пользователей на основе среднего расстояния пользователя в структуре отчетов организации. Пользователи, которые находятся далеко от всех остальных пользователей в группе, считаются обладающими "низким уровнем принадлежности" и получат рекомендацию об отказе в обзорах доступа к группе.

    Примечание.

    Если вы создаете проверку доступа на основе приложений, ваши рекомендации основываются на 30-дневном интервале с момента последнего входа пользователя в приложение, а не в арендатор.

    Снимок экрана, демонстрирующий параметры включения ассистентов решений для рецензента.

  4. В разделе "Дополнительные параметры" можно выбрать следующее:

    • Требуется обоснование. Установите этот флажок, чтобы рецензент указал причину утверждения или отказа.

    • Уведомления по электронной почте. Установите этот флажок, чтобы идентификатор Microsoft Entra ID отправлял уведомления по электронной почте рецензентам при запуске проверки доступа и администраторам после завершения проверки.

    • Напоминания: Установите этот флажок, чтобы Microsoft Entra ID отправлял напоминания всем обозревателям о текущих проверках доступа. Рецензенты получают напоминания в процессе проверки независимо от того, завершили ли они ее.

    • Дополнительное содержимое для электронной почты рецензента: содержимое электронной почты, отправленное рецензентам, автоматически создается на основе сведений о проверке, таких как имя проверки, имя ресурса и дата выполнения. Если требуется способ передачи дополнительных сведений, можно указать дополнительные инструкции или контактные данные в поле. Введенные сведения включаются в приглашения, и напоминания отправляются по электронной почте назначенным рецензентам. В разделе, выделенном на изображении ниже, показано, где отображаются эти сведения.

      Снимок экрана: дополнительное содержимое для рецензентов.

  5. Нажмите кнопку "Далее": проверка и создание.

    Снимок экрана: вкладка

Далее: проверка и создание

  1. Назовите проверку доступа. При необходимости укажите описание проверки. Имя и описание отображаются для рецензентов.

  2. Просмотрите сведения и нажмите кнопку "Создать".

Создание многоэтапной проверки доступа

Многоэтапная проверка позволяет администратору определить два или три набора рецензентов, которые будут выполнять проверку последовательно. В одноэтапном обзоре все рецензенты принимают решение в течение одного периода, и решение последнего рецензента применяется. В многоэтапной проверке два или три независимых набора рецензентов принимают решение на своем собственном этапе. Этапы являются последовательными, и следующий этап не происходит до тех пор, пока решение не будет записано на предыдущем этапе. Многоэтапные проверки позволяют снизить нагрузку на последующих этапах проверки, обеспечить эскалацию или организовать согласованное принятие решений независимыми группами рецензентов.

Примечание.

Данные пользователей, включенные в многоэтапную проверку доступа, являются частью записи аудита в начале проверки. Администраторы могут удалять данные в любое время, удалив многоэтапный ряд проверок доступа. Общие сведения о GDPR и защите данных пользователей см. в разделе GDPR Центра управления безопасностью Майкрософт и раздела GDPR на портале управления безопасностью служб.

  1. Выбрав ресурс и область проверки, перейдите на вкладку "Отзывы ".

  2. Установите флажок рядом с многоэтапной проверкой.

  3. В разделе "Первый этап проверки" выберите рецензентов в раскрывающемся меню рядом с пунктом "Выбор рецензентов".

  4. Если вы выберете владельцев группы или менеджеров пользователей, у вас есть возможность добавить резервного рецензента. Чтобы добавить резервный вариант, выберите «Выбрать резервных рецензентов» и добавьте пользователей, которых вы хотите использовать в качестве резервных рецензентов.

    Снимок экрана, на котором показано, что включена многоэтапная проверка и настройки многоэтапной проверки.

  5. Укажите длительность первого этапа. Чтобы добавить длительность, введите число в поле рядом с длительностью этапа (в днях). Это количество дней, в течение которых вы хотите, чтобы первый этап был доступен для рецензентов первого этапа для принятия решений.

  6. В разделе " Второй этап проверки" выберите рецензентов в раскрывающемся меню рядом с пунктом "Выбор рецензентов". Эти рецензенты должны будут приступить к проверке после завершения первого этапа.

  7. При необходимости добавьте резервных рецензентов.

  8. Укажите длительность второго этапа.

  9. По умолчанию при создании многоэтапной проверки отображается два этапа. Однако вы можете добавить третий этап. Если вы хотите добавить третий этап, нажмите кнопку +Добавить этап и заполните необходимые поля.

  10. Вы можете разрешить 2-му и 3-му рецензентам этапа видеть решения, принятые на предыдущем этапе. Если вы хотите разрешить им видеть принятые ранее решения, выберите поле рядом с отображением предыдущих решений этапов для последующих рецензентов этапа в разделе "Показать результаты проверки". Не устанавливайте этот флажок, если нужно, чтобы рецензенты проводили проверку независимо друг от друга.

    Снимок экрана: длительность и отображение параметров предыдущих этапов, включенных для многоэтапной проверки.

  11. Длительность каждого повторения определяется суммой продолжительности в днях, указанной в каждом этапе.

  12. Укажите повторение проверки, дату начала и дату окончания проверки. Тип повторения должен быть как минимум равен общей длительности повторения (то есть максимальная длительность еженедельного повторения составляет 7 дней).

  13. Чтобы указать, какие проверяемые будут переходить с этапа на этап, выберите один или несколько из следующих вариантов рядом с "Указать проверяемых для перехода к следующему этапу": снимок экрана, показывающий настройку указания проверяемых и параметры для многоэтапного утверждения.

    1. Утвержденные проверяемые - только проверяемые, которые были утверждены, переходят к следующему этапу (этапам).
    2. Отклоненные проверяемые - Только проверяемые, которые были отклонены, переходят к следующему этапу.
    3. Непроверенные проверяемые - только те, кто не были проверены, перейдут на следующую стадию(и).
    4. Аттестуемые, помеченные как "Не знаю" — только аттестуемые, помеченные как "Не знаю", переходят к следующему этапу.
    5. Все: все переходят к следующему этапу, если вы хотите, чтобы все участники рецензирования приняли решение.

  14. Перейдите на вкладку настроек, завершите остальные настройки и создайте обзор. Следуйте инструкциям в разделе "Далее: параметры".

Включите пользователей и команды прямого соединения B2B, получающих доступ к общим каналам Teams, в проверки доступа

Вы можете создавать проверки доступа для пользователей с прямым соединением B2B через общие каналы в Microsoft Teams. При внешней совместной работе можно использовать проверки доступа Microsoft Entra, чтобы убедиться, что внешний доступ к общим каналам остается текущим. Внешние пользователи в общих каналах называются пользователями с прямым соединением B2B. Дополнительные сведения о общих каналах Teams и пользователях прямого подключения B2B см. в статье о прямом подключении B2B .

При создании проверки доступа для команды с общими каналами ваши рецензенты могут оценить сохраняющуюся необходимость в доступе таких внешних пользователей и команд в общих каналах. Вы можете выполнить проверку доступа для пользователей B2B Connect, других поддерживаемых пользователей для B2B сотрудничества и внутренних пользователей, которые не являются пользователями B2B, в рамках одного обзора.

Примечание.

В настоящее время пользователи и команды с прямым соединением B2B включаются только в одноэтапные проверки. Если включены многоэтапные проверки, пользователи и команды прямого подключения B2B не будут включены в проверку доступа.

Пользователи и команды с прямым соединением B2B включаются в проверки доступа группы Microsoft 365 с поддержкой Teams, в которую входят общие каналы. Чтобы создать отзыв, необходимо иметь по крайней мере роль администратора пользователей или администратора управления удостоверениями.

Используйте инструкции ниже, чтобы создать проверку доступа для команды с общими каналами:

  1. Войдите в центр администрирования Microsoft Entra в качестве администратора управления удостоверениями.

  2. Перейдите к управлению идентификаторами проверкам доступа.

  3. Выберите +Создать проверку доступа.

  4. Выберите Teams + группы, а затем выберите команды + группы, чтобы задать область проверки. Пользователи и команды прямого подключения B2B не включены в обзоры всех групп Microsoft 365 с гостевыми пользователями.

  5. Выберите команду, у которой есть общие каналы с одним или несколькими пользователями или командами с прямым соединением B2B.

  6. Задайте область.

    Снимок экрана, на котором показана настройка области проверки для проверки общих каналов.

    • Выберите всех пользователей, чтобы включить:
      • все внутренние пользователи;
      • пользователи службы совместной работы B2B, являющиеся членами команды;
      • пользователи с прямым соединением B2B;
      • команды, использующие общие каналы.
    • Кроме того, выберите только гостевых пользователей, чтобы включить только пользователей прямого подключения B2B, пользователей Teams и пользователей для совместной работы B2B.

  7. Перейдите на вкладку Рецензии. Выберите рецензента для завершения обзора, затем укажите Продолжительность и Периодичность обзора.

    Примечание.

    • Если установить Выберите рецензентов на Пользователи проверяют собственный доступ или Менеджеры пользователей, пользователи B2B direct connect и Teams не смогут просматривать собственный доступ в вашем клиенте. Владелец команды, находящейся на рассмотрении, получает электронное письмо с просьбой пересмотреть пользователя прямого подключения B2B и платформу Teams.
    • При выборе менеджеров пользователей выбранный резервный рецензент проверяет любого пользователя без менеджера в домашнем арендаторе. К ним относятся пользователи с прямым соединением B2B и команды без руководителя.

  8. Перейдите на вкладку "Параметры" и настройте дополнительные параметры. Затем перейдите на вкладку "Проверка и создание ", чтобы начать проверку доступа. Дополнительные сведения о создании параметров проверки и конфигурации см. в статье "Создание одноэтапной проверки доступа".

Разрешить владельцам групп создавать проверки доступа к своим группам и управлять ими

  1. Войдите в центр администрирования Microsoft Entra в качестве администратора управления удостоверениями.

  2. Перейдите к управлению идентификаторами>проверкам доступа>параметрам.

  3. На странице Делегат, который может создавать и управлять проверками доступа установите Владельцы групп могут создавать и управлять проверками доступа для групп, принадлежащих им в Да.

    Снимок экрана: включение возможности проверки владельцами групп.

    Примечание.

    По умолчанию для параметра задано значение No. Чтобы разрешить владельцам групп создавать проверки доступа и управлять ими, измените значение "Да".

Создание проверки доступа программным способом

Вы также можете создать проверку доступа с помощью Microsoft Graph или PowerShell.

Чтобы создать проверку доступа с помощью Graph, вызовите API Graph для создания определения расписания проверки доступа. Вызывающий объект должен быть пользователем в соответствующей роли с приложением, у которого есть делегированное разрешение AccessReview.ReadWrite.All, или приложением с разрешением уровня приложения AccessReview.ReadWrite.All. Дополнительные сведения см. в статье «Обзор API проверки доступа» и руководства по тому, как проверять участников группы безопасности или проверять гостей в группах Microsoft 365.

Вы также можете создать проверку доступа в PowerShell с помощью командлета New-MgIdentityGovernanceAccessReviewDefinition из модуля Microsoft Graph PowerShell для управления удостоверениями. Дополнительные сведения см. в примерах.

При запуске проверки доступа

После указания параметров проверки доступа и её создания в списке появится проверка доступа с индикатором её состояния.

Снимок экрана: список проверок доступа и их состояние.

По умолчанию идентификатор Microsoft Entra отправляет сообщение электронной почты рецензентам вскоре после однократной проверки или повторения повторяющейся проверки. Если вы решили не поручать идентификатору Microsoft Entra отправку электронной почты, обязательно сообщите рецензентам, что проверка доступа ожидает их завершения. Вы можете показать им инструкции по просмотру доступа к группам или приложениям. Если ваш обзор предназначен для гостей для просмотра собственного доступа, покажите им инструкции по просмотру доступа к группам или приложениям.

Если вы назначили гостей в качестве обозревателей, но они не приняли приглашение к арендатору, они не получат электронное письмо из проверок доступа. Прежде чем они смогут начать проверку, они должны принять приглашение.

Обновление проверки доступа

После запуска одной или нескольких проверок доступа может потребоваться изменить параметры имеющихся проверок доступа. Ниже приведены некоторые распространенные сценарии.

  • Обновление параметров или рецензентов: Если проверка доступа повторяется, существуют отдельные параметры в разделе Текущее и в разделе Серия. Обновление параметров или рецензентов в разделе Current применяет изменения только к текущей проверке доступа. Обновление параметров в разделе "Серия" обновляет параметры для всех будущих повторений.

    Снимок экрана: обновление параметров проверки доступа.

  • Добавление и удаление рецензентов: При обновлении проверок доступа можно добавить резервный рецензент в дополнение к основному рецензенту. При обновлении проверки доступа основные рецензенты могут быть удалены. Резервные рецензенты не подлежат удалению.

    Примечание.

    Резервных рецензентов можно добавлять, только если типом рецензента является руководитель или владелец группы. Основных рецензентов можно добавлять, если выбран тип рецензента "Пользователь".

  • Напомните рецензентам: При обновлении проверок доступа можно включить параметр "Напоминания " в разделе "Дополнительные параметры". После этого пользователи будут получать уведомление по электронной почте в средней точке периода проверки независимо от того, завершили ли они проверку.

    Снимок экрана: напоминание рецензентам.

Примечание.

После инициирования проверки доступа можно использовать вызов API contactedReviewers, чтобы просмотреть список всех рецензентов, которым отправлены уведомления или которым они были бы отправлены, если бы уведомления были выключены, через электронную почту о проверке доступа. Метки времени, когда этих пользователей уведомили, также предоставляются.

Примечание.

Группы и пользователи в административной единице с ограниченным доступом не могут управляться с помощью функций управления идентификаторами Майкрософт, таких как проверки доступа.

Следующие шаги