Prošlo je neko vrijeme otkad smo pokriveno Access recenzije i iskreno govoreći, nije se puno promijenilo u funkcionalnosti u posljednje vrijeme. Konferencija Ignite 2025 donijela nam je najavu pregleda pristupa usmjerenih na korisnika, novi model gdje umjesto stvaranja pregleda pristupa na temelju vrste izvora, radite na razini kataloga i svih resursa koji su u njemu uključeni. Navedena značajka, također poznata kao recenzije pristupa katalogusada je dostupan u javnom pregledu. Pogledajmo kako sve to funkcionira.
Kao što naziv daje naslutiti, ovaj novi model se oslanja na integraciju s Entra ID Governance. Dok još uvijek možete stvarati Accessove recenzije pomoću starog modela po resursima i bez potrebe za dodatnim licenciranjem, one usmjerene na korisnika ovise o konstrukciji kataloga unutar Entra ID Governance, stoga je potrebna pretplata na Microsoft Entra ID Governance ili Microsoft Entra Suite. Zapravo, nadimak “usredotočen na korisnika” može se smatrati obmanjujućim, budući da nigdje u procesu ne ukazujete izravno na bilo kojeg korisnika… ali zaronimo u detalje.
Sadržaj objave
Rad s recenzijama pristupa katalogu
Da osvježimo vaše sjećanje na kataloge, oni su u osnovi spremnik za resurse. Samo s popisa trenutno podržanih resursa Grupe i timovi (Microsoft 365 grupe i sigurnosne grupe, bez podrške za sigurnosne grupe s omogućenom poštom ili distribucijske grupe) i Prijave trenutno su podržani za recenzije pristupa katalogu. Ostale vrste izvora dodane u katalog neće se razmatrati u svrhu postupka pregleda. Ovdje treba spomenuti jedno veliko poboljšanje, naime funkcionalnost koju treba dodati isključene aplikacije u katalog, također u pretpremijeri. Više o tome kasnije.
Nakon dodavanja željenih resursa u zadani ili prilagođeni katalog, prijeđite na Pristup pregledima stranica. Udaranje Novi pregled pristupa gumb sada predstavlja izbor između dva predloška: jedan koji odgovara “standardnim” recenzijama Accessa temeljenim na resursima i drugi koji je omogućio recenzije temeljene na katalogu, kao što je prikazano na snimci zaslona u nastavku:
Proces stvaranja a Pregled kataloga uglavnom koristi iste korake. Započnite određivanjem Naziv recenzijei svakako dodajte ispravan Opis. Budući da recenzije kataloga pokrivaju sve (podržane) resurse u danom katalogu (koji će se odabrati na sljedećem ekranu), kontrole opsega izložene na početnom ekranu omogućuju vam da odredite opseg skupa korisnika na koje će se recenzija primijeniti. Trenutno podržane opcije za Korisnici u opsegu kontrola su: Svi korisnici, Svi korisnici osim gostijui Gosti korisnici. Unatoč tome što pojedinosti okno vam govori da ne možete obuhvatiti pregled kataloga prema korisniku po odjelu ili slično.
Zatim, pod zaslonom Resursi, možete pokazati na katalog koji sadrži resurse koje treba pregledati putem Odaberite Katalog kontrolirati. Dodatno određivanje opsega nije moguće i svi podržani resursi unutar odabranog Kataloga bit će uključeni kao dio pregleda pristupa. Ako je potrebno, možete koristiti + Napravite novi katalog gumb za izradu novog kataloga.
Preostali koraci odražavaju one za “standardne” preglede pristupa: odaberite skup Recenzentikoji za recenzije kataloga može biti ili vlasnik(i) izvora ili upravitelj korisnika; konfigurirati Faze i Raspored za instancu pregleda; konfigurirati Iskustvo recenzenta; konfigurirati Po završetku postavki. Na kraju, Pregled napravljene odabire, a zatim pritisnite Stvoriti gumb za pružanje pregleda kataloga.
Recenzije novoizrađenog (i postojećeg) kataloga mogu se pronaći pod Pregledi kataloga – više izvora kartica od Pristup pregledima stranica. U usporedbi sa “standardnom” stranicom za recenzije programa Access, u prikazu popisa izložen je drugačiji skup stupaca: Ime, Identiteti u opsegu, Vrsta izvora, Naziv kataloga, Početak pregledai Status. Klikom na bilo koji unos recenzije kataloga odvest ćete se na njegov Pregled stranicu, kao što je prikazano u nastavku:
U njemu možete pregledati konfiguraciju, iako biste se mogli iznenaditi da se ne spominje ime Kataloga ili bilo koji popis resursa koji se u njemu nalaze. Možete pratiti napredak u svim instancama navedenim pod Trenutačnim i prošlim pregledima, ali kada je u pitanju postavkenećete moći napraviti nikakve promjene.
Kako pregled počne napredovati, imenovani recenzenti počet će primati e-poruke s obavijestima koje će ih usmjeravati na Moj pristup stranica. Iz nekog razloga korištenje veze za izravni pristup iz e-pošte uvijek je rezultiralo praznom stranicom u mojim testovima, iako je pristup iskustvu recenzenta putem Moj pristup > Pristup recenzijama > Više izvora (pregled) i odabir dotičnog pregleda pristupa funkcionirao je prema očekivanjima.
Iako je iskustvo recenzenta prilično jednostavno, razina detalja također nedostaje. Objekti se i dalje označavaju samo svojim imenom za prikaz, što može izazvati zabunu ako imate više grupa ili aplikacija koje koriste isti identifikator. Stupcu Dopuštenja također nedostaje jasnoće, budući da grupno vlasništvo nije naznačeno, a kada je riječ o aplikacijama, otkrit će samo dodijeljenu ulogu aplikacije, bez ikakvih naznaka Graph API dozvola na koje je korisnik pristao za određenu aplikaciju.
Slično kao u slučaju “standardnih” pregleda, ne postoji način da se odabrana odluka/akcija prisili na izvršenje, umjesto toga one se automatski primjenjuju kada se dosegne datum završetka pregleda. Kao administrator, možete pratiti cjelokupni napredak za određenu instancu pregleda pristupa putem Rezultati stranici odgovarajuće instance, nakon što je odaberete pod Sadašnje i prošle recenzije. Drugi način da to postignete je da provjerite revizija staza, koja će sadržavati zapis svake radnje koju poduzmu recenzenti.
Kao što je gore spomenuto, trenutno su podržane samo određene vrste resursa za recenzije pristupa katalogu, pa čak i ako uključite Entra ID ulogu ili stranice u svoj katalog, takvi unosi će biti zanemareni. Osim toga, za pristup aplikacijama uzimaju se u obzir samo dodijeljene uloge aplikacija, a ne bilo koja dodjela dopuštenja delegata. Za grupe. korisnik mora biti član. Vlasništvo nad određenom grupom ne može se opozvati, ali odbijanje pregleda rezultirat će uklanjanjem članstva korisnika, ostavljajući grupu u pokvarenom (nije podržanom) stanju. Ipak, ne možemo kriviti recenzije pristupa katalogu za ove nedostatke, budući da su naslijeđene od “starog” niza značajki.
Graph API podrška
Zatim, da vidimo kome možemo koristiti Graph API za rad s pregledima pristupa katalogu. Ispada da službena dokumentacija ne daje sve pojedinosti, pa smo kao i obično morali pribjeći nekim mrežnim tragovima da bismo ih dobili. Čini se da je krivac x-accessreviews-verzija zaglavlje koje mora biti uključeno u zahtjev. Bez njega će se vratiti samo “standardni” objekti pregleda pristupa. Stoga svakako dodajte navedeno zaglavlje i postavite njegovu vrijednost na vsljedećikao što je prikazano u nastavku:
GET https://graph.microsoft.com/beta/identityGovernance/accessReviews/definitions
Kao što se može vidjeti na gornjoj snimci zaslona, glavna razlika u odnosu na “standardni” objekt pregleda pristupa je djelokrug vrijednost, točnije resourceScopes element s a @odata.type od #microsoft.graph.accessReviewResourceScope pokazujući na a katalog objekt.
Slično tome, možemo postaviti upit Graph API-ju za objekte instance pregleda pristupa katalogu ili pregledati bilo koju donesenu odluku:
#Fetch all instances for a given review GET https://graph.microsoft.com/beta/identityGovernance/accessReviews/definitions/c3b3ceec-8bd1-4d6a-9d64-4e397aa8d05a/instances #Get reviewer's decisions GET https://graph.microsoft.com/beta/identityGovernance/accessReviews/definitions/c3b3ceec-8bd1-4d6a-9d64-4e397aa8d05a/instances/542947d2-41c4-4fdf-a3de-bdefd135d8b7/decisions
Kao i gore, ne zaboravite dodati x-accessreviews-verzija zaglavlje s vrijednošću od vsljedeći! Osim toga, sve “standardne” krajnje točke mogu se iskoristiti, stoga pogledajte službena dokumentacija za više detalja i primjera.
Dodavanje prilagođenih resursa
Zadnje što želimo pokriti je funkcionalnost koju treba uključiti prilagođeni podaci osigurani resursi u pregledima pristupa katalogu, što je još jedna funkcija pregleda. Trenutno možete uključiti samo “odspojene” objekte aplikacije, ili da budemo precizni, prikaz korisničkog pristupa unutar takve aplikacije. Kao što ime sugerira, sam objekt aplikacije ne mora biti osiguran u zakupcu. Umjesto toga, dajete “pristupne podatke”, koji će biti prikazani kao dio postupka pregleda.
Da biste to omogućili, morat ćete prvo dodati prilagođeni resurs unutar svog kataloga, što ćete učiniti pritiskom na Izvor prilagođenih podataka gumb ispod Dodajte resurse stranica. Sve što trebate učiniti u ovom koraku je pružiti a Ime i Opis za resurs, budući da u osnovi osiguravate rezervirano mjesto. Dodat ćemo “tvar” kasnije, kao dio postupka pregleda. U određenom smislu, ovo je model “donesite vlastite podatke” za preglede Accessa.
Kada sljedeći put izradite recenziju pristupa katalogu za predmetni katalog, dobit ćete dva sata za predstavljanje skupa “pristupnih podataka” koji će biti uključeni u postupak recenzije. Ako to ne učinite, prilagođeni resurs će biti zanemaren, slično kao što se događa za grupe ili aplikacije bez dodijeljenih korisnika. Slično tome, samo korisnici čiji su ID-ovi pronađeni kao dio podataka učitanih putem CSV datoteke bit će prikazani za iskustvo pregleda.
Kako biste osigurali da će vaš prilagođeni resurs biti obrađen, morate dati pristupne podatke u obliku CSV datoteke. Prvo nabavite ID osobe Pristup objektu pregledakao i ID tekućeg Objekt pregleda instance pristupabudući da ih trebate osigurati kao dio procesa. Zatim preuzmite oglednu CSV datoteku i popunite je podacima za pregled. Možda ćete primijetiti da nema reference na nepovezana aplikacija ID objekta nalazi se bilo gdje u datoteci. Umjesto toga, svaki redak u CSV-u predstavlja unos “dopuštenja” za aplikaciju, pozivajući se na korisnika i razinu pristupa za danu aplikaciju kako je navedeno u nazivu prilagođenog resursa.
Ako želite pregledati pristup višestrukim aplikacijama, ponovite postupak dodjeljivanjem zasebne Izvor prilagođenih podataka za svaku aplikaciju, zatim učitavanje odgovarajućeg CSV-a s njegovim “pristupnim podacima”. Dodatne pojedinosti i snimke zaslona možete pronaći u službena dokumentacija. Ovdje ćemo samo pokazati kako iskustvo izgleda sa strane recenzenta (nakon dva sata čekanja, to jest):
Složeni snimak zaslona iznad pokazuje kako se različiti dijelovi slažu. Recenzenti koji koriste portal My Access (gore) vidjet će nepovezana aplikacija referenciran putem imena pod kojim je podudaranje izvor prilagođenih podataka je dodan u katalog (sredina), dok definicija dopuštenja i korisnici u opsegu dolaze iz učitanog CSV-a (dno).
Što se tiče primjene rezultata pregleda pristupa, to je sve tvoje odgovornost. Zapamtite, govorimo o pristupu aplikacijama koje trenutačno nemaju zastupljenost unutar Entra ID-a, tako da ne postoji način da Entra poduzme radnje u vezi s bilo kojom odlukom donesenom u sklopu postupka pregleda. Umjesto toga, možete koristiti Graph API za dohvaćanje stavki odluke, a zatim koji god API želite nepovezana aplikacija koristi za sankcioniranje odgovarajućeg rezultata u njemu, i na kraju, vraćanje statusa natrag u Graph API objekt koji predstavlja pregled. Odnosi se na službena dokumentacija za više detalja.
Jedan neugodan dio procesa rada s pregledima pristupa za nepovezane aplikacije je da se unutar popisa resursa kataloga ne navodi da li ste već učitali pristupne podatke za navedeni resurs. Možda će se Microsoft time pozabaviti za GA izdanje značajke… morat ćemo pričekati i vidjeti.
Završne riječi
Ukratko, bacili smo brzi pogled na dvije nove značajke pregleda programa Access. Recenzije pristupa usmjerene na korisnika, poznate i kao recenzije pristupa katalogu, omogućuju vam da pokrijete više resursa i vrsta resursa u jednom pregledu. Resursi dostavljeni prilagođenim podacima dodatno proširuju ovo, omogućujući vam da pregledate pristupne podatke za “odspojene aplikacije”, ili općenito svaki resurs koji omogućuje da podaci o korisničkom pristupu budu predstavljeni u podržanom formatu. Obje značajke ovise o konstrukcijama kataloga i stoga su dostupne samo s SKU-ovima Microsoft Entra ID Governance ili Microsoft Entra Suite. Iako je malo vjerojatno da će bilo koji stanar nabaviti takve SKU-ove samo za navedene značajke, oni su bez obzira na to lijepo poboljšanje inače često zanemarene funkcionalnosti, koja zaslužuje malo više pažnje.
