什么是访问评审?
借助 Microsoft Entra ID(Microsoft Entra 的一部分)中的访问评审,组织可有效地管理组成员身份、对企业应用程序的访问权限,以及角色分配。 可以定期评审用户的访问权限,确保只有适当的人员才能继续访问。
访问评审为何重要?
使用 Microsoft Entra ID,你可以与组织内部用户和外部用户展开协作。 用户可以加入组、邀请来宾、连接到云应用以及通过工作或个人设备远程工作。 自助服务的便捷性使人们需要更好的访问管理功能。
- 新员工加入时,如何确保他们获得有助于提高工作效率的访问权限?
- 当员工在团队间调动或离开公司时,如何确保删除旧的访问权限?
- 访问权限过多可能会导致利益受损。
- 访问权限过高还可能影响审计结果,因为此类情况表示对访问权限缺乏控制。
- 需要主动与资源所有者联系,确保他们定期评审有权访问其资源的用户。
何时应使用访问评审?
- 特权角色用户过多:最好检查多少用户具有管理访问权限,其中有多少用户是全局管理员,以及检查是否存在向其分配管理任务后未将其删除的受邀来宾和合作伙伴。 可以在 Microsoft Entra 角色(如全局管理员)或 Azure 资源角色(如 Microsoft Entra Privileged Identity Management (PIM) 体验中的用户访问管理员)中重新验证用户的角色分配。
- 无法实现自动化时:可以针对动态成员资格组、安全组或 Microsoft 365 组创建规则,但是如果 HR 数据不在 Microsoft Entra ID 中,或者如果用户离开该组后仍需使用访问权限为其继任者提供培训,应该怎么办? 然后,可以对该组创建评审,以确保那些仍需要访问权限的人员继续拥有访问权限。
- 将组用于新用途时:如果要将组同步到 Microsoft Entra ID,或计划为销售团队组中的所有成员启用 Salesforce 应用程序,则要求组所有者在将组用于其他风险内容前评审组成员资格组将会非常有用。
- 业务关键型数据访问:对于某些资源,作为合规流程的一部分,可能需要要求人们定期重新确认并说明他们为什么需要继续访问的理由。
- 要维护策略的例外列表: 在理想情况下,所有用户都会遵循访问策略来保护对组织资源的访问。 但是,有时,某些业务案例要求例外处理。 IT 管理员可以管理此任务、避免忽视策略例外情况,为审核员提供定期评审这些例外情况的证明。
- 让组所有者确认他们仍需要其组中的来宾:员工访问可能会使用其他标识和访问管理功能自动执行,例如来自基于 HR 源的数据(而不是受邀来宾)的生命周期工作流。 如果组为来宾授予了业务敏感内容的访问权限,则由组所有者负责确认来宾是否仍有对访问权限的合法业务需求。
- 定期重复评审:可以设置按设定频率(例如每周、每月、每季度或每年)定期对用户进行访问评审,并在每次评审开始时通知审阅者。 审阅者可以借助友好界面和智能建议的帮助,批准或拒绝访问权限。
注意
如果已准备好尝试访问评审,请参阅创建组或应用程序的访问评审
在哪里创建评审?
根据要评审的内容,可以在访问评审、Microsoft Entra 企业应用、PIM 或权利管理中创建访问评审。
| 用户的访问权限 | 评审者可以是 | 评审创建于 | 审阅者体验 |
|---|---|---|---|
| 安全组成员 办公室组成员 |
指定的审阅者 组所有者 自审阅 |
访问评审 Microsoft Entra 组 |
访问面板 |
| 分配联网应用 | 指定审阅者 自审阅 |
访问评审 Microsoft Entra 企业应用 |
访问面板 |
| Microsoft Entra 角色 | 指定审阅者 自审阅 |
PIM | Microsoft Entra 管理中心 |
| Azure 资源角色 | 指定审阅者 自审阅 |
PIM | Microsoft Entra 管理中心 |
| 访问包分配 | 指定的审阅者 组成员 自我评审 |
权利管理 | 访问面板 |
许可要求
此功能要求提供组织用户的 Microsoft Entra ID 治理或 Microsoft Entra 套件订阅。 此功能中的某些功能可能需要使用 Microsoft Entra ID P2 订阅进行操作。 有关详细信息,请参阅每项功能的相关文章。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。
注意
若要创建对非活动用户的审查并使用用户到组隶属关系建议,需要具有 Microsoft Entra ID 治理许可证。