Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
使用访问评审可以轻松确保用户或来宾有适当的访问权限。 为此,可让用户本人或决策人参与访问评审,鉴定(或“证明”)用户的访问权限。 审阅者可基于 Microsoft Entra ID 的建议,针对每个用户继续访问的需求提供意见。 访问评审完成后,即可进行更改,并删除不再需要访问权限的用户的访问权限。
注意
本文讨论如何为用户和应用程序执行访问评审。 若要查看有关针对访问包中的多个资源进行访问评审的信息,请参阅下文:对 Microsoft Entra 权利管理中的访问包进行访问评审。 若要评审用户或服务主体对 Microsoft Entra ID 或 Azure 资源角色的访问权限,请参阅在 Microsoft Entra Privileged Identity Management 中启动访问评审。
先决条件
使用此功能需要 Microsoft Entra ID 治理或 Microsoft Entra 套件许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。
创建和执行访问权限评审流程以供用户使用
首先,您必须被分配为以下至少一个角色之一:
- 用户管理员
- 身份治理管理员
- 特权角色管理员(仅用于评审可分配角色的组别)
- 预览: 待审核组的 Microsoft 365 或 Microsoft Entra 安全组所有者
然后,转到 “标识治理”页 ,确保访问评审可供组织使用。
访问评审中可有一个或多个用户作为审阅者。
在 Microsoft Entra ID 中选择包含一个或多个成员的组。 或者选择已连接到 Microsoft Entra ID 的、已为其分配一个或多个用户的应用程序。
决定是由每个用户评审自己的访问权限,还是由一个或多个用户评审每个人的访问权限。
在前面所列角色之一中,转到 Identity Governance 页面。
创建访问审查。 有关详细信息,请参阅创建组或应用程序的访问评审。
访问评审开始时,要求审阅者提供输入。 默认情况下,他们每个人都会收到来自 Microsoft Entra ID 的电子邮件,其中包含指向访问面板的链接,他们将在访问面板中评审组或应用程序的访问权限。
如果评审者尚未提供输入,可以要求 Microsoft Entra ID 向他们发送提醒。 默认情况下,Microsoft Entra ID 自动在中途向所有审阅者发送结束日期提醒。
审阅者提供意见后,中止访问评审并应用更改。 有关详细信息,请参阅完成组或应用程序的访问审核。
使用 Microsoft Entra 访问审核管理来宾访问
使用 Microsoft Entra ID,可以借助 Microsoft Entra B2B 功能轻松实现跨组织边界的协作。 管理员或其他用户可以邀请其他租户中的来宾用户。 此功能也适用于 Microsoft 帐户等社交标识。
创建和执行来宾访问审核
为用户创建访问评审所需的角色同样也用于为来宾创建访问评审。 有关详细信息,请参阅创建和执行用户的访问评审。
Microsoft Entra ID 支持实现多个场景以评审来宾用户。
你可以评审以下任何一项:
- Microsoft Entra ID 中包含一个或多个来宾(成员)的组。
- 已连接到 Microsoft Entra ID 的、已为其分配一个或多个来宾用户的应用程序。
在审查来宾用户对 Microsoft 365 组的访问权限时,可以单独为每个组创建访问审核。或者,启用对所有 Microsoft 365 组的来宾用户的自动定期访问审核。
然后可以决定是要求每个来宾评审其自己的访问权限还是要求一个或多个用户评审每个来宾的访问权限。
以下部分介绍了这些方案。
让来宾自我评审他们在组中的成员身份
可以使用访问评审来确保受邀并已添加到组中的用户仍然需要访问权限。 可以轻松让来宾自我评审他们在组中的成员身份。
若要为组创建访问评审,请选择仅包括来宾用户成员的评审,然后,这些成员会自我评审。 有关详细信息,请参阅创建组或应用程序的访问审查。
让每个来宾自我评审其成员身份。 默认情况下,接受邀请的每个来宾会收到来自 Microsoft Entra ID 的电子邮件,其中包含访问评审的链接。 Microsoft Entra ID 向来宾说明了如何查看对组或应用程序的访问权限。
审阅者提供意见后,中止访问评审并应用更改。 有关详细信息,请参阅完成组或应用程序的访问审核。
除了表明自己不需要持续访问权限的这些用户以外,还可以删除未做出答复的用户。
如果未将组用于访问管理,还可以删除未选择参与评审的用户,因为他们未接受邀请。 未接受邀请可能表示受邀用户的电子邮件地址拼写错误。 如果某个组用作分发列表,则可能没有选择某些访客用户参与,因为他们是联系人对象。
让赞助人审核来宾的组成员身份
可以请组的所有者之类的发起人审核来宾是否有持续成为组成员的需求。
若要为组创建访问评审,请选择仅包含来宾用户成员的评审。 然后指定一个或多个审阅者。 有关详细信息,请参阅创建组或应用程序的访问评审。
要求审阅者提供意见。 默认情况下,他们每个人都会收到来自 Microsoft Entra ID 的电子邮件,其中包含指向访问面板的链接,他们将在访问面板中评审组或应用程序的访问权限。
审阅者提供意见后,中止访问评审并应用更改。 有关详细信息,请参阅完成组或应用程序的访问审核。
注意
你可以阻止外部标识登录到租户,并在 30 天后删除租户中的外部标识。 在此期间,当前评审下的“设置”、“结果”、“审阅者”或“审核日志”不可查看或配置。 有关详细信息,请参阅通过 Microsoft Entra 访问评审禁用和删除外部身份。
让来宾自我评审他们对应用程序的访问权限
可以使用访问评审确保受邀访问特定应用程序的用户继续需要该应用程序的访问权限。 可以轻松让来宾自己审查他们对访问权限的需求。
若要为应用程序创建访问评审,请选择仅包含来宾的评审,并且这些用户自行审查其访问权限。 有关详细信息,请参阅创建组或应用程序的访问评审。
让每个来宾自我评审他们对应用程序的访问权限。 默认情况下,接受邀请的每个来宾会收到来自 Microsoft Entra ID 的电子邮件。 该电子邮件中包含指向贵组织访问面板中访问审查的链接。 Microsoft Entra ID 向来宾说明了如何查看对组或应用程序的访问权限。
审阅者提供意见后,中止访问评审并应用更改。 有关详细信息,请参阅完成组或应用程序的访问审核。
除了声明自己不再需要继续访问的用户之外,还可以删除未响应或未被选中参与的来宾用户,尤其是如果他们最近没有被邀请时。 这些用户未接受其邀请,因此没有应用程序的访问权限。
让发起人评审来宾对应用程序的访问权限
可以要求发起人(如应用程序的所有者)查看来宾继续访问应用程序的需求。
若要为应用程序创建访问审查,请选择只包括来宾的评审。 然后指定一个或多个用户作为审阅者。 有关详细信息,请参阅创建组或应用程序的访问评审。
要求审阅者提供意见。 默认情况下,他们每个人都会收到来自 Microsoft Entra ID 的电子邮件,其中包含指向访问面板的链接,他们将在访问面板中评审组或应用程序的访问权限。
审阅者提供意见后,中止访问评审并应用更改。 有关详细信息,请参阅完成组或应用程序的访问审核。
让来宾评审访问权限的一般需求
在某些组织中,来宾可能不知道其组成员身份。
在 Microsoft Entra ID 中创建一个安全组,并把来宾作为成员加入其中,如果尚不存在适当的组。 例如,您可以创建一个包含来宾的组,并手动维护其成员。 或者,可以针对 Contoso 租户中 UserType 属性值为“来宾”的用户,以类似于“Guests of Contoso”的名称创建一个动态组。 请记住,作为组成员的来宾用户可以看到该组的其他成员。
若要为该组创建访问评审,请选择成员自己作为评审者。 有关详细信息,请参阅创建组或应用程序的访问评审。
让每个来宾自我评审其成员身份。 默认情况下,接受邀请的每个来宾会收到来自 Microsoft Entra ID 的电子邮件,其中包含组织访问面板中访问评审的链接。 Microsoft Entra ID 向来宾说明了如何查看对组或应用程序的访问权限。
审阅者提供输入后,立即停止访问审查。 有关详细信息,请参阅完成组或应用程序的访问审核。
删除被拒绝访问、未完成评审或事先未接受邀请的来宾访问权限。 如果某些来宾是已被选择参加评审或以前未接受邀请的联系人,则可以使用 Microsoft Entra 管理中心或 PowerShell 禁用其帐户。 如果来宾不再需要访问权限并且不是联系人,则可以使用 Microsoft Entra 管理中心或 PowerShell 从目录中删除其来宾用户对象。