Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
通过访问评审,可以使用 Microsoft Entra B2B 功能轻松地跨组织边界启用协作。 管理员或其他用户可以邀请其他租户中的来宾用户。 此功能也适用于 Microsoft 帐户等社交标识。
可以轻松确保来宾用户拥有适当的访问权限。 为此,可让来宾本人或决策人参与访问评审,鉴定(或“证明”)来宾的访问权限。 审阅者可以根据 Microsoft Entra ID 的建议,针对每个用户的持续访问权限需求表达看法。 访问评审完成后,即可进行更改,并删除不再需要访问权限的来宾的访问权限。
注意事项
本文档重点介绍如何评审来宾用户的访问权限。 如果想要评审所有用户的访问权限,而不仅仅是来宾,请参阅通过访问评审管理用户访问权限。 如果要查看用户在管理角色(如全局管理员)中的成员身份,请参阅 在 Microsoft Entra Privileged Identity Management 中启动访问评审。
先决条件
- Microsoft Entra ID P2 或 Microsoft Entra ID Governance
有关详细信息,请参阅许可证要求。
创建和执行来宾的访问审核
首先,您必须被分配为以下至少一个角色之一:
- 用户管理员
- (预览)要审阅的组的所有者是 Microsoft 365 或 Microsoft Entra 的安全组所有者。
然后,请转到“Identity Governance”页,确保访问评审已为你的组织准备就绪。
Microsoft Entra ID支持多种审查来宾用户的场景。
你可以评审以下任何一项:
- Microsoft Entra ID中具有一个或多个来宾作为成员的组。
- 连接到Microsoft Entra ID的应用程序,其中分配了一个或多个来宾用户。
查看 Microsoft 365 组的来宾用户访问权限时,您可以为每个组单独创建访问评估,或者启用针对所有 Microsoft 365 组的来宾用户自动定期访问审核。
然后可以决定是要求每个来宾评审其自己的访问权限还是要求一个或多个用户评审每个来宾的访问权限。
以下部分介绍了这些方案。
让来宾自我评审他们在组中的成员身份
可以通过使用访问评审来确保被邀请并已添加到组中的用户是否仍然需要访问权限。 可以轻松让来宾自我评审他们在组中的成员身份。
若要为组创建访问评审,请选择仅包括来宾用户成员的评审,然后,这些成员会自我评审。 有关详细信息,请参阅创建组或应用程序的访问审核。
让每个来宾自我评审其成员身份。 默认情况下,接受邀请的每个来宾都会收到来自Microsoft Entra ID的电子邮件,其中包含访问评审的链接。 Microsoft Entra ID提供有关来宾如何查看对组或应用程序的访问权限的说明。
审阅者提供反馈后,结束访问审核并应用更改。 有关详细信息,请参阅完成组或应用程序的访问审核。
除了表明自己不需要持续访问权限的这些用户以外,还可以删除未做出答复的用户。 未做出答复的用户可能不会再收到电子邮件。
如果未将组用于访问管理,还可以删除未选择参与评审的用户,因为他们未接受邀请。 未接受邀请可能表示受邀用户的电子邮件地址拼写错误。 如果某个组被用作邮件分发列表,可能没有选择一些来宾用户参与,因为他们是联系人对象。
让授权用户评审来宾在组中的成员身份
可以请作为授权用户的某人(例如组的所有者)评审来宾是否需要继续保留组成员身份。
若要为组创建访问评审,请选择仅包括来宾用户成员的评审。 然后指定一个或多个审阅者。 有关详细信息,请参阅创建组或应用程序的访问审查。
要求审阅者提供反馈。 默认情况下,他们都会从Microsoft Entra ID收到一封电子邮件,其中包含访问面板的链接,查看对组或应用程序的访问权限。
审阅者提供反馈后,结束访问审核并应用更改。 有关更多信息,请查看完成组或应用程序的访问审核。
让来宾自我评审他们对应用程序的访问权限
可以使用访问评审确保受邀参与特定应用程序的用户仍然需要访问权限。 可以轻松让来宾自己审查他们自己对访问权限的需求。
若要为应用程序创建访问评审,请选择一个仅限来宾参与的评审选项,并且用户可以自行评审其访问权限。 有关详细信息,请参阅创建组或应用程序的访问审查。
让每个来宾自我评审他们对应用程序的访问权限。 默认情况下,接受邀请的每个来宾都会收到来自Microsoft Entra ID的电子邮件。 该电子邮件中包含指向组织访问面板中访问评审的链接。 Microsoft Entra ID提供有关来宾如何查看对组或应用程序的访问权限的说明。
审阅者提供反馈后,结束访问审核并应用更改。 有关详细信息,请参阅完成组或应用程序的访问评审。
除了表明自己不需要持续访问权限的用户以外,还可以删除未做出答复的来宾用户。 未做出答复的用户可能不会再收到电子邮件。 还可以删除未被选择参与的来宾用户,尤其是近期未邀请其参与的用户。 这些用户未接受其邀请,因此没有应用程序的访问权限。
让授权用户评审来宾对应用程序的访问权限
可以让授权用户(例如应用程序的所有者)评审来宾是否需要持续获得应用程序的访问权限。
若要为应用程序创建访问评审,请选择仅包括来宾的评审。 然后指定一个或多个用户作为审阅者。 有关详细信息,请参阅创建组或应用程序的访问审核。
要求审阅者提供反馈。 默认情况下,他们都会从Microsoft Entra ID收到一封电子邮件,其中包含访问面板的链接,查看对组或应用程序的访问权限。
审阅者提供反馈后,结束访问审核并应用更改。 有关详细信息,请参阅完成组或应用程序的访问审查。
请来宾重新审视他们对访问权限的需求
在某些组织中,来宾可能不知道其组成员身份。
注意事项
早期版本的门户不允许 UserType 为“来宾”的用户具有管理访问权限。 在某些情况下,目录中的管理员可能通过 PowerShell 将来宾的用户类型 (UserType) 值更改为“成员”。 如果之前目录中已发生此更改,则之前的查询可能不包括以前具有管理访问权限的所有来宾用户。 在这种情况下,需要更改来宾的 UserType 或手动将来宾包含在组成员身份中。
- 如果不存在合适的组,请在Microsoft Entra ID中创建包含来宾作为成员的安全组。 例如,您可以创建一个专门为手动维护来宾成员而设置的群组。 或者,可以针对 Contoso 租户中 UserType 属性值为“来宾”的用户,以类似于“Guests of Contoso”的名称创建一个动态组。 为了提高效率,请确保该组主要是来宾 - 不要选择包含成员用户的组,因为成员用户不需要进行评审。 另外,请记住,作为组成员的来宾用户可以看到该组的其他成员。
注意事项
查看我的个人资料 > 我所在的组时,作为Microsoft Entra组成员的来宾用户可以看到同一组的其他成员。 此行为独立于访问评审。如果你的组织希望阻止来宾用户看到其他来宾帐户,则可以在 Microsoft Entra ID 中更新 Guest 用户访问限制。 例如,可以限制来宾仅查看自己的个人资料信息。 若要配置此设置,请转到 Entra ID > 外部标识 > 外部协作设置,并相应地调整 来宾用户访问限制 。
若要为该组创建访问评审,请指定成员自身作为评审者。 有关详细信息,请参阅对组或应用程序进行访问评审。
让每个来宾自我评审其成员身份。 默认情况下,接受邀请的每个来宾都会从Microsoft Entra ID收到一封电子邮件,其中包含指向组织访问面板中访问评审的链接。 Microsoft Entra ID提供有关来宾如何查看对组或应用程序的访问权限的说明。 这些未接受邀请的来宾在评审结果中显示为“未通知”。
审阅者提供意见后,将停止访问审查。 有关详细信息,请参阅完成组或应用程序的访问评审。
为 选择团队 + 组配置访问评审时,您可以自动删除来宾用户的 Microsoft Entra B2B 帐户,此操作是访问评审的一部分。 此选项不适用于所有具有来宾用户的Microsoft 365组。
为此,请选择“将结果自动应用于资源”,因为这会自动从资源中删除用户。 “如果审阅者未响应”应设置为“删除访问权限”,并且“对被拒绝的来宾用户应用的操作”也应设置为“在 30 天内阻止用户登录,然后从租户中删除用户”。
这会立即阻止登录到来宾用户帐户,然后在 30 天后自动删除其Microsoft Entra B2B 帐户。