概述
特权角色管理员可以在 访问评审开始后查看特权访问。 Microsoft Entra ID中的Privileged Identity Management(PIM)会自动发送电子邮件,提示用户查看其访问权限。 如果用户未收到电子邮件,可以向他们发送 有关如何执行访问评审的说明。
创建评审后,请按照本文中的步骤完成评审并查看结果。
完成访问审核
以被分配一个或多个所需角色的用户身份登录到 Microsoft Entra 管理中心。
浏览到 ID Governance>Privileged Identity Management。
对于 Microsoft Entra 角色,请选择 Microsoft Entra 角色。 对于 Azure 资源,请选择 Azure 资源。
选择要管理的访问审阅。 以下是 Review Access 概述的屏幕截图示例,涵盖了 Azure 资源 和 Microsoft Entra 角色。
在详细信息页面中,您可以使用以下选项来管理Azure 资源和Microsoft Entra 角色的审核:
停止访问权限评审
所有访问审阅都有结束日期,但可以使用“停止”按钮提前结束。 只有在评审实例处于活动状态时,才能选择“停止”按钮。 停止后,无法重新开始审阅。
重置访问评审
当评审实例处于活动状态且审阅者至少做出一个决策时,你可以通过选择“重置”按钮来重置访问评审,删除对其所做的所有决策。 重置访问评审后,所有用户都会被重新标记为“未评审”。
执行访问评审
完成访问评审后,无论是因为你已经达到结束日期还是已经手动停止,“应用”按钮都会删除被拒绝用户对该角色的访问。 如果在审查期间拒绝了用户的访问权限,则此步骤将删除其角色分配。 如果在创建评审时配置 了“自动应用 ”设置,则始终禁用此按钮,因为将自动应用评审,而不是手动应用。
删除权限访问审核
如果你对该评论不感兴趣,请将其删除。 若要从 Privileged Identity Management 服务中删除访问评审,请选择 Delete 按钮。
重要
无需确认此破坏性更改,但请确保您确实要删除该评论。
结果
在“ 结果 ”页上,可以查看和下载审阅结果的列表。
注意事项
Microsoft Entra角色具有“角色可分配组”的概念,其中一个组可以被分配到角色。 在这种情况下,该组会显示在评审中,而不是展开组的成员,审阅者将批准或拒绝整个组。
注意事项
如果将某个组分配到 Azure 资源角色,则 Azure 资源角色的审阅者将看到嵌套组中用户的完整列表。 如果审阅者拒绝嵌套组的成员,该拒绝结果将不会成功应用,因为不会从嵌套组中删除用户。
审阅者
在“审阅者”页上,可以查看并向现有的访问审核中添加审阅者。 还可以提醒审阅者在此处完成评审。
注意事项
如果所选的审阅者类型是用户或组,则可以随时将更多用户或组添加为主要审阅者。 此外,还可以随时删除主要审阅者。 如果审阅者类型为经理,则可以将用户或组添加为回退审阅者,以完成对没有经理的用户的评审。 不能删除后备审阅者。
