在 Azure AD 中创建组和应用程序的访问评审

员工和来宾对组和应用程序的访问权限会不断变化。 为了降低与过期访问权限分配相关的风险,管理员可以使用 Azure Active Directory (Azure AD) 针对组成员或应用程序访问权限创建访问评审。

Microsoft 365 和安全组所有者还可以使用 Azure AD 为组成员创建访问评审,前提是全局管理员或用户管理员在“访问评审设置”窗格中启用了该设置(预览版)。 有关这些方案的详细信息,请参阅管理访问评审

本文介绍如何针对组成员或应用程序访问权限创建一个或多个访问评审。

必备条件

  • Azure AD Premium P2。
  • 全局管理员、用户管理员或标识管理管理员,可创建对组或应用程序的评审。
  • 全局管理员和特权角色管理员可对可分配角色的组创建评审。 有关详细信息,请参阅使用 Azure AD 组来管理角色分配
  • (预览版)Microsoft 365 和安全组所有者。

有关详细信息,请参阅许可证要求

创建一个或多个访问评审

  1. 登录到 Azure 门户并打开标识治理页。

  2. 在左侧菜单中,选择“访问评审”。

  3. 选择“新建访问评审”来创建新的访问评审。

    显示标识管理中的“访问评审”窗格的屏幕截图。

  4. 在“选择要评审的内容”框中,选择需要评审的资源。

    显示创建访问评审的屏幕截图。

  5. 如果选择“团队 + 组”,可看到两个选项:

    • “包含来宾用户的所有 Microsoft 365 组”:如果你要针对组织中所有 Microsoft Teams 和 Microsoft 365 组中的所有来宾用户创建定期评审,请选择此选项。 不包含动态组和可分配角色组。 你还可通过选择“选择要排除的组”来选择排除各个组。

    • “选择团队 + 组”:如果要指定一组有限的团队或组来评审,请选择此选项。 右侧会显示可供选择的组列表。

      显示“选择团队 + 组”的屏幕截图。

  6. 如果你已选择“应用程序”,则现在选择一个或多个应用程序。

    显示选择“应用程序”而不是“组”时出现的界面的屏幕截图。

    注意

    选择多个组或应用程序会导致创建多个访问评审。 例如,如果选择 5 个组来评审,则结果为 5 个单独的访问评审。

  7. 现在,你可以选择要评审的范围。 选项包括:

    • “仅来宾用户”:此选项将访问评审限制为仅目录中的 Azure AD B2B 来宾用户。
    • “每个人”:此选项将访问评审的范围限定为与资源关联的所有用户对象。

    注意

    如果选择了“包含来宾用户的所有 Microsoft 365 组”,则唯一的选项是评审“仅来宾用户” 。

  8. 选择“下一步: 评审”。

  9. 在“指定审阅者”部分的“选择审阅者”框中,选择一个或多个人员进行访问评审 。 可以选择:

    • “组所有者”:仅当你对团队或组进行评审时,此选项才可用。
    • 选定的用户或组
    • “用户评审自己的访问”
    • “用户经理”

    如果选择“用户经理”或“组所有者”,则还可以指定后备审阅者 。 如果用户未在目录中指定任何经理,或者如果该组没有所有者,则要求后备审阅者进行评审。

    显示新访问评审的屏幕截图。

  10. 在“指定评审的重复周期”部分中,指定以下选择:

    • “持续时间(天)”:评审开放供审阅者进行评审的时间。

    • “开始日期”:一系列评审的开始的时间。

    • “结束日期”:一系列评审结束的时间。 可以将它指定为“永不”结束。 或者,也可以选择“在特定日期结束”或“在出现特定次数后结束” 。

      显示选择评审发生频率的屏幕截图。

  11. 选择“下一步: 设置”。

  12. 在“完成设置后”部分中,可指定评审完成后会发生的情况。

    显示“完成设置后”的屏幕截图。

    • “自动将结果应用于资源”:如果希望在评审持续时间结束后自动删除被拒绝用户的访问权限,请选中此复选框。 如果禁用此选项,则必须在评审完成时手动应用结果。 请参阅管理访问评审,了解有关应用评审结果的详细信息。

    • “如果审阅者未答复”:使用此选项,指定对于任何审阅者在评审期限内未评审的用户,将发生什么情况。 此设置不影响审阅者已评审的用户。 下拉列表显示以下选项:

      • “不更改”:使用户访问权限保持不变。
      • “删除访问权限”:删除用户的访问权限。
      • “批准访问权限”:批准用户的访问权限。
      • “采用建议”:根据系统建议拒绝或批准用户的后续访问权限。
    • “对被拒绝的来宾用户应用的操作”:仅当访问评审的范围仅包括来宾用户时,此选项才可用,用于指定当审阅者或“如果审阅者未回应”设置拒绝来宾用户时,来宾用户会发生的情况 。

      • “从资源中删除用户的成员身份”:此选项将删除被拒绝的来宾用户对要评审的组或应用程序的访问权限。 它们仍可登录到租户,并且不会丢失任何其他访问权限。
      • “在 30 天内阻止用户登录,然后从租户中删除用户”:此选项将阻止被拒绝的来宾用户登录租户(无论他们是否可以访问其他资源)。 如果此操作出错,管理员可在来宾用户被禁用后的 30 天内重新启用来宾用户的访问权限。 如果 30 天后没有对禁用的来宾用户采取任何操作,将从租户中删除这些用户。

    若要详细了解有关删除组织中不再拥有资源访问权限的来宾用户的最佳做法,请参阅使用 Azure AD Identity Governance 评审和删除不再拥有资源访问权限的外部用户

    注意

    对于范围超出来宾用户的评审,无法配置“要对被拒绝的来宾用户应用的操作”。 对于包含来宾用户的所有 Microsoft 365 组的评审,也无法配置此项。当无法配置时,从资源中删除用户成员身份的默认选项将用于被拒绝的用户。

  13. 使用“评审结束时,将通知发送到”选项,向其他用户或组发送带有完成更新情况的通知。 除评审创建者之外的利益干系人使用此功能可了解最新的评审进度。 若要使用此功能,请选择“选择用户或组”并添加另一个用户或组来接收完成度状态。

  14. 在“启用评审决策帮助程序”部分中,选择是否希望审阅者在评审过程中收到建议。 启用后,系统会建议批准曾在之前 30 天内登录的用户。 对于过去 30 天内未登录的用户,建议选择拒绝评审。

    注意

    如果要基于应用程序创建访问评审,则你的建议将基于 30 天间隔期,该间隔期从用户上次登录到应用程序(而不是租户)的时间算起。

    显示“启用审阅者决策帮助程序”选项的屏幕截图。

  15. 在“高级设置”部分中,可选择以下选项:

    • “必须提供理由”:选中此复选框,要求审阅者提供批准或拒绝的理由。

    • “邮件通知”:选中此复选框,以便在访问评审开始时让 Azure AD 向审阅者发送电子邮件通知,并在评审完成时向管理员发送电子邮件通知。

    • “提醒”:选中此复选框,让 Azure AD 向所有审阅者发送访问评审正在进行的提醒。 无论审阅者是否完成评审,他们都可在评审期间收到提醒。

    • “审阅者电子邮件的其他内容”:发送给审阅者的电子邮件的内容根据审阅细节(如审阅名称、资源名称和截止日期)自动生成。 如果需要传达详细信息,可以在框中指定详细信息,如说明或联系信息。 你输入的信息将包含在邀请中,并且提醒电子邮件将发送到分配的审阅者。 下图中突出显示的部分显示此信息出现的位置。

      显示审阅者的其他内容的屏幕截图。

  16. 在完成时选择“下一步:查看 + 创建”。

    显示“查看 + 创建”选项卡的屏幕截图。

  17. 命名访问评审。 可选择为评审提供说明。 名称和说明向评审者显示。

  18. 查看信息,然后选择“创建”。

允许组所有者创建和管理其组的访问评审(预览版)

必备角色是全局管理员或用户管理员。

  1. 登录到 Azure 门户并打开“标识治理”页

  2. 在左侧菜单中的“访问评审”下,选择“设置” 。

  3. 在“可创建和管理访问评审的委托人”页面上,将“(预览版)组所有者可以创建和管理其拥有的组的访问评审”设置为“是” 。

    显示使组所有者能够进行评审的屏幕截图。

    注意

    默认情况下,此设置设为“否”。 允许组所有者创建和管理访问评审,并将设置更改为“是”。

启动访问评审

指定访问评审的设置后,选择“启动”。 访问评审将显示在列表中,并带有其状态指示符。

显示访问评审及其状态的列表的屏幕截图。

默认情况下,在评审开始后不久,Azure AD 会向评审者发送一封电子邮件。 如果选择不让 Azure AD 发送电子邮件,请务必通知评审者有一个访问评审任务等待他们完成。 可以向他们显示有关如何评审对组或应用程序的访问权限的说明。 如果评审工作是让来宾评审他们自己的访问权限,则可以显示有关如何评审自己对组或应用程序的访问权限的说明。

如果已分配来宾作为审阅者,而他们尚未接受针对租户的邀请,他们将不会收到访问评审的电子邮件。 他们必须先接受邀请,然后才能开始评审。

更新访问评审

开始一个或多个访问评审后,建议修改或更新现有访问评审的设置。 下面是一些需要考虑的常见方案:

  • 更新设置或审阅者:如果访问评审是重复的,则可在“当前”和“系列”下单独进行设置 。 更新“当前”下的设置或审阅者只会将更改应用到当前访问评审。 更新“系列”下的设置将更新所有未来重复的设置。

    显示更新访问评审设置的屏幕截图。

  • 添加和删除审阅者:更新访问评审时,可选择添加除主审阅者之外的后备审阅者。 更新访问评审时,可能会删除主审阅者。 根据设计,无法删除后备审阅者。

    注意

    只能在审阅者类型为管理员或组所有者时才能添加后备审阅者。 当审阅者类型为所选用户时,可以添加主审阅者。

  • 提醒审阅者:更新访问评审时,可选择在“高级设置”下启用“提醒”选项 。 启用后,用户将在评审过程中收到电子邮件通知,无论他们当时是否已完成评审。

    显示提醒审阅者的屏幕截图。

后续步骤