查看有关访问评审的建议
评审用户访问权限和执行访问评审的决策者可以根据基于系统的建议决定是继续访问还是拒绝访问资源。 有关如何使用评审建议的详细信息,请参阅“启用决策帮助程序”。
先决条件
若要创建对非活动用户的评审和使用用户到组隶属关系建议,需要具有 Microsoft Entra ID 治理许可证。
有关详细信息,请参阅许可证要求。
非活跃用户建议
如果用户在过去 30 天内未登录到租户,则被视为“非活动”。 此行为针对应用分配的评审进行调整,该操作会检查应用中每个用户而非整个租户的最后一项活动。 为访问评审启用非活动的用户建议时,会在评审开始后评估每个用户的最后登录日期,并向任何 30 天内未登录的用户给出一个建议的操作(“拒绝”)。 此外,启用这些决策帮助程序后,审阅者将能够查看所有正在接受评审的用户的最后登录日期。 此登录日期以及生成的建议在评审开始时确定,在评审进行期间不会更新。
用户到组隶属关系
使评审体验更容易且更准确,因而 IT 管理员和审阅者能够做出更明智的决策。 此基于机器学习的建议将开启自动化访问评审之旅,从而启用智能自动化并减少访问权限证明疲劳。
组织图表中的“用户到组的隶属关系”被定义为在组织报告结构中具有相似特征的两个或多个用户。
此建议根据组织的报告结构相似性来检测用户与组中其他用户的关联。 此建议依赖于评分机制,该机制通过计算用户与组中剩余用户的平均距离来计算。 根据组织图表,与所有其他组成员距离较远的用户被视为在组中的“关联性低”。
如果访问评审的创建者启用此决策帮助程序,评审者可以收到组访问评审的“用户到组的隶属关系”建议。
注意
此功能仅适用于目录中的用户。 用户应该有一个经理属性,并且应是组织层次结构的一部分,这样用户到组的隶属关系才会生效。
不支持用户数超过 600 的组。
下图显示一家化妆品公司的组织报告结构示例:
根据示例图像中的报告结构,如果审阅者为组访问评审选择了“用户到组的隶属关系”建议,则与组中其他用户的距离相当大(从统计角度来说)的用户会获得系统的“拒绝”建议。
例如,在个人护理部门工作的 Phil 与化妆品部门的 Debby、Irwin 和 Emily 在同一个小组。 该组称为“Fresh Skin”。 如果根据报告结构以及与其他组成员之间的距离对“Fresh Skin”小组执行访问评审,则 Phil 会被视为关联性低。 系统会在组访问评审中创建“拒绝”建议。