在本文中,你会找到有关访问评审常见问题的解答。 请经常查看此页面,因为更改经常发生,而且答案也在不断新增。
常见问题
是否可以随时停止重复的访问评审系列?
虽然系列没有直接的“停止”按钮,但可以编辑该系列以设置较早的结束日期。 这可以防止在该日期之后生成新的评审实例。
访问评审是否反映对用户或评审期间的访问权限的实时更改?
否。 访问审核会在每个审核实例开始时捕获访问快照。 评审开始后对用户分配、组成员身份或审阅者配置所做的任何更改不会反映在该实例中。 这些更新将在评审的下一个阶段记录下来,对于定期评审。 在每个重复周期开始时,系统会重新评估并检索有关用户、资源和审阅者的最新信息。
我已完成访问评审,但尚未看到任何更改。 为什么?
当审阅者完成访问评审时,这意味着他们提交他们的决定。 但是,在评审达到计划的结束日期之前,不会应用对访问权限的更改。
如果评审设置为 自动应用,系统会在结束日期后不久应用决策。 如果未启用自动应用,管理员必须手动应用结果。 您可以在评审的配置设置中确认是否已启用自动应用。
注释
即使审阅者提前完成评审,例如在 10 天评审的第 1 天,访问更改仍不会生效,直到评审期结束。
如果审阅者错过评审截止时间,会发生什么情况?
如果审阅者未在评审结束日期前采取措施,系统会自动为未审阅的用户应用管理员配置的默认决策,例如批准、拒绝或提出建议。
管理员如何在定期系列中查看即将进行的评论?
在某些情况下,系统无法应用评审结果,尤其是对于被拒绝的用户:
- 查看同步的本地 Windows Server Active Directory 组的成员:如果组从本地 Windows Server Active Directory 同步,则无法在 Microsoft Entra ID 中管理该组,因此无法更改成员身份。 - 查看分配有嵌套组的资源(角色、组或应用程序):对于通过嵌套组具有成员身份的用户,我们不会从嵌套组中删除其成员身份,因此他们保留对正在审阅的资源的访问权限。
- 找不到用户:找不到用户或其他类似错误也可能导致应用结果未完成。
- 查看启用邮件的组的成员:无法在Microsoft Entra ID 中管理该组,因此无法更改成员身份。
- 应用程序使用组分配:查看使用组分配的应用程序不会删除这些组的成员,因此它们会保留应用程序分配的组关系中的现有访问权限。
为什么在正在进行的组访问评审期间,新的组所有者不会显示为审阅者?
当组或团队访问评审开始时,仅会分配当时的组所有者作为审阅者。 例如,如果在评审期间更改组所有权,则会添加新所有者或删除现有所有者,则这些更改不会影响当前实例。 原始审阅者保持不变。 但是,对于定期评审,对组所有权的任何更新都将反映在下一个评审实例中。
如何查看哪些审阅者已收到访问评审的通知?
访问评审启动后,可以使用 contactedReviewers API 检索所有已被或可能通过电子邮件通知执行评审的用户列表。 即使在关闭通知的情况下,API 仍提供审阅者列表以及指示何时发生通知的时间戳。