Microsoft Entra ID Governance 中的目录访问评审使组织能够简化管理者如何一次性评审用户对多个资源类型的访问,例如组、应用程序和自定义断开连接的资源。 这有助于确保只有适当的人员保留访问权限,同时使经理和资源所有者能够通过多阶段过程有效地评审访问权限。
许可要求
此功能需要为组织的用户Microsoft Entra ID Governance 或 Microsoft Entra Suite 订阅。 有关详细信息,请参阅每个功能的文章以了解更多详细信息。 若要查找符合要求的正确许可证,请参阅 Microsoft Entra ID Governance 许可基础知识。
将资源添加到目录
若要在同一审阅者的体验中对多个资源进行访问审核,必须先将这些资源添加到目录中。 组、应用程序和自定义数据提供的资源目前是目录可以查看的三个资源。 若要将资源添加到目录,请执行以下操作:
以至少标识治理管理员或目录创建者的身份登录到 Microsoft Entra 管理中心,并作为资源的所有者或管理员登录。
浏览到 权利管理>目录。
在目录屏幕上,选择现有目录,或选择 “新建目录 ”以创建新目录。
在目录概述页上,选择“ 资源>添加资源”。
若要查看组或团队的成员身份,请选择 “组”和“团队 ”,然后选择要包括在目录中的组。 若要查看应用角色分配,请选择“ 应用程序 ”,然后选择要包括在目录中的应用程序。
注释
在目录访问审查中,仅支持组、应用程序和 自定义数据提供的资源。
选择资源后,选择“ 添加 ”以将它们保存在目录中。
若要使评审还包含来自自定义数据提供程序的数据,请选择 “自定义数据提供的资源”(预览版),并提供资源的名称和说明。 有关详细信息,请参阅 自定义数据提供的资源。
有关创建目录和添加资源的详细信息,请参阅 “创建和管理资源目录”。
创建目录访问评估
将资源添加到目录后,可以创建目录访问评审,以便管理员可以一次性查看他们管理的所有资源的访问权限。 若要创建目录访问评审,请执行以下步骤:
至少以 身份治理管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>访问审查>创建新的访问审查。
在“访问评审模板”屏幕上,选择“审阅目录中多个资源类型的用户访问权限”,以选择目录评审模板。
输入有关工作流 的基本信息 ,然后选择“ 下一步”。
在 “资源 ”选项卡上,选择在其中添加资源的目录,然后选择“ 下一步”。
在 “审阅者和计划 ”选项卡上,选择审阅者。 目前,用户的经理是主要审阅者。
(可选)可以配置 多阶段评审,其中资源所有者(组或应用程序所有者)充当辅助审阅者。
配置 审阅者体验 选项(电子邮件通知、提醒、理由要求)和 完成设置。
选择“ 创建 ”以完成访问评审。
还可以使用 Microsoft Graph 以编程方式创建访问评审。 有关详细信息,请参阅 在目录上创建单阶段访问评审。
从自定义数据资源上传数据
如果已将自定义数据提供的资源添加到目录,则必须在评审实例初始化时上传数据。 有关详细信息,请参阅 获取访问评审对象和实例 ID。
完成目录访问评审过程
创建目录访问评审后,管理员会收到一封电子邮件通知,通知将他们定向到 myaccess 门户。 他们还可以直接进入“My Access”门户,以查看其直接下属对目录中所有资源的访问权限。
若要完成目录访问评审,需要执行以下步骤:
以要完成目录访问评审的用户经理身份登录到“我的访问”门户 https://myaccess.microsoftonline.cn 。
在左侧菜单中,选择 “访问评审 ”以查看待审批的访问评审列表。
选择
“多资源”选项卡以查看待定目录访问审查列表。 对于每个访问项,请选择 “批准 ”或 “拒绝”,并根据需要提供理由。
选择 “提交 ”以记录你的决策。
在评审结束日期,所有决策(不包括自定义未连接资源)将自动应用。