在访问评审中完成对组和应用程序的访问评审
你以管理员身份创建对组或应用程序的访问评审,审阅者执行访问评审。 本文介绍如何查看访问评审的结果并进行应用。
注意
本文介绍如何删除设备或服务中的个人数据,并且可用于为 GDPR 下的义务提供支持。 有关 GDPR 的常规信息,请参阅 Microsoft 信任中心的 GDPR 部分和服务信任门户的 GDPR 部分。
先决条件
- Microsoft Entra ID P2 或 Microsoft Entra ID 治理
- 全局管理员、用户管理员或标识管理管理员,可管理对组和应用程序的审核访问。 拥有全局管理员角色或特权角色管理员角色的用户可管理可分配角色组的评审,请参阅:使用 Microsoft Entra 组来管理角色分配
- 安全读取者具有读取访问权限。
有关详细信息,请参阅:许可证要求。
查看访问评审的状态
提示
本文中的步骤可能因开始使用的门户而略有不同。
执行以下步骤,跟踪访问评审的完成进度。
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“访问评审”。
在列表中,选择访问评审。
在“概述”页上,可以查看当前评审实例的进度 。 如果此时没有打开的活动实例,你将看到关于上一个实例的信息。 在评审完成之前,目录中的任何访问权限都不会更改。
“当前”下的所有边栏选项卡仅在每个评审实例的持续时间内可查看。
注意
虽然“当前”访问评审仅显示有关活动评审实例的信息,但你可以在“计划的评审”部分下的“系列”中获取有关尚未进行的评审的信息 。
“结果”页提供了有关实例中每个待评审用户的更多信息,包括停止、重置和下载结果的能力。
如果正在查看评审跨 Microsoft 365 组来宾访问的访问评审,“概述”窗格会列出评审中的每个组。
选择某个组可以查看该组上的评审进度,还可以停止、重置、应用和删除。
如果要在某个访问评审达到计划的结束日期之前停止它,请选择“停止”按钮。
停止评审后,审阅者将无法再提供回复。 停止后将无法重新开始评审。
如果不再关注此访问评审,可以单击“删除”按钮将其删除。
查看多阶段审核状态(预览)
要查看多阶段访问审查的状态和阶段:
选择你要检查其状态的多阶段审核或查看它处于哪个阶段。
在左侧导航菜单的“当前”下选择“结果”。
进入结果页面后,在“状态”下,它将告诉你多阶段评审处于哪个阶段。 在 access review 设置过程中指定的持续时间过去之前,下一阶段的检查不会处于活动状态。
如果已做出决定,但此阶段的评审期限尚未到期,你可以在结果页面上选择“停止当前阶段”按钮。 这将触发下一阶段的审核。
检索结果
若要查看评审结果,请选择“结果”页。 若只查看某个用户的访问,请在“搜索”框中键入其访问已进行评审的用户的显示名称或用户主体名称。
若要查看已完成的定期访问评审实例的结果,请选择“评审历史记录”,然后根据实例的开始日期和结束日期,从已完成的访问评审实例列表中选择特定实例。 该实例的结果可以从“结果”页面获得。 定期访问评审使你可以对资源的访问有持续不断的了解,这些资源可能需要比一次性访问审查更频繁地更新。
若要检索正在进行或已完成的访问评审结果,请选择“下载”按钮。 可以在 Excel 中或在可打开 UTF-8 编码 CSV 文件的其他程序中查看生成的 CSV 文件。
以编程方式检索结果
还可以使用 Microsoft Graph 或 PowerShell 检索访问评审结果。
首先需要找到访问评审的实例。 如果 accessReviewScheduleDefinition 是一个定期访问评审,每个实例将代表每次重复执行的评审。 不重复的评审只包含一个实例。 在计划定义中,每个实例还代表正在接受评审的每个唯一组。 如果一个计划定义评审多个组,则每个组的每次重复都有一个唯一的实例。 每个实例都包含一组可供评审者用作行动依据的决定,正在接受评审的每个身份各一个决定。
确定实例后,要使用 Graph 检索决策,请调用图形 API 列出实例中的决策。 如果实例是多阶段评审,则调用图形 API,列出多阶段访问评审的决策。 调用方必须是一个对应用程序拥有委托的 AccessReview.Read.All 或 AccessReview.ReadWrite.All 权限的适当角色的用户,或者是一个拥有 AccessReview.Read.All 或 AccessReview.ReadWrite.All 应用程序权限的应用程序。 有关更多信息,请参阅有关如何查看安全组的教程。
还可以使用适用于 Identity Governance 的 Microsoft Graph PowerShell cmdlet 模块中的 Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision cmdlet,在 PowerShell 中检索决定。 此 API 的默认页面大小为 100 个决策项。
应用更改
如果“将结果自动应用到资源”选项已启用,并且该选项是基于你在“完成后操作”设置中所做的选择,则自动应用将在审核实例完成后执行,而如果手动停止评审,则会执行得更早。
如果没有为评审启用“将结果自动应用到资源”,请在评审期限结束或评审提前停止后,导航到“系列”下的“评审历史记录”,然后选择要应用的评审实例。
选择“应用”可手动应用更改。 如果在评审中拒绝了某个用户的访问权限,则当选择“应用”时,Microsoft Entra 会移除该用户的成员身份或应用程序分配。
评审状态会从“已完成”变为各种中间状态(例如“正在应用”),并最终变为“结果已应用”状态。 几分钟后,应会看到被拒绝的用户(如果有)已从组成员身份或应用程序分配中删除。
手动或自动应用结果不会影响源自本地目录的组。 若要更改源自本地的组,请下载结果,并将这些更改应用到该目录中组的表示形式。
注意
一些被拒绝的用户无法将对其应用结果。 可能出现这种情况的场景包括:
- 查看已同步的本地 Windows Server AD 组的成员:如果已从本地 Windows Server AD 同步此组,将无法在 Microsoft Entra ID 中管理此组,因此无法更改成员资格。
- 查看分配有嵌套组的资源(角色、组、应用程序):对于通过嵌套组具有成员身份的用户,我们不会删除其嵌套组的成员身份,因此将保留对所评审资源的访问权限。
- 找不到用户/其他错误也可能导致应用结果不受支持。
- 查看已启用邮件的组的成员:无法使用 Microsoft Entra ID 管理该组,因此无法更改成员资格。
- 当查看使用组分配的应用程序时,并不会移除这些组的成员,因此对于应用程序分配,这些组将保留组关系中的现有访问权限
在访问评审中对拒绝的来宾用户执行的操作
在创建评审时,创建者可以在访问评论中被拒绝的访客用户的两个选项之间进行选择。
- 被拒绝的来宾用户可以访问已删除的资源。 这是默认值。
- 被拒绝的来宾用户可以被阻止登录 30 天,然后从租户中删除。 在 30 天内,管理员可以恢复来宾用户对租户的访问权限。 30 天期限结束后,如果来宾用户无法再次访问授予给他们的资源,他们将从租户中永久删除。 此外,使用 Microsoft Entra 管理中心,全局管理员可以在达到该时间段之前,显式地永久删除最近删除的用户。 某位用户被永久删除后,有关该来宾用户的数据会从活动访问评审中删除。 有关已删除用户的审核信息仍保留在审核日志中。