在 Microsoft Entra ID 中创建对组 PIM 的访问评审(预览版)
本文介绍如何为组 PIM 创建一个或多个访问评审,其中将包括组中活动状态的成员以及符合条件的成员。 可以对组的活动成员(在创建评审时处于活动状态)和组中符合条件的成员执行评审。
先决条件
- Microsoft Entra ID 治理许可证。
- 只有全局管理员角色、Identity Governance 管理员角色或特权角色管理员角色中的用户才能创建针对组 PIM 的评审。 有关详细信息,请参阅使用 Microsoft Entra 组来管理角色分配。
有关详细信息,请参阅许可证要求。
创建组 PIM 访问评审
提示
本文中的步骤可能因开始使用的门户而略有不同。
作用域
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“访问评审”>“评审历史记录”。
选择“新建访问评审”来创建新的访问评审。
在“选择要评审的内容”框中,选择“团队 + 组”。
选择“团队 + 组”,然后选择“评审范围”下的“选择团队 + 组”。 屏幕上会显示可供选择的组列表。
注意
选择一个组 PIM 后,该组的受评审用户将包括该组中所有符合条件的用户以及活动状态的用户。
现在,你可以选择要评审的范围。 选项包括:
- 仅来宾用户:此选项可将访问评审限制为仅目录中的 Microsoft Entra B2B 来宾用户。
- “每个人”:此选项将访问评审的范围限定为与资源关联的所有用户对象。
如果要进行组成员资格评审,可以只为组中的非活动用户创建访问评审。 在“用户范围”部分,选中“非活动用户”(租户级别)旁边的框。 如果选中此框,则评审范围仅聚焦于非活动用户,即那些未以交互方式或非交互方式登录到租户的用户。 然后,指定“非活动天数”,非活动天数最长为 730 天(两年)。 组中处于非活动状态的指定天数的用户是评审中唯一的用户。
注意
配置非活动时间时,最近创建的用户不会受到影响。 访问评审会检查是否已在配置的时间范围内创建用户,并会忽略其存在时间尚未达到该时间长度的用户。 例如,如果将非活动时间设置为 90 天,而某个来宾用户是在不到 90 天前创建或邀请的,则该来宾用户不在访问评审范围内。 这可确保用户在被删除之前至少可以登录一次。
- 选择“下一步: 评审”。
完成此步骤后,可以按照创建组或应用程序的访问评审一文中的下一步:评审下概述的说明操作,以完成访问评审。
注意
对于组 PIM 的访问评审(预览版),选择组所有者作为审阅者时,必须至少分配一个回退审阅者。 评审将仅将活动所有者分配为审阅者。 不包括符合条件的所有者。 如果在评审开始时没有活动所有者,则会将回叫审阅者分配给评审。