本文介绍如何为组的 PIM 创建一个或多个访问审查,包括组的活跃成员和符合条件的成员。 可以对组的活动成员(在创建评审时处于活动状态)和组中符合条件的成员执行评审。
先决条件
使用此功能需要 Microsoft Entra ID 治理或 Microsoft Entra 套件许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。
为组创建 PIM 访问评审
Scope
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>访问审查。
选择“新建访问审查”来创建新的访问审查。
在“访问评审模板”屏幕上,选择“评审资源类型的访问权限”。
在“选择要评审的内容”框中,选择“团队 + 组”。
选择团队 + 组,然后在审阅范围下选择选择团队 + 组。 屏幕上会显示可供选择的组列表。
注意
当选择组的 PIM 时,正在审核的该组用户包括所有符合条件的用户和活跃用户。
现在,你可以选择要评审的范围。 你的选择有:
- 仅来宾用户:此选项可将访问评审限制为仅目录中的 Microsoft Entra B2B 来宾用户。
- “每个人”:此选项将访问评审的范围限定为与资源关联的所有用户对象。
如果要进行组成员资格评审,可以只为组中的非活动用户创建访问评审。 在“用户范围”部分,选中“非活动用户”(租户级别)旁边的框。 如果选中此框,则评审范围仅聚焦于非活动用户,即那些未以交互方式或非交互方式登录到租户的用户。 然后,指定 非活动天数 为不超过 730 天(两年)。 组中处于非活动状态的指定天数的用户是评审中唯一的用户。
注意
配置非活动时间时,最近创建的用户不会受到影响。 访问评审检查是否已在配置的时间范围内创建用户,并忽略至少该时间段内不存在的用户。 例如,如果将非活动时间设置为 90 天,并且来宾用户创建或邀请的时间少于 90 天前,则来宾用户不会在访问评审的范围内。 这可确保用户在被删除之前至少可以登录一次。
- 选择“下一步: 评审”。
完成此步骤后,可以按照创建组或应用程序的访问评审一文中的下一步:评审下概述的说明操作,以完成访问评审。
注意
对于组的 PIM(预览版)访问审查,选择组所有者作为审查者时,必须至少指定一位备用审查者。 审核将只把现任所有者指定为审阅者。 不包括符合条件的所有者。 如果在评审开始时没有当前活动的所有者,则会将备用审阅者分配给评审。