组织通常具有尚未与 Microsoft Entra 集成的应用程序,但仍需要管理。 使用提供的自定义数据资源,可以通过将其访问数据直接上传到目录中,将这些断开连接的应用程序包含在 Microsoft Entra ID 访问评审中。
此功能使你能够在同一目录中,对Microsoft Entra已连接的资源和自定义资源进行用户访问评审(UAR)。 审阅者可以轻松地在“我的访问”门户中评审和认证用户的访问权限,帮助确保所有资源的一致治理、改进的可见性和合规性,无论它们是否连接到Microsoft Entra。
许可要求
此功能需要为组织的用户Microsoft Entra ID Governance 或 Microsoft Entra Suite 订阅。 有关详细信息,请参阅每个功能的文章以了解更多详细信息。 若要查找符合要求的正确许可证,请参阅 Microsoft Entra ID Governance 许可基础知识。
创建目录
如果还没有目录,请创建新目录。 如果已有目录,请继续 下一部分。
以至少标识治理管理员或目录创建者身份登录到 Microsoft Entra 管理中心。
小窍门
分配给用户管理员角色的用户将无法再在他们不拥有的目录中创建目录或管理访问包。 如果你组织中的用户被分配到“用户管理员”角色来配置权利管理中的目录、访问包或策略,则应改为将这些用户分配“标识治理管理员”角色。
浏览到 ID 治理>授权管理>目录。
选择“新建目录”。
输入目录的唯一名称,并提供说明。
用户将在访问包的详细信息中看到此信息。
选择“创建”以创建该目录。
有关创建目录和添加资源的详细信息,请参阅 “创建和管理资源目录”。
将提供的自定义数据资源添加到目录
创建目录后,可以通过执行以下步骤向其中添加自定义数据资源:
至少以 身份治理管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>授权管理>目录。
在“目录”页上,打开在上一部分中创建的目录。
在左侧菜单中选择“资源”。
选择“添加资源”。
选择资源类型: 自定义数据提供的资源。
在资源页上,输入:
- 资源名称 - 资源的名称。
- 说明 - 资源的说明。
选择“保存”。
创建用户访问评审
重要
自定义数据资源评审目前支持 单阶段评审 ,其中 经理 是唯一可用的审阅者。
至少以 身份治理管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>访问审查>新建访问审查。
在“访问评审模板”屏幕上,选择“ 审阅用户在目录中的多个资源类型的访问权限”,然后选择 “目录评审模板”。
输入有关工作流 的基本信息 ,然后选择“ 下一步”。
在 “资源 ”选项卡上,选择在其中添加资源的目录,然后选择“ 下一步”。
在“ 审阅者和计划 ”选项卡上,选择要进行访问评审的审阅者。 目前仅支持单阶段评审,其中评审的对象是受访问评审的用户的经理。
选择 创建。
还可以使用 Microsoft Graph 以编程方式创建访问评审。 有关详细信息,请参阅 在目录上创建单阶段访问评审。
获取访问评审对象和实例 ID
创建目录访问评审后,但在上传自定义数据之前,必须同时获取 Access Review 对象 ID 和 Access Review 实例对象 ID。 若要获取此信息,请执行以下作:
浏览到 ID 治理>访问审查。
选择您创建的目录访问审查。
在“访问评审概述”屏幕上,复制 对象 ID。
在访问评审概述屏幕上选择访问评审的当前实例。
在访问评审实例屏幕上,保存实例 对象 ID。
上传自定义数据
复制了访问审核对象和访问审核实例对象后,请注意,访问审核的状态显示为正在初始化。
返回到创建的目录,然后选择“ 资源”。
在目录的资源屏幕上,选择创建的自定义数据访问资源,然后选择 “上传自定义访问数据”。
在 “基本信息”部分下的“上传自定义资源访问数据”屏幕上,输入“访问评审对象 ID”和“访问评审实例对象 ID”,这些 ID 可以在“获取访问评审对象和实例 ID”部分找到。
在 “上传文件 ”下,选择最多 10 个 CSV 以包含在访问数据中,然后选择“ 保存”。
注释
若要确认已成功上传所有 CSV,请查看 审核日志。
您有最多两个小时的时间从审阅进入“正在初始化”状态后完成上传。
还可以通过 Graph 上传自定义数据,方法是创建上传会话,然后上传 CSV 文件。 有关详细信息,请参阅 customDataProvidedResourceUploadSession。
活动审查状态
在 活动 阶段:
- 审阅者会收到电子邮件通知。
- 他们可以登录到 “我的访问”门户 以查看和完成评审决策。
应用阶段
在 “应用” 阶段,可以通过做出 列表决策 API 调用来获取被拒绝用户的列表:
GET https://microsoftgraph.chinacloudapi.cn/beta/identityGovernance/accessReviews/definitions/{access review object ID}/instances/{access review instance object ID}/decisions?$filter=(decision eq 'Deny' and resourceId eq '<custom data provided resource ID>')
对于每个决策项:
从您自己的系统中移除访问权限,然后更新每个决策项,以通过进行 更新 accessReviewInstanceDecisionItem API 调用来标识删除成功或失败。
PATCH https://microsoftgraph.chinacloudapi.cn/beta/identityGovernance/accessReviews/definitions/{access review object ID}/instances/{access review instance object ID}/decisions/{decision ID}
Content-Type: application/json
{
"applyResult": "AppliedSuccessfully",
"applyDescription": "ServiceNow ticket created"
}
一旦应用了所有提供的自定义数据做出的决定,评审将过渡到 “已应用” 状态。 例如,如果你有五个必须从数据中做出的决策,那么在评审状态转换为 Applied 之前,必须使用 PATCH 应用这五个决策项中的每一项。
审查状态
当审阅者采取行动时,评审会经历以下几个状态:
| 查看状态 | Description |
|---|---|
| 正在初始化 | 查看已创建的实例;等待自定义数据上传。 |
| 活跃 | 审阅者可以在“我的访问”门户中做出决策。 |
| 正在应用 | 正在整改审查决定。 |
| 已应用 | 所有决定都标记为已应用。 |
时间范围摘要
| Action | When | 时间限制 |
|---|---|---|
| 上传自定义数据 | 初始化期间 | 在两小时内。 |
| 审核决策 | 活动期间 | 直到审阅结束日期。 |
| 应用决策 | 在应用期间 | 30 天,评审将保持应用状态,直到所有决策都标记为已应用。 |