在权利管理中创建访问包的访问评审

为了降低访问权限过时的风险,应在权利管理中为具有访问包的有效分配的用户启用定期评审。 可以在创建新的访问包或编辑现有访问包分配策略时启用评审。 本文介绍如何启用访问包的访问评审。

必备条件

若要启用访问包的评审,必须满足以下创建访问包的先决条件:

  • Microsoft Entra ID P2 或 Microsoft Entra ID 治理
  • 全局管理员、标识治理管理员、目录所有者或访问包管理员

注意

为了遵循最低特权访问,建议使用标识治理管理员、目录所有者或访问包管理员。

有关详细信息,请参阅许可证要求

创建访问包的访问评审

提示

本文中的步骤可能因开始使用的门户而略有不同。

可以在创建新的访问包编辑现有访问包分配策略策略时启用访问评审。 如果有多个策略,对于不同用户社区请求访问权限,则可以为每个策略设置独立的访问评审计划。 请按照以下步骤启用访问包的分配的访问评审:

  1. 至少以标识治理管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到标识治理>访问评审>访问包

  3. 若要创建新的访问策略,请选择“新建访问”包。

  4. 若要编辑现有访问策略,请在左侧菜单中选择“访问包”,然后打开要编辑的访问包。 接下来,在左侧菜单中选择“策略”,然后选择想要编辑其生命周期设置的策略

  5. 打开访问包分配策略的“生命周期”选项卡,以指定用户对访问包的分配何时过期。 还可以指定是否允许用户将其分配延期。

  6. 在“过期时间”部分,将“访问包分配过期时间”设置为“日期”、“天数”、“小时数”或“永不过期”。

    对于“日期”,请选择将来的过期日期。

    对于“天数”,请指定 0 到 3660 天的数字。

    对于“小时数”,请指定小时数。

    根据所做的选择,用户的访问包分配将在特定的日期过期、审批后经过特定的天数之后过期,或者永不过期。

    访问包 - 生命周期过期时间设置

  7. 选择“显示高级过期设置”以显示其他设置。

  8. 若要允许用户延期其分配,请将“允许用户延期访问权限”设置为“是”。

    如果策略中允许延期,在将用户的访问包分配设置为过期之前的 14 天以及 1 天,用户会收到一封电子邮件,提示他们延期分配。 用户在请求扩展时必须仍在策略范围内。 如果策略有明确的分配结束日期,且用户提交将访问权限延期的请求,则请求中的延期日期不得迟于分配过期日期,如用于向用户授予访问包访问权限的策略中定义的那样。 例如,如果策略指示分配设置为在 6 月 30 日过期,则用户最多可以请求延期到 6 月 30 日。

    如果用户的访问延期,则用户将无法在指定的延期日期(在创建了策略的用户的时区中设置的日期)之后请求访问包。

  9. 如果要求在获批后才能延迟,则请将“要求获批才能延期”设置为“是”。

    将使用已在“请求”选项卡上指定的审批设置。

  10. 接下来,将“需要访问评审”开关切换为“是”。

    添加访问评审

  11. 在“开始时间”旁边指定开始评审的日期。

  12. 接下来,将“评审频率”设置为“每年”、“每半年”、“每季度”或“每月”。 此设置确定访问评审的发生频率。

  13. 请设置“持续时间”,以定义定期进行的一系列评审中每次评审开放(接受审阅者输入)的天数。 例如,可以计划一个年度评审,该评审在 1 月 1 日开始并开放 30 天供评审,以便审阅者在该月结束前做出响应。

  14. 如果希望用户执行其自己的访问评审,请在“审阅者”旁边选择“自我评审”;如果想要指定审阅者,请选择“特定审阅者”。 如果要将被审阅者的管理员指定为审阅者,还可以选择“管理员”。 如果选择此选项,则需要添加回退,用于在系统中找不到管理员时将评审转发到该回退。

  15. 如果选择了“特定审阅者”,请指定哪些用户将执行访问评审:

    选择“添加审阅者”

    1. 选择“添加审阅者”。
    2. 在“选择审阅者”窗格中,搜索并选择要作为审阅者的用户。
    3. 选择了审阅者后,请选择“选择”按钮。

    指定审阅者

  16. 如果选择了“管理员”,请指定回退审阅者:

    1. 选择“添加回退审阅者”。
    2. 在“选择回退审阅者”窗格中,搜索并选择用户,该用户需要作为被审阅者的管理员的回退审阅者。
    3. 在选择了回退审阅者后,请选择“选择”按钮。

    添加回退审阅者

  17. 还可以配置其他高级设置。 要配置其他高级访问评审设置,请选择“显示高级访问评审设置”:

    1. 如果要指定当审阅者没有响应时用户的访问会出现的情况,请选择“如果审阅者无响应”,然后选择以下项之一:

      • 如果不想对用户的访问做出任何决定,选择“无更改”。
      • 如果要删除用户的访问,选择“删除访问”。
      • 如果要根据 MyAccess 的建议做出决定,选择“采取建议”。

      添加高级访问评审设置

    2. 如果你要查看系统建议,请选择“显示审阅者决策帮助程序”。 系统建议是基于用户活动的。 评审者将看到以下建议之一:

      • “批准”评审:如果用户在过去 30 天内至少登录了一次。
      • “拒绝”评审:如果用户在过去 30 天内未登录。
    3. 如果希望审阅者分享其审批决策的原因,请选择“需要审阅者理由”。 其他审阅者和请求者都可以看到相关审阅者提供的理由。

  18. 如果要创建新的访问包,请选择“查看 + 创建”或选择“下一步”。 如果要编辑访问包,请选择页面底部的“更新”。

查看访问评审的状态

开始日期之后,访问评审将在“访问评审”部分中列出。 请按照以下步骤查看访问评审的状态:

  1. 在“Identity Governance”中,选择“访问包”,然后选择带有要查看的访问评审状态的访问包。

  2. 进入访问包的“概述”后,请选择左侧菜单中的“访问评审”。

    选择访问评审

  3. 此时将显示一个列表,其中包含所有与访问评审关联的策略。 选择该评审以查看其报表。

    访问评审列表

  4. 查看报表时,报表会显示审阅者已评审的用户数以及审阅者对其执行的操作。

    查看评审状态

访问评审电子邮件通知

你可以指定审阅者,或者让用户审阅他们自己的访问权限。 默认情况下,在评审开始后不久,Microsoft Entra ID 会向审阅者或自我审阅者发送一封电子邮件。

该电子邮件将包含有关如何评审对访问包的访问权限的说明。 如果该评审供用户评审他们自己的访问权限,请向他们显示有关如何对其访问包执行自我评审的说明。

如果已将来宾用户分配为审阅者,但他们未接受其 Microsoft Entra 来宾邀请,则他们不会收到来自访问评审的电子邮件。 他们必须首先接受邀请,并使用 Microsoft Entra ID 创建帐户,然后才能接收电子邮件。

注意

当评审周期处于开放状态时,评审者始终可以更改其访问评审决策。 在访问评审的中间,即使评审者之前已经做出了决策,也会向评审者发送提醒电子邮件,通知他们访问评审周期仍然处于开放状态。

后续步骤