在权利管理中评审访问包的访问权限
权利管理简化了企业管理组、应用程序和 SharePoint 站点访问权限的方式。 本文介绍如何针对作为指定审阅者分配到访问包的其他用户执行访问评审。
必备条件
要查看用户的活动访问包分配,评审创建者必须满足以下先决条件:
- Microsoft Entra ID P2 或 Microsoft Entra ID 治理
- 全局管理员或 Identity Governance 管理员角色
注意
遵循最低特权访问,建议使用 Identity Governance 管理员角色。
有关详细信息,请参阅许可证要求。
注意
审阅者可以是评审创建者选择的任何人(组所有者、用户管理员、用户自己或任何选定的用户或组)。
打开访问评审
请执行以下步骤找到并打开访问评审:
你可能会从 Microsoft 收到一封要求你进行访问评审的电子邮件。 请找到该电子邮件,打开访问评审。 下面是用于评审访问权限的示例电子邮件:
选择“评审用户访问权限”链接,打开访问评审。
如果未收到该电子邮件,可通过直接导航到 https://myaccess.microsoftonline.cn 查找待处理的访问评审。
选择左侧导航栏上的“访问评审”,查看分配给你的待处理访问评审的列表。
选择要开始的评审。
执行访问评审
打开访问评审后,你将看到需要评审的用户的名称。 可通过两种方式批准或拒绝访问权限:
- 可以手动批准或拒绝一个或多个用户的访问权限
- 可以接受系统建议
手动批准或拒绝一个或多个用户的访问权限
审阅用户的列表,并确定哪些用户需要继续拥有访问权限。
若要批准或拒绝访问权限,请选择用户名称左侧的单选按钮。
在用户名上方的栏中选择“批准”或“拒绝”。
如果不确定,可选择“不知道”按钮。
如果做出这一选择,则用户将保留访问权限,并且此选择将记录在审核日志中。 该日志会向任何其他审阅者显示你仍完成了评审。
你可能需要提供你做出决策的原因。 请键入一个原因,然后选择“提交”。
你可以在评审结束之前随时更改你的决策。 为此,请从列表中选择用户并更改决策。 例如,可以为以前已拒绝的用户批准访问权限。
如果有多个评审者,将记录最后提交的响应。 举例而言,假设管理员指定了两位评审者 - Alice 和 Bob。 Alice 首先打开该评审并批准了访问权限。 在评审结束之前,Bob 打开该评审并拒绝了访问权限。 在这种情况下,将记录上次的拒绝访问决策。
注意
如果某个用户在评审中被拒绝访问,该用户不会立即被从访问包中删除。 一旦在评审关闭后应用评审结果,该用户将立即被从访问包中删除。 评审将在评审持续时间结束时自动关闭,如果管理员手动停止评审,则会提前关闭。
使用系统生成的建议批准或拒绝访问权限
若要更快地评审多个用户的访问权限,可以使用系统生成的建议,只需选择一次即可接受这些建议。 建议是根据用户的登录活动生成的。
在页面底部的栏中,选择“接受建议”。
你将看到建议操作的摘要。
选择“提交”以接受建议。