在 PIM 中完成对 Azure 资源和 Microsoft Entra 角色的访问评审
访问评审开始后,特权角色管理员可以评审特权访问。 Microsoft Entra ID 中的 Privileged Identity Management (PIM) 会自动发送一封电子邮件,提示用户评审其访问权限。 如果用户未收到电子邮件,可以向他们发送如何执行访问评审的相关说明。
创建评审后,请按照本文中的步骤完成评审并查看结果。
完成访问评审
提示
本文中的步骤可能因开始使用的门户而略有不同。
以具有某个先决条件角色的用户身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“Privileged Identity Management”。
对于“Microsoft Entra 角色”,请选择“Microsoft Entra 角色”。 对于“Azure 资源”,选择 Azure 资源
选择要管理的访问审阅。 下面是“Azure 资源”和“Microsoft Entra 角色”的“访问评审”概览的示例截图。
在详细信息页上,以下选项可用于管理“Azure 资源”和“Microsoft Entra 角色”的评审:
停止访问评审
所有访问审阅都有结束日期,但可以使用“停止”按钮提前结束。 只有在评审实例处于活动状态时,才能选择“停止”按钮。 停止后,无法重新开始审阅。
重置访问评审
当评审实例处于活动状态且审阅者至少做出一个决策时,你可以通过选择“重置”按钮来重置访问评审,删除对其所做的所有决策。 重置访问评审后,所有用户都会被重新标记为“未评审”。
应用访问评审
完成访问评审后,无论是因为你已经达到结束日期还是已经手动停止,“应用”按钮都会删除被拒绝用户对该角色的访问。 如果在评审期间拒绝了用户的访问,在此步骤中将删除其角色分配。 如果在创建评审时配置了“自动应用”设置,则此按钮会始终被禁用,因为评审将自动应用,而不是手动应用。
删除访问评审
如果不想要进一步了解审阅,请将其删除。 若要从 Privileged Identity Management 服务中删除访问评审,请选择“删除”按钮。
重要
系统不会要求你确认此破坏性更改,因此请验证你是否要删除该评审。
结果
在“结果”页上,可以查看和下载审阅结果列表。
注意
Microsoft Entra 角色有一个可分配角色的组的概念,即可将组分配给角色。 在这种情况下,该组会显示在评审中,而不是展开组的成员,审阅者将批准或拒绝整个组。
注意
如果将组分配给 Azure 资源角色,Azure 资源角色的审阅者将看到嵌套组中用户的扩展列表。 如果审阅者拒绝嵌套组的成员,则该拒绝结果不会被成功应用,因为不会从嵌套组中删除用户。
审阅者
在“审阅者”页上,可以查看现有访问审阅的审阅者以及为其添加审阅者。 还可以提醒审阅者在此处完成其评审。
注意
如果所选的审阅者类型是用户或组,则可以随时将更多用户或组添加为主要审阅者。 此外,还可以随时删除主要审阅者。 如果审阅者类型是管理者,则可以将用户或组添加为后备审阅者,以完成对没有管理者的用户的评审。 不能删除后备审阅者。