通过

在 PIM 中创建对 Azure 资源和 Microsoft Entra 角色的访问评审

用户对 Azure 资源和 Microsoft Entra 角色的特权访问需求会随着时间推移而变化。 若要降低与过时角色分配相关的风险,应定期查看访问权限。 可以使用 Microsoft Entra Privileged Identity Management (PIM) 为 Azure 资源和 Microsoft Entra 角色的特权访问创建访问审查。 还可以配置自动进行的定期访问评审。 本文介绍如何创建一个或多个访问审查。

先决条件

使用 Privileged Identity Management 需要许可证。 有关许可的详细信息,请参阅 Microsoft Entra ID 治理许可基础知识

有关 PIM 许可证的详细信息,请参阅使用 Privileged Identity Management 所要满足的许可证要求

若要为 Azure 资源创建访问评审,你必须被指派为 Azure 资源的所有者角色或用户访问管理员角色。 若要为 Microsoft Entra 角色创建访问评审,你必须至少分配特权角色管理员的角色。

除 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 许可证外,使用Service Principals的访问评审还需要 Microsoft Entra Workload ID Premium 许可。

  • 工作负载标识高级许可:可以在 Microsoft Entra 管理中心的 “工作负载标识”边栏选项卡上查看和获取许可证。

注意

访问评审在每个评审会话开始时记录一个访问快照。 在评审过程中所做的任何更改都将反映在后续评审周期中。 实质上,随着每个新重复周期的开始,会检索有关用户、正在评审的资源及其各自审阅者的相关数据。

创建访问审核

  1. 以具有某个先决条件角色的用户身份登录到 Microsoft Entra 管理中心

  2. 浏览到 ID 治理>特权身份管理

  3. 对于“Microsoft Entra 角色”,请选择“Microsoft Entra 角色”。 对于 Azure 资源,请选择 Azure 资源

    在 Microsoft Entra 管理中心选择“标识治理”的屏幕截图。

  4. 对于“Microsoft Entra 角色”,请再次选择“管理”下的“Microsoft Entra 角色”。 对于“Azure 资源”,请选择要管理的订阅。

  5. 在“管理”下,选择“访问评审”,然后选择“新建”来新建访问评审 。

    Microsoft Entra ID 角色 - 访问评审列表,其中显示了所有评审状态的屏幕截图。

  6. 为访问审查命名。 可选择为评审提供说明。 名称和说明显示给评审者。

    创建访问审查 - 审查名称和描述的截图。

  7. 设置“开始日期”。 默认情况下,访问评审进行一次。 它从创建时开始,并在一个月内结束。 可以更改开始和结束日期,使访问审核在将来开始,并持续任意天数。

    开始日期、频率、持续时间、结束、次数和结束日期的屏幕截图。

  8. 若要使访问评审定期进行,请将“频率”设置从“一次”更改为“每周”、“每月”、“每季度”、“每年”或“每半年”。 使用“持续时间”滑块或文本框指定评审持续时间。 例如,每月评审的最长持续时间可以设置为 27 天,以免评审时间重叠。

  9. 使用结束设置来指定如何结束循环访问评审系列。 系列可以有三种结束方式:持续运行并无限期地进行评审;运行直到指定日期;或者在达到预定次数后结束。 你或其他可以管理评审的管理员可以在创建此系列后将其停止,只需在“设置”中更改日期,然后此系列就会在该日期结束。

  10. 在“用户范围”部分,选择评审的范围。 对于“Microsoft Entra 角色”,第一个范围选项为“用户和组”。 直接分配的用户和可分配角色的组包含在此选择中。 对于“Azure 资源角色”,第一个范围是“用户”。 选择此项,将展开分配给 Azure 资源角色的组以显示评审中的可传递用户分配。 还可以选择 “服务主体” 来查看具有直接访问 Azure 资源或 Microsoft Entra 角色的权限的计算机帐户。

    评审角色成员身份的“用户”范围的屏幕截图。

  11. 或者,可以只为非活动用户创建访问权限评审。 在“用户范围”部分中,将“仅限非活动用户(租户级别)”设置为“true”。 如果将该切换开关设置为 true,则评审范围只关注非活动用户。 然后,指定“处于非活动状态的天数”。 最多可以指定 730 天(两年)。 在指定天数处于非活动状态的用户是评审中唯一的用户。

  12. 在“评审角色成员身份”下,选择要评审的特权 Azure 资源或 Microsoft Entra 角色。

    注意

    选择多个角色会创建多个访问审查。 例如,选择五个角色会创建五个单独的访问审核。

    查看角色成员的屏幕截图。

  13. 在“分配类型”中,根据主体被分配到角色的方式确定检查的范围。 选择“仅合格任务”以评审可合格的任务(无论创建评审时的激活状态如何),或者选择“仅活动任务”以评审活动中的任务。 选择“所有活动且合格的分配”可评审所有分配而不考虑类型。

    审阅者名单的分配类型屏幕截图。

  14. 在“审阅者”部分选择一人或多人来评审所有用户。 也可以选择让成员评审自己的访问权限。

    所选用户或成员(自己)的评审者列表

    • 所选用户 - 使用此选项可指定一个特定用户来完成评审。 无论评审范围如何,均可使用此选项,并且选定的审阅者可以评审用户、组和服务主体。
    • 成员(本人) - 使用此选项可让用户评审其角色分配。 仅当评审的范围限定为“用户和组”或“用户”时,此选项才可用 。 对于 Microsoft Entra 角色,选择此选项时,可分配角色的组不会成为评审的一部分。
    • 管理员 - 使用此选项可让用户的管理员查看其角色分配。 仅当评审的范围限定为“用户和组”或“用户”时,此选项才可用 。 选择“管理员”后,还可以指定一个后备审阅者。 当用户未在目录中指定任何管理员时,系统会要求后备审阅者评审用户。 对于 Microsoft Entra 角色,如果选择了后备审阅者,他将对可分配角色的组进行审阅。

完成后的配置

  1. 若要指定评审完成后发生的情况,请展开“完成后的设置”部分。

    屏幕截图显示在完成后自动应用的设置,以及当评审者没有响应时的选项。

  2. 若要自动删除被拒绝用户的访问权限,请将“将结果自动应用到资源”设置为“启用”。 若要在评审完成后手动应用结果,请将开关设置为“禁用”。

  3. 使用“如果审阅者未响应”列表,指定在评审期内没有被审阅者评审的用户发生的情况。 此设置不会影响已被评审的用户。

    • 不更改 - 将用户访问权限保持不变
    • 删除访问权限 - 删除用户的访问权限
    • 批准访问权限 - 批准用户的访问权限
    • 采用建议 - 根据系统的建议拒绝或批准用户的持续访问权限

  4. 使用“将应用于被拒绝的来宾用户的操作”列表,指定来宾用户被拒绝时发生的情况。 此设置目前在 Microsoft Entra ID 和 Azure 资源角色评审中无法编辑,来宾用户与所有用户一样,如果被拒绝,会始终失去对资源的访问权限。

    完成设置后 - 应用于被拒绝的访客用户的操作的屏幕截图。

  5. 可以向其他需要接收评审完成情况更新的用户或组发送通知。 除评审创建者之外的利益干系人使用此功能可了解最新的评审进度。 若要使用此功能,请选择“选择用户或组”并添加你想要接收完成状态通知的任何用户或组。

    完成后的设置 - 添加要接收通知的其他用户的屏幕截图。

高级设置

  1. 若要配置更多设置,请展开“高级设置”部分。

    用于推荐显示、批准时需要提供理由、邮件通知和提醒的高级设置和这些功能的屏幕截图。

  2. 设置“显示建议”启用,以根据用户的访问信息显示系统推荐的内容给审阅者。 建议基于 30 天的间隔周期。 向在过去 30 天内登录的用户显示建议的访问许可,而向未登录的用户显示建议的访问拒绝。 这些登录不涉及它们是否有过交互。 用户的上一次登录也会随建议一起显示。

  3. 将“需要提供审批原因”设置为“启用”,以要求审阅者提供批准原因。

  4. 将“邮件通知”设置为“启用”,以便在访问评审开始时让 Microsoft Entra ID 向评审者发送电子邮件通知,并在评审完成时向管理员发送电子邮件通知。

  5. 提醒设置为启用,以便让 Microsoft Entra ID 向尚未完成审阅的审核者发送关于正在进行的访问评审的提醒。

  6. 发送给审阅者的电子邮件内容根据审阅详细信息(如审阅名称、资源名称和截止日期)自动生成。 如果需要一种方法来传达其他信息,例如其他说明或联系信息,可以在 审阅者电子邮件部分的其他内容 中指定这些详细信息。 这些详细信息包含在发送给已分配审阅者的邀请和提醒电子邮件中。 突出显示的部分是显示此信息的位置。

    发送给审阅者的包含强调内容的电子邮件

管理访问审查

可以在访问评审的“概述” 页上跟踪评审者完成评审的进度。 在评审完成之前,目录中的任何访问权限都不会更改。 访问评审概述页面的屏幕截图,其中显示了 Microsoft Entra 角色的访问评审的详细信息。

访问评审后,请按照完成对 Azure 资源和 Microsoft Entra 角色的访问评审中的步骤查看并应用结果。

如果要管理一系列访问评审,请导航到访问评审,并在计划评审中找到即将发生的事件,并相应地编辑结束日期或添加/删除审阅者。

根据你在“完成后操作” 设置中的选择,自动应用会在评审的结束日期之后执行,或在你手动停止评审后执行。 评审状态从“已完成”变为各种中间状态(例如“正在应用”),并最终变为“已应用”状态。 几分钟后,应当会看到被拒绝的用户(如果有)被从角色中删除。

访问评审中分配给 Microsoft Entra 角色和 Azure 资源角色的组的影响

• 对于Microsoft Entra 角色,可以使用角色可分配组将此组分配给角色。 在为具有角色分配组的 Microsoft Entra 角色创建评审时,评审中会显示组名,而不会展开列出组成员。 审阅者可以批准或拒绝整个组对角色的访问权限。 应用评审结果时,遭拒的组会失去其角色分配。

• 对于 Azure 资源角色,可以将任何安全组分配给角色。 当在 Azure 资源角色上创建审核,并分配了安全组时,角色审阅者可以看到该组成员的扩展视图。 当审阅者拒绝通过安全组被分配到角色的用户时,该用户不会被从组中移除。 这是因为组可能与其他 Azure 资源或非 Azure 资源共享。 管理员必须实施由访问拒绝导致的更改。

注意

可以向安全组分配其他组。 在这种情况下,只有直接分配到分配给角色的安全组的用户才会出现在角色的审查情况中。

更新访问权限审核

启动一个或多个访问评审后,可能需要修改或更新现有访问评审的设置。 下面是一些需要考虑的常见方案:

  • 添加和删除审阅者 - 更新访问评审时,除了主要审阅者之外,还可以选择添加回退审阅者。 更新访问评审时,可能会删除主审阅者。 但是,根据设计,无法删除后备审阅者。

    注意

    只能在审阅者类型为管理员时才能添加后备审阅者。 当审阅者类型为用户时,可以添加主审阅者。

  • 在更新访问评审时提醒审阅者 - 您可以选择在“高级设置”中启用提醒选项。 启用后,用户在评审过程中途收到电子邮件通知。 无论审阅者是否已完成评审,都会收到通知。

    访问评审设置下的提醒选项的屏幕截图。

  • 更新设置 - 如果访问评审是重复的,则可在“当前”和“系列”下单独进行设置。 更新“当前”下的设置只会将更改应用于当前访问评审,而更新“系列”下的设置将更新所有未来重复的设置。

    访问审查中的设置页截图。

注意

不支持在 Azure 计划下使用 AOBO (管理员代表) 为 Azure 资源创建访问评审。 如果你是通过 AOBO 管理客户订阅的 CSP 合作伙伴,则无法从你自己的(合作伙伴)租户创建访问评审。
解决方法:
将 CSP 合作伙伴添加为客户租户中具有必要权限的来宾用户,并从客户租户内部创建访问评审。

后续步骤

  • Last updated on