通过 Microsoft Entra 使用多阶段评审来满足证明和认证需求
Microsoft Entra 访问评审最多支持三个评审阶段,其中多种类型的评审者参与并确定谁仍需要访问公司资源。 这些评审可能针对组或团队的成员身份、应用程序的访问权限、特权角色的分配或访问包分配。 如果评审管理员配置了评审以自动应用决策,在评审期结束时将撤销被拒绝用户的访问权限。
多阶段评审的用例
多阶段访问评审允许你和你的组织启用复杂的工作流以满足重新认证和审核要求,要求多个评审者证明特定序列中用户的访问权限。 它还通过减少每个评审者负责的决策数量,帮助为资源所有者和审核者设计更有效的评审。 此方法允许将对同一资源的原本不相交的独立评审合并到一个访问评审中。
以下是你可能需要考虑的一些方案:
- 在多组评审者之间达成共识:让两组评审者独立评审对资源的访问权限。 可以配置评审,以便两个阶段的评审者必须就“已批准”事项达成一致,而无需查看彼此的决策。
- 分配候补评审者来权衡未评审的决策:让资源所有者首先证明对其资源的访问权限。 然后,未记录决定的用户将转到第二阶段审阅者,例如用户的管理员或审核团队,后者审阅未决定的请求。
- 减轻后期审阅者的负担:可以配置审阅,以便后期不会审阅早期拒绝的用户,从而允许后期审阅者查看筛选的列表。 使用此方案逐阶段筛选要评审的用户。
在多组评审者之间达成共识
在用户的正确访问权限方面达成共识可能很困难。 对于许多用户可以访问的资源,或者需要评审的不同用户组,任何一个评审者都很难为所有评审者做出正确的选择。 通过放弃最多三个不同的评审者组记录确定的机会并通过显示早期评审者受众所说的内容来达成共识,有助于就谁应该有权访问资源达成共识。
例如,某个评审由三个阶段组成,这些阶段确定了组成员身份到管理资源访问权限的组。 在评审设置中,管理员选择不显示早期评审者的决策。 此配置允许每个评审受众(例如用户的经理、组所有者和安全管理人员)独立评审访问权限。 这三个阶段与评审者受众权重的重要性增加相关,最后评审者的决策可能会覆盖早期评审者的决策。
此方案的配置如下所示:
| Attribute | 配置 |
|---|---|
| 多阶段审阅 | 已启用 |
| 第一阶段审阅者 | “用户经理” |
| 第二阶段评审者 | 组所有者 |
| 第三阶段评审者 | 选择用户或组 -“Contoso 审核者组” |
| 将上一阶段的决定显示给之后阶段的评审者 | 已启用 |
| 转到下一阶段的受审阅人 | 全选 |
| 如果评审者未响应 | 删除访问权限 |
分配候补评审者权衡未经评审的决策
对于需要记录决策并需要确保为合适的人员保留访问权限的方案,多阶段评审让你可以将一部分被评审者推进到下一阶段,这可能需要第二个评审者受众进行反复检查或做出决策。 使用此模式可确保较少的未评审用户或标记为“不知道”的用户,方法是将这些评审者推进到另一个阶段,并让另一组评审者做出决策。
一个例子是评审包含两个阶段,这两个阶段共同确定对应用程序的访问权限。 在评审设置中,评审管理员选择“将上一阶段的决定显示给之后阶段的评审者”。 对于“转到下一阶段的被评审者”,将添加需要确认的决策:为确保所有被评审者都有决策,请选择标记为“不知道”的被评审者和“未评审的被评审者”,以便后期评审者只能看到未决定或不确定的被评审者来保留正确的访问权限。
| Attribute | 配置 |
|---|---|
| 多阶段审阅 | 已启用 |
| 第一阶段评审者 | 选择用户或组 - 应用程序的所有者 |
| 第二阶段评审者 | “用户经理” |
| 将上一阶段的决定显示给之后阶段的评审者 | 已禁用 |
| 转到下一阶段的受审阅人 | 选择“未评审的被评审者”和“标记为‘不知道’的被评审者” |
| 如果评审者未响应 | 批准访问权限 |
减轻后期评审者的负担
对于可能包含许多审阅者或要审阅和证明的用户的审阅,可以要求所有最终用户在稍后阶段由资源所有者或其管理员审阅之前进行自我证明。 此模型允许分阶段筛选被审阅者,仅对已自行批准的被审阅者向下一阶段推进。
后期评审者(例如用户的经理或资源所有者)只能看到缩减的被评审者列表 - 那些先前已批准的被评审者。 每个阶段的被评审者人数逐阶段递减。 只有通过所有三个阶段批准的用户才能保留访问权限。
例如,组评审授予 IT 例外,管理员希望定期评审。 由于该例外很常见,因此要求用户首先做出响应,只有那些回复他们仍然需要例外的用户才会进入第二阶段(由他们的经理确定)。 只有在用户和经理批准的情况下,例外的 IT 所有者才能看到仍然需要和想要例外的用户列表,并查看缩减的被评审者列表。
| Attribute | 配置 |
|---|---|
| 多阶段审阅 | 已启用 |
| 第一阶段审阅者 | “用户评审自己的访问” |
| 第二阶段评审者 | “用户经理” |
| 第三阶段审阅者 | 组所有者 |
| 将上一阶段的决定显示给之后阶段的审阅者 | 已禁用 |
| 转到下一阶段的受审阅人 | 选择“已批准的被评审者” |
| 如果评审者未响应 | 删除访问权限 |
来宾用户评审
来宾用户评审可以帮助使用 Microsoft Entra B2B 进行协作的组织。 应定期评审这些来宾用户的访问权限,以检查这些来宾用户是否仍然拥有正确的访问权限,并且仍然需要这种协作,因此可以撤销访问权限或清理不再需要的来宾用户帐户。
类似于“减少后期评审者的负担”方案,此方案可以配置多阶段评审。 首先,请来宾用户进行自我评审并证明他们对协作的持续兴趣和需求,包括提供业务理由的要求。 只有已自我批准的来宾才能进入后续阶段,在该阶段,发起人或其他员工批准或拒绝继续访问或协作。
对于来宾用户评审,还可以考虑利用“仅限非活动用户(租户级别)”设置。 这会将评审范围限定为未在指定天数内登录到资源租户的非活动外部用户。
在来宾用户方案中,访问评审支持一个额外的配置选项:“对被拒绝的来宾用户应用的操作”,这可能导致:
- 从资源中删除用户的成员身份
- 在 30 天内阻止用户登录,然后从租户中删除用户
根据评审需求,可以自动从租户中删除未响应评审请求或拒绝进一步协作的来宾用户。 这会导致 B2B 来宾用户帐户在删除帐户后被封锁 30 天。
| Attribute | 配置 |
|---|---|
| 仅限非活动用户(在租户级别) | 180 天 |
| 多阶段审阅 | 已启用 |
| 第一阶段审阅者 | “用户评审自己的访问” |
| 第二阶段评审者 | 组所有者 |
| 将上一阶段的决定显示给之后阶段的审阅者 | 已禁用 |
| 转到下一阶段的受审阅人 | 选择“已批准的被评审者” |
| 如果评审者未响应 | 删除访问权限 |
| 对被拒绝的来宾用户应用的操作 | 在 30 天内阻止用户登录,然后从租户中删除用户 |
注意
仅当访问评审范围配置为“仅限来宾用户”时,“对被拒绝的来宾用户应用的操作”设置才在评审创建过程中可见。
评审阶段的持续时间
评审管理员定义每个评审阶段的持续时间,因此,评审者在他们的阶段有多少时间来记录他们的决策。 每个阶段都可以配置为有自己的持续时间,以满足评审者的可用性和预期。
每个审核阶段都将保持开放状态,审阅者可在持续时间内添加决定。 评审管理员可以通过选择“停止当前阶段”,停止正在运行的阶段并自动将整个评审推进到评审者概述页上的下一个评审阶段。
应用结果
Microsoft Entra 访问评审可以通过从资源中删除不再需要的用户来应用有关资源访问的决策。 决策始终在评审期结束时或评审管理员手动结束评审时应用。 结果的自动应用由评审管理员使用“将结果自动应用于资源”设置定义,或通过评审概述页中的“应用结果”按钮手动定义。
由评审者收集每个阶段的决策。 “转到下一阶段的被评审者”设置定义后期评审者将看到哪些被评审者并要求为其记录决策。 只有在整体评审结束时,决策才会应用于资源。
对于所有决策,在评审结束时将应用为被评审者记录的最后一个决策。 例如,在评审的第一阶段为 Jane 做出的决定,可以在第二阶段和第三阶段被后期评审者覆盖。
如果“进入下一阶段的被审阅者”设置设置为只有一部分被审阅者进入后期阶段,则可能是在审查结束时应用了在第一阶段做出的决定。 如果评审管理员配置了三阶段评审,并且只希望“拒绝”和“未评审”的被评审者转到下一阶段,而 Jane 在第一阶段获得批准,则她将不会转到后面的阶段,将记录她的“批准”决策,并在评审结束时应用该决策。