共用方式為

在 Microsoft Entra ID 中创建对组和应用程序的访问评审

员工和来宾对组和应用程序的访问权限会不断变化。 为了降低与过时访问分配相关的风险,管理员可以使用Microsoft Entra ID为组成员或应用程序访问创建访问评审。

只要用户具有至少标识治理管理员角色,并通过访问评审设置窗格启用了该设置,Microsoft 365 和安全组所有者也可以使用 Microsoft Entra ID 为组成员创建访问评审。 有关这些方案的详细信息,请参阅管理访问评审

本文介绍如何针对组成员或应用程序访问权限创建一个或多个访问评审。

先决条件

使用此功能需要Microsoft Entra ID Governance或Microsoft Entra Suite许可证。 若要查找适合你的要求的许可证,请参阅 Microsoft Entra ID Governance 许可基础知识

如果正在评审对应用程序的访问权限,请在创建评审之前,参阅有关如何准备应用程序访问权限评审的文章,以确保该应用程序已与租户中的 Microsoft Entra ID 集成。

注意

访问评审在每个评审会话开始时记录一个访问快照。 在评审过程中所做的任何更改都将反映在后续评审周期中。 实质上,随着每个新重复周期的开始,会检索有关用户、正在评审的资源及其各自审阅者的相关数据。

注意

在组评审中,嵌套组将自动平展,因此嵌套组中的用户将显示为单独的用户。 如果用户由于嵌套组中的成员身份而被标记为删除,则不会自动从嵌套组中删除用户,而只能从直接组成员身份中删除用户。

创建单阶段访问评审

Scope

  1. 至少以 Identity Governance Administrator 身份登录到 Microsoft Entra 管理中心

  2. 浏览到 ID 治理>访问审查

  3. 选择“新建访问审查”来创建新的访问审查。

    显示标识管理中的“访问评审”窗格的屏幕截图。

  4. 在“访问评审模板”屏幕上,选择“评审资源类型的访问权限”。 访问审核模板的屏幕截图。

  5. 在“选择要评审的内容”框中,选择需要评审的资源。

    显示创建访问评审的屏幕截图。

  6. 如果选择“团队 + 组”,可看到两个选项:

    • 所有具有来宾用户的Microsoft 365组:如果要针对组织中所有Microsoft Teams和Microsoft 365组的所有来宾用户创建定期评审,请选择此选项。 不包含动态组和可分配角色组。 你还可通过选择“选择要排除的组”以排除各个组。

    • “选择团队 + 组”:如果要指定一组有限的团队或组来评审,请选择此选项。 右侧会显示可供选择的组列表。

      屏幕截图显示选择 Teams + Groups。

  7. 如果你已选择“应用程序”,则现在选择一个或多个应用程序。

    显示选择“应用程序”而不是“组”时出现的界面的屏幕截图。

注意

选择多个群组或应用程序将导致创建多个访问审查。 例如,如果选择 5 个组来评审,则结果为 5 个单独的访问评审。

  1. 现在,你可以选择要评审的范围。 你的选择有:

    • 仅限来宾用户:此选项将访问评审的对象限制为您目录中的 Microsoft Entra B2B 来宾用户。
    • “每个人”:此选项将访问评审的范围限定为与资源关联的所有用户对象。

    注意

    如果选择了所有具有来宾用户的Microsoft 365组,您只能查看仅来宾用户

  2. 或者,如果要进行组成员资格评审,可以只为组中的非活动用户创建访问评审。 在“用户范围”部分,选中“非活动用户”(租户级别)旁边的框。 如果选中此框,则评审范围仅聚焦于非活动用户,即那些未以交互方式或非交互方式登录到租户的用户。 然后,指定 “非活动天数 ”,非活动天数最多为 730 天(两年)。 组中处于非活动状态的指定天数的用户是评审中唯一的用户。

    注意

    配置非活动时间时,最近创建的用户不会受到影响。 “访问评审”检查是否已在配置的时间范围内创建用户,并忽略至少该时间段内不存在的用户。 例如,如果将非活动时间设置为 90 天,并且来宾用户创建或邀请的时间少于 90 天前,则来宾用户不会在访问评审的范围内。 这可确保用户在被删除之前至少可以登录一次。

  3. 选择“下一步: 评审”。

下一步: 评审

  1. 可以创建单阶段或多阶段评审。 若是单阶段评审,请继续此处。 若要创建多阶段访问评审,请按照 “创建多阶段访问评审”中的步骤操作。

  2. 在“指定评审者”部分的“选择评审者”框中,选择一个或多个要在访问评审中做出决定的人员。 您可以选择以下选项:

    • “组所有者”:仅当你对团队或组进行评审时,此选项才可用。
    • 选定的用户或用户组
    • 用户检查自己的权限
    • “用户经理”

    如果选择“用户经理”或“组所有者”,则还可以指定后备审阅者 。 如果用户未在目录中指定任何经理,或者如果该组没有所有者,则要求后备审阅者进行评审。

    注意

    在团队或群组访问审查中,只有群组所有者(在审查开始时)作为评审者参与。 在评审期间,如果更新组所有者列表,则新组所有者不会被视为审阅者,旧组所有者仍被视为审阅者。 在定期评审的情况下,对组所有者列表的任何更改将在下一次评审中被考虑。

    重要

    对于 Groups 功能中的 PIM 访问评审(预览版),当选择组所有者作为审核者时,必须至少指定一个备用审核者。 审核将只把现任所有者指定为审阅者。 不包括符合条件的所有者。 如果在评审开始时没有当前活动的所有者,则会将备用审阅者分配给评审。

    显示新访问审核的屏幕截图。

  3. 在“指定评审的重复周期”部分中,指定以下选择:

    • “持续时间(天)”:评审开放供审阅者提供意见的时间。

    • “开始日期”:评审序列开始的时间。

    • “结束日期”:一系列评审结束的时间。 将它设置为永不结束。 或者,也可以选择“在特定日期结束”或“在出现特定次数后结束” 。

      显示选择评审发生频率的屏幕截图。

  4. 选择“下一步: 设置”。

注意

在创建访问评审时,可以指定开始日期,但开始时间可能会因为系统处理而有所波动,可能相差几个小时。 例如,如果您在 09月09日 03:00(UTC)创建了一个访问评审,并将其设置为在 09月12日 运行,那么该评审计划将在启动日期的 03:00(UTC)进行,但可能会因系统处理而有所延迟。

下一步: 设置

  1. 在“完成设置后”部分中,可指定评审完成后会发生的情况。

    显示“完成设置后”的屏幕截图。

    • “自动将结果应用于资源”:如果希望在评审持续时间结束后自动删除被拒绝用户的访问权限,请选中此复选框。 如果禁用此选项,则必须在评审完成时手动应用结果。 请参阅管理访问评审,了解有关应用评审结果的详细信息。

    • “如果审阅者未答复”:使用此选项,指定对于任何审阅者在评审期限内未评审的用户,将发生什么情况。 此设置不影响审阅者已评审的用户。 下拉列表显示以下选项:

      • “不更改”:使用户访问权限保持不变。
      • “删除访问权限”:删除用户的访问权限。
      • “批准访问权限”:批准用户的访问权限。
      • “采用建议”:根据系统的建议拒绝或批准用户继续访问。

      警告

      如果 审阅者未响应 的设置设置为 “删除访问权限 ”或“ 采取建议 ”并 自动将结果应用于资源 ,则如果审阅者无法响应,则可能会撤销对此资源的所有访问权限。

    • “对被拒绝的来宾用户应用的措施”:只有当访问评审的范围仅限于来宾用户时,此选项才会激活。它用于指定当来宾用户被审阅者或“如果审阅者未回应”设置拒绝时,所采取的具体措施。

      • “从资源中删除用户的成员身份”:此选项将删除被拒绝的来宾用户对要评审的组或应用程序的访问权限。 它们仍可登录到租户,并且不会丢失任何其他访问权限。
      • “在 30 天内阻止用户登录,然后从租户中删除用户”:此选项将阻止被拒绝的来宾用户登录租户(无论他们是否可以访问其他资源)。 如果此操作出错,管理员可在来宾用户被禁用后的 30 天内重新启用来宾用户的访问权限。 如果 30 天后没有对禁用的来宾用户采取任何操作,将从租户中删除这些用户。

    若要了解有关删除组织中不再有权访问资源的来宾用户的最佳做法的详细信息,请参阅 使用 Microsoft Entra ID Governance 查看和删除不再具有资源访问权限的外部用户

    注意

    对于涵盖超出仅来宾用户的评审,无法配置对被拒绝的来宾用户的操作。 对于包含来宾用户的所有 Microsoft 365 组的评审也是不可配置的。如果无法配置,则对被拒绝的用户将使用从资源中移除其成员身份的默认选项。

  2. 使用“评审结束时,将通知发送到”选项,向其他用户或组发送带有完成更新情况的通知。 除评审创建者之外的利益干系人使用此功能可了解最新的评审进度。 若要使用此功能,请选择“选择用户或组”并添加另一个用户或组来接收完成度状态。

  3. 在“启用评审决策帮助程序”部分中,选择是否希望审阅者在评审过程中收到建议:

    1. 如果选择“30天内没有登录”,则建议审批在过去30天内登录的用户。 对于过去 30 天内未登录的用户,建议拒绝其访问请求。 此 30 天时间间隔与登录是否为交互式登录无关。 指定的用户的上次登录日期也将与建议一起显示。
    2. 如果选择“用户到组关联”,审阅者会获得“批准”或“拒绝”用户访问权限的建议,具体取决于组织报告结构中用户的平均距离。 与组内所有其他用户相距远的用户会被视为“低关联度”用户,会在组访问评审中获得“拒绝”建议。

    注意

    如果要基于应用程序创建访问评审,则你的建议将基于 30 天间隔期,该间隔期从用户上次登录到应用程序(而不是租户)的时间算起。

    显示“启用审阅者决策帮助程序”选项的屏幕截图。

  4. 在“高级设置”部分中,可选择以下选项:

    • “必须提供理由”:选中此复选框,要求审阅者提供批准或拒绝的理由。
    • Email 通知:选中此复选框后,Microsoft Entra ID在访问评审开始时向审阅者发送电子邮件通知,并在评审完成后发送给管理员。
    • Reminders:选中此复选框后,Microsoft Entra ID 将会向所有审阅者发送正在进行的访问评审的提醒。 无论评审者是否完成,他们都会在评审进行到一半时收到提醒。
    • “审阅者电子邮件的其他内容”:发送给审阅者的电子邮件的内容根据审阅细节(如审阅名称、资源名称和截止日期)自动生成。 如果需要传达详细信息,可以在框中指定详细信息,如说明或联系信息。 你输入的信息将包含在邀请中,并且提醒电子邮件将发送到分配的审阅者。 下图中突出显示的部分显示此信息出现的位置。 用于展示给审阅者的额外内容的屏幕截图。

  5. 选择“下一步:查看 + 创建”。

    显示“查看 + 创建”选项卡的屏幕截图。

下一步: 查看 + 创建

  1. 为访问审查命名。 可选择为评审提供说明。 名称和说明显示给评审者。

  2. 查看信息,然后选择“创建”。

创建一个多阶段的访问评审

多阶段评审允许管理员定义两组或三组评审者来先后完成评审。 在单阶段评审中,所有审阅者在同一时段内做出决定,而最后一名做出决定的审阅者会应用他们的决定。 在多阶段评审中,两组或三组独立的审阅者在各自的阶段中做出决定。 阶段是连续的,在上一阶段中记录了决定之后,下一阶段才会发生。 多阶段评审可用于减轻后期阶段评审者的负担,允许评审者职权升级,或者让独立的评审组就决定达成一致。

  1. 选择评审的资源和范围后,转到“评审”选项卡。

  2. 选中“多阶段评审”旁边的复选框。

  3. 在“第一阶段评审”下,从“选择评审者”旁边的下拉菜单中选择评审者。

  4. 如果选择了组所有者用户管理器,您可以选择添加后备评审者。 若要添加后备评审者,请选择“选择后备评审者”并添加要指派为后备评审者的用户。

    显示已启用多阶段评审和多阶段评审设置的屏幕截图。

  5. 添加第一阶段的持续时间。 若要添加持续时间,请在“阶段持续时间(天)”旁边的字段中输入一个数字。 这是你希望向第一阶段评审者开放第一阶段,让其做出决定的天数。

  6. 在“第二阶段评审”下,从“选择评审者”旁边的下拉菜单中选择评审者。 在第一阶段评审结束后,将要求这些评审者进行评审。

  7. 根据需要添加任何后备评审者。

  8. 添加第二阶段的持续时间。

  9. 默认情况下,在创建多阶段评审时你会看到两个阶段。 但是,最多可以添加三个阶段。 若要添加第三个阶段,请选择“+ 添加阶段”并填写必填字段。

  10. 可以允许第二和第三阶段评审者查看在先前阶段中做出的决定。 如果您希望允许他们查看先前的决策,请在“揭示审阅结果”下,选择“显示上一阶段决策给后续阶段审阅者”框旁的选项。 如果你希望评审者独立进行评审,请不要选中该框以禁用此设置。

    显示已启用“持续时间”和“显示之前阶段”设置的多阶段评审屏幕截图。

  11. 每个重复周期的持续时间设置为在每个阶段指定的持续时间(天)的总和。

  12. 指定评审的“评审重复周期”、“开始日期”和“结束日期”。 定期类型必须至少与重复周期的总持续时间一样长(即对于每周评审,重复周期的最大持续时间为 7 天)。

  13. 若要指定哪些被评审者可以从一个阶段继续到下一个阶段,请在“指定可进入下一阶段的被评审者”选项旁边选择以下一个或多个选项:

    1. 已获批准的被评审者 - 只有已获批准的被评审者才能进入下一阶段。
    2. 已遭拒绝的被评审者 - 只有已遭拒绝的被评审者才能进入下一阶段。
    3. 未评审的被评审者 - 只有尚未评审的被评审者才能进入下一阶段。
    4. 标记为“未知”的被评审者 - 只有标记为“未知”的被评审者才能进入下一阶段。
    5. 全部:如果你希望所有阶段的评审者都做出决定,则每个人都可以进入下一阶段。

  14. 继续前往设置标签,完成其余的设置并创建审核。 按照“下一步: 设置”中的说明操作。

支持组所有者创建和管理其组的访问评审

  1. 至少以 Identity Governance Administrator 身份登录到 Microsoft Entra 管理中心

  2. 浏览到 ID 治理>访问审查>设置

  3. 在“可以创建和管理访问评审的代表”页上,将“组所有者可以创建和管理其拥有的组的访问评审”设置为“是”。

    显示允许组所有者进行审核的屏幕截图。

    注意

    默认情况下,此设置设为“否”。 允许组所有者创建和管理访问评审,并将设置更改为“是”。

以编程方式创建访问审核

还可以使用 Microsoft Graph 或 PowerShell 创建访问评审。

若要使用 Graph 创建访问评审,请调用Graph API以创建访问评审计划定义。 调用方必须是一个对应用程序拥有委托的 AccessReview.ReadWrite.All 权限的适当角色的用户,或者是一个拥有 AccessReview.ReadWrite.All 应用程序权限的应用程序。 有关详细信息,请参阅访问评审 API 的概述以及如何查看安全组成员查看 Microsoft 365 组中的来宾

还可以在 PowerShell 中使用 New-MgIdentityGovernanceAccessReviewDefinition 模块中的 cmdlet 创建访问评审。 有关详细信息,请参阅示例

在访问评审开始时

在您指定了访问评审的设置并创建了评审后,访问评审将显示在您的列表中,并带有状态指示器。

显示访问评审及其状态的列表的屏幕截图。

默认情况下,Microsoft Entra ID在一次性评审或定期评审的开始不久后向审阅者发送电子邮件。 如果选择不让 Microsoft Entra ID 发送电子邮件,请务必通知审阅者,有一个访问评审正等待他们完成。 可以向他们显示有关如何评审对组或应用程序的访问权限的说明。 如果评审工作是让来宾评审他们自己的访问权限,则可以显示有关如何评审自己对组或应用程序的访问权限的说明。

如果已分配来宾作为审阅者,而他们尚未接受针对租户的邀请,他们将不会收到访问评审的电子邮件。 他们必须先接受邀请,然后才能开始评审。

更新访问权限审核

在开始一个或多个访问评审后,您可能想要修改或更新现有访问评审的设置。 下面是一些需要考虑的常见方案:

  • 更新设置或审阅者:如果访问审核是重复的,则可在“当前设置”和“系列设置”下单独进行设置。 更新“当前”下的设置或审阅者只会将更改应用到当前访问评审。 更新“系列”项下的设置后,所有未来的重复项设置将自动更新。

    显示更新访问评审设置的屏幕截图。

  • 添加和删除审阅者:更新访问评审时,可选择添加除主审阅者之外的后备审阅者。 更新访问评审时,可能会删除主审阅者。 根据设计,无法删除后备审阅者。

    注意

    只能在审阅者类型为管理员或组所有者时才能添加后备审阅者。 当审阅者类型为所选用户时,可以添加主审阅者。

  • 提醒审阅者:更新访问评审时,可选择在“高级设置”下启用“提醒”选项 。 用户将在评审期的中途收到电子邮件通知,无论他们是否已经完成评审。

    显示提醒审阅者的屏幕截图。

注意

启动访问评审后,可以使用 contactedReviewers API 调用来通过电子邮件查看所有收到通知的评审者列表,或者在关闭通知的情况下查看谁是评审者,以进行访问评审。 还提供了这些用户收到通知时的时间戳。

注意

无法使用访问评审等 Microsoft Entra ID Governance 功能来管理受限管理单元中的组和用户。

后续步骤

  • Last updated on