在 Microsoft Entra ID 访问评审中创建对组和应用程序的访问评审
员工和来宾对组和应用程序的访问权限会不断变化。 为了降低与过期访问权限分配相关的风险,管理员可以使用 Microsoft Entra ID 针对组成员或应用程序访问权限创建访问评审。
Microsoft 365 和安全组所有者还可以使用 Microsoft Entra ID 创建针对组成员的访问评审,前提是至少具有 Identity Governance 管理员角色的用户通过“访问评审设置”窗格启用了该设置。 有关这些方案的详细信息,请参阅管理访问评审。
观看有关启用访问评审的简短视频。
本文介绍如何针对组成员或应用程序访问权限创建一个或多个访问评审。
- 若要评审访问包分配,请参阅在权利管理中配置访问评审。
- 若要查看 Azure 资源或 Microsoft Entra 角色,请参阅在 Privileged Identity Management 中创建 Azure 资源和 Microsoft Entra 角色的访问评审。
- 有关组的 PIM 的评审,请参阅为组创建 PIM 的访问评审。
先决条件
- Microsoft Entra ID P2 或 Microsoft Entra ID 治理许可证。
- 若要创建对非活动用户的审查或使用用户到组隶属关系建议,需要具有 Microsoft Entra ID 治理许可证。
- 全局管理员或 Identity Governance 管理员,可创建对组或应用程序的评审。
- 用户必须至少是特权角色管理员才能对可分配角色的组创建评审。 有关详细信息,请参阅使用 Microsoft Entra 组来管理角色分配。
- Microsoft 365 和安全组所有者。
有关详细信息,请参阅许可证要求。
注意
遵循最低特权访问,建议使用 Identity Governance 管理员角色。
如果要评审对应用程序的访问权限,则在创建评审之前,请参阅有关如何准备对用户对应用程序的访问权限进行访问评审的文章,以确保应用程序与你租户中的 Microsoft Entra ID 集成。
注意
访问评审捕获每个评审实例开头的访问快照。 在评审过程中所做的任何更改都将反映在后续评审周期中。 实质上,随着每个新重复周期的开始,会检索有关用户、正在评审的资源及其各自审阅者的相关数据。
注意
在组评审中,嵌套组将自动平展,因此嵌套组中的用户将显示为单独的用户。 如果用户因其嵌套组中的成员身份而被标记为删除,则不会自动从嵌套组中删除他们,而只能从直接组成员身份中删除他们。
创建单阶段访问评审
范围
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“访问评审”。
选择“新建访问评审”来创建新的访问评审。
在“选择要评审的内容”框中,选择需要评审的资源。
如果选择“团队 + 组”,可看到两个选项:
包含来宾用户的所有 Microsoft 365 组:如果要针对组织中所有 Microsoft Teams 和 Microsoft 365 组中的所有来宾用户创建定期评审,请选择此选项。 不包含动态组和可分配角色组。 还可通过选择“选择要排除的组”来选择排除各个组。
选择团队 + 组:如果要指定一组有限的团队或组来评审,请选择此选项。 右侧会显示可供选择的组列表。
如果已选择“应用程序”,则现在选择一个或多个应用程序。
注意
选择多个组或应用程序会导致创建多个访问评审。 例如,如果选择 5 个组来评审,则结果为 5 个单独的访问评审。
现在,你可以选择要评审的范围。 选项包括:
- 仅来宾用户:此选项可将访问评审限制为仅目录中的 Microsoft Entra B2B 来宾用户。
- 每个人:此选项将访问评审的范围限定为与资源关联的所有用户对象。
注意
如果选择了“包含来宾用户的所有 Microsoft 365 组”,则唯一的选项是评审“仅来宾用户”。
或者,如果要进行组成员资格评审,可以只为组中的非活动用户创建访问评审。 在“用户范围”部分,选中“非活动用户(租户级别)”旁边的框。 如果选中此框,则评审范围仅聚焦于非活动用户,即那些未以交互方式或非交互方式登录到租户的用户。 然后,指定“非活动天数”,非活动天数最长为 730 天(两年)。 组中处于非活动状态的指定天数的用户是评审中唯一的用户。
注意
配置非活动时间时,最近创建的用户不会受到影响。 访问评审会检查是否已在配置的时间范围内创建用户,并会忽略其存在时间尚未达到该时间长度的用户。 例如,如果将非活动时间设置为 90 天,而某个来宾用户是在不到 90 天前创建或邀请的,则该来宾用户不在访问评审范围内。 这可确保用户在被删除之前至少可以登录一次。
选择“下一步: 评审”。
下一步: 评审
可以创建单阶段或多阶段评审。 若要创建单阶段评审,请继续阅读。 若要创建多阶段访问评审,请按照创建多阶段访问评审中的步骤进行操作
在“指定审阅者”部分的“选择审阅者”框中,选择一个或多个要在访问评审中做出决定的人员。 可以选择:
- 组所有者:仅当你对团队或组进行评审时,此选项才可用。
- 选定的用户或组
- 用户评审自己的访问
- 用户经理
如果选择“用户经理”或“组所有者”,则还可以指定后备审阅者。 如果用户未在目录中指定任何经理,或者如果该组没有所有者,则要求后备审阅者进行评审。
注意
在团队或组访问评审中,只有组所有者(在评审开始时)被视为审阅者。 在评审过程中,如果更新了组所有者列表,新的组所有者将不被视为审阅者,旧的所有者仍被视为审阅者。 但是,在定期评审的情况下,将在评审的下一个实例中考虑对组所有者列表所做的任何更改。
重要
对于组的 PIM 的访问评审(预览版),选择组所有者作为审阅者时,必须至少分配一个回退审阅者。 评审将仅将活动所有者分配为审阅者。 不包括符合条件的所有者。 如果在评审开始时没有活动所有者,则会将回叫审阅者分配给评审。
在“指定评审的重复周期”部分中,指定以下选择:
持续时间(天):评审开放供审阅者进行评审的时间。
开始日期:一系列评审的开始的时间。
结束日期:一系列评审结束的时间。 可以将它指定为永不结束。 或者,也可以选择“在特定日期结束”或“在出现特定次数后结束”。
选择“下一步: 设置”。
注意
创建访问评审时,可以指定开始日期,但开始时间可能会因系统处理情况相差几个小时。 例如,如果在 9 月 9 日 03:00 UTC 创建访问评审,并将其设置为在 9 月 12 日运行,则评审计划于开始日期当天 03:00 UTC 运行,但可能会因系统处理而延迟。
可以指定开始日期,但开始时间可能会因系统处理情况相差几个小时。
下一步: 设置
在“完成设置后”部分中,可指定评审完成后会发生的情况。
自动将结果应用于资源:如果希望在评审持续时间结束后自动删除被拒绝用户的访问权限,请选中此复选框。 如果禁用此选项,则必须在评审完成时手动应用结果。 请参阅管理访问评审,了解有关应用评审结果的详细信息。
如果审阅者未答复:使用此选项,指定对于任何审阅者在评审期限内未评审的用户,将发生什么情况。 此设置不影响审阅者已评审的用户。 下拉列表显示以下选项:
- 不更改:使用户访问权限保持不变。
- 删除访问权限:删除用户的访问权限。
- 批准访问权限:批准用户的访问权限。
- 采用建议:根据系统建议拒绝或批准用户的后续访问权限。
警告
如果将“如果审阅者未响应”设置为“移除访问权限”或“接受建议”,并且启用了“自动将结果应用于资源”,那么当审阅者未能响应时,对此资源的所有访问权限都有可能被撤销。
对被拒绝的来宾用户应用的操作:仅当访问评审的范围仅包括来宾用户时,此选项才可用,用于指定当审阅者或“如果审阅者未响应”设置拒绝来宾用户时,来宾用户会发生的情况。
- 从资源中删除用户的成员身份:此选项将删除被拒绝的来宾用户对要评审的组或应用程序的访问权限。 它们仍可登录到租户,并且不会丢失任何其他访问权限。
- 在 30 天内阻止用户登录,然后从租户中删除用户:此选项将阻止被拒绝的来宾用户登录租户(无论他们是否可以访问其他资源)。 如果此操作出错,管理员可在来宾用户被禁用后的 30 天内重新启用来宾用户的访问权限。 如果 30 天后没有对禁用的来宾用户采取任何操作,将从租户中删除这些用户。
若要详细了解有关删除组织中不再拥有资源访问权限的来宾用户的最佳做法,请参阅使用 Microsoft Entra ID 治理评审和删除不再拥有资源访问权限的外部用户。
注意
对于范围超出来宾用户的评审,无法配置“要对被拒绝的来宾用户应用的操作”。 对于“包含来宾用户的所有 Microsoft 365 组”的评审,此操作也不可配置。无法配置时,将对被拒绝的用户使用默认选项,即从资源中删除用户的成员身份。
使用“评审结束时,将通知发送到”选项,向其他用户或组发送带有完成更新情况的通知。 除评审创建者之外的利益干系人使用此功能可了解最新的评审进度。 若要使用此功能,请选择“选择用户或组”并添加另一个用户或组来接收完成度状态。
在“启用评审决策帮助程序”部分中,选择是否希望审阅者在评审过程中收到建议:
- 如果选择“30 天内未登录”,建议审批过去 30 天内登录的用户。 对于过去 30 天内未登录的用户,建议选择拒绝评审。 此 30 天时间间隔与登录是否为交互式登录无关。 指定的用户的上次登录日期也将与建议一起显示。
- 如果选择“用户到组关联”,审阅者会获得“批准”或“拒绝”用户访问权限的建议,具体取决于组织报告结构中用户的平均距离。 与组内所有其他用户相距远的用户会被视为“低关联度”用户,会在组访问评审中获得“拒绝”建议。
注意
如果要基于应用程序创建访问评审,则你的建议将基于 30 天间隔期,该间隔期从用户上次登录到应用程序(而不是租户)的时间算起。
在“高级设置”部分中,可选择以下选项:
必须提供理由:选中此复选框,要求审阅者提供批准或拒绝的理由。
电子邮件通知:选中此复选框,以便在访问评审开始时让 Microsoft Entra ID 向审阅者发送电子邮件通知,并在评审完成时向管理员发送电子邮件通知。
提醒:选中此复选框,让 Microsoft Entra ID 向所有审阅者发送访问评审正在进行的提醒。 无论审阅者是否完成评审,他们都可在评审期间收到提醒。
审阅者电子邮件的其他内容:发送给审阅者的电子邮件的内容根据审阅细节(如审阅名称、资源名称和截止日期)自动生成。 如果需要传达详细信息,可以在框中指定详细信息,如说明或联系信息。 你输入的信息将包含在邀请中,并且提醒电子邮件将发送到分配的审阅者。 下图中突出显示的部分显示此信息出现的位置。
选择“下一步: 查看 + 创建”。
下一步: 查看 + 创建
命名访问评审。 可选择为评审提供说明。 名称和说明向审阅者显示。
查看信息,然后选择“创建”。
创建多阶段访问评审
多阶段评审允许管理员定义两组或三组审阅者来先后完成评审。 在单阶段评审中,所有审阅者在同一时段内做出决定,而最后一名做出决定的审阅者会应用他们的决定。 在多阶段评审中,两组或三组独立的审阅者在各自的阶段中做出决定。 阶段是连续的,在上一阶段中记录了决定之后,下一阶段才会发生。 多阶段评审可用于减轻后期阶段审阅者的负担,允许审阅者职权升级,或者让独立的评审组就决定达成一致。
注意
包含在多阶段访问评审中的用户数据是审核开始时审核记录的一部分。 管理员可以通过删除多阶段访问评审系列来随时删除数据。 有关 GDPR 和保护用户数据的常规信息,请参阅 Microsoft 信任中心的 GDPR 部分和服务信任门户的 GDPR 部分。
选择评审的资源和范围后,转到“评审”选项卡。
选中“多阶段评审”旁边的复选框。
在“第一阶段评审”下,从“选择审阅者”旁边的下拉菜单中选择审阅者。
如果选择了“组所有者”或“用户管理者”,可以使用相应的选项添加后备审阅者。 若要添加后备审阅者,请选择“选择后备审阅者”并添加要指派为后备审阅者的用户。
添加第一阶段的持续时间。 若要添加持续时间,请在“阶段持续时间(天)”旁边的字段中输入一个数字。 这是你希望向第一阶段审阅者开放第一阶段,让其做出决定的天数。
在“第二阶段评审”下,从“选择审阅者”旁边的下拉菜单中选择审阅者。 在第一阶段评审结束后,将要求这些审阅者进行评审。
根据需要添加任何后备审阅者。
添加第二阶段的持续时间。
默认情况下,在创建多阶段评审时你会看到两个阶段。 但是,最多可以添加三个阶段。 若要添加第三个阶段,请选择“+ 添加阶段”并填写必填字段。
可以允许第二和第三阶段审阅者查看在先前阶段中做出的决定。 若要允许他们查看先前做出的决定,请选中“显示评审结果”下的“向后期阶段审阅者显示先前阶段的决定”旁边的框。 如果你希望审阅者独立进行评审,请不要选中该框以禁用此设置。
每个重复周期的持续时间设置为在每个阶段指定的持续时间(天)的总和。
指定评审的“评审重复周期”、“开始日期”和“结束日期”。 定期类型必须至少是重复周期的总持续时间(即每周评审重复周期的最大持续时间为 7 天)。
若要指定哪些被审阅者可以在完成一个阶段后继续处理下一个阶段,请在“指定可进入下一阶段的被评审者”旁边选择以下一个或多个选项:
- 已获批准的被评审者 - 只有已获批准的被评审者才能进入下一阶段。
- 已遭拒绝的被评审者 - 只有已遭拒绝的被评审者才能进入下一阶段。
- 未评审的被评审者 - 只有尚未评审的被评审者才能进入下一阶段。
- 标记为“未知”的被评审者 - 只有标记为“未知”的被评审者才能进入下一阶段。
- 全部:如果你希望所有阶段的审阅者都做出决定,则每个人都可以进入下一阶段。
转到“设置”选项卡,完成其余的设置并创建评审。 按照“下一步: 设置”中的说明操作。
在访问评审中包括访问 Teams 共享频道的 B2B 直连用户和团队
可以通过 Microsoft Teams 中的共享通道为 B2B 直连用户创建访问评审。 进行外部协作时,可以使用 Microsoft Entra 访问评审来确保对共享通道保持最新的外部访问。 共享通道中的外部用户称为 B2B 直连用户。 若要详细了解 Teams 共享通道和 B2B 直连用户,请参阅 B2B 直连一文。
当对具有共享通道的团队创建访问评审时,审阅者可以评审共享通道中这些外部用户和团队的持续访问需求。 可以在同一评审中评审 B2B 连接用户及其他受支持的 B2B 协作用户和非 B2B 内部用户的访问权限。
注意
目前,仅单阶段评审中包括 B2B 直连用户和团队。 如果启用了多阶段评审,则访问评审中不会包括 B2B 直连用户和团队。
具有共享通道且已启用 Teams 的 Microsoft 365 组的访问评审中可包括 B2B 直连用户和团队。 若要创建评审,必须至少具有用户管理员或 Identity Governance 管理员角色。
请按照以下说明对具有共享通道的团队创建访问评审:
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“访问评审”。
选择“+ 新建访问评审”。
选择“团队 + 组”,然后选择“选择团队 + 组”以设置“评审范围”。 具有来宾用户的所有 Microsoft 365 组的评审中不包括 B2B 直连用户和团队。
选择具有共享通道(与 1 个或多个 B2B 直连用户或团队共享)的团队。
设置“范围”。
- 选择“所有用户”以包括:
- 所有内部用户
- 属于团队成员的 B2B 协作用户
- B2B 直连用户
- 访问共享通道的团队
- 或者,选择“仅来宾用户”以仅包括 B2B 直连用户和团队以及 B2B 协作用户。
- 选择“所有用户”以包括:
继续“评审”选项卡。选择审阅者以完成评审,然后指定“持续时间”和“审阅重复周期”。
注意
- 如果将“选择审阅者”设置为“用户评审自己的访问”或“用户经理”,则 B2B 直连用户和团队将无法评审自己在你租户中的访问。 正在评审的团队的所有者会收到一封电子邮件,要求该所有者评审 B2B 直连用户和团队。
- 如果选择“用户经理”,则所选的后备审阅者将评审在主租户中无经理的任何用户。 这包括无经理的 B2B 直连用户和团队。
转到“设置”选项卡,并配置其他设置。 然后转到“查看并创建”选项卡,开始访问评审。 有关创建评审和配置设置的更多详细信息,请参阅创建单阶段访问评审。
支持组所有者创建和管理其组的访问评审
提示
本文中的步骤可能因开始使用的门户而略有不同。
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“访问评审”>“设置”。
在“委托可创建和管理访问评审的人员”页上,将“组所有者可以创建和管理其拥有的组的访问评审”设置为“是”。
注意
默认情况下,此设置设为“否”。 允许组所有者创建和管理访问评审,并将设置更改为“是”。
以编程方式创建访问评审
还可以使用 Microsoft Graph 或 PowerShell 创建访问评审。
要使用 Graph 创建访问评审,请调用 Graph API 以创建访问评审计划定义。 调用方必须是一个对应用程序拥有委托的 AccessReview.ReadWrite.All
权限的适当角色的用户,或者是一个拥有 AccessReview.ReadWrite.All
应用程序权限的应用程序。 有关详细信息,请参阅访问评审 API 概述,以及有关如何评审安全组成员或评审 Microsoft 365 组中的来宾的教程。
还可以使用适用于 Identity Governance 的 Microsoft Graph PowerShell cmdlet 模块中的 New-MgIdentityGovernanceAccessReviewDefinition
cmdlet,在 PowerShell 中创建访问评审。 有关详细信息,请参阅示例。
在访问评审开始时
指定访问评审的设置并创建设置后,访问评审将显示在列表中,其中包含其状态指示器。
默认情况下,Microsoft Entra ID 会在一次性评审开始后不久向审阅者发送电子邮件,或者在定期评审的重复周期开始后不久向审阅者发送电子邮件。 如果选择不让 Microsoft Entra ID 发送电子邮件,请务必通知审阅者有一个访问评审任务等待他们完成。 可以向他们显示有关如何评审对组或应用程序的访问权限的说明。 如果评审工作是让来宾评审他们自己的访问权限,则可以显示有关如何评审自己对组或应用程序的访问权限的说明。
如果已分配来宾作为审阅者,而他们尚未接受针对租户的邀请,他们将不会收到访问评审的电子邮件。 他们必须先接受邀请,然后才能开始评审。
更新访问评审
开始一个或多个访问评审后,建议修改或更新现有访问评审的设置。 下面是一些需要考虑的常见方案:
更新设置或审阅者:如果访问评审是重复的,则可在“当前”和“系列”下单独进行设置。 更新“当前”下的设置或审阅者只会将更改应用到当前访问评审。 更新“系列”下的设置将更新所有未来重复的设置。
添加和删除审阅者:更新访问评审时,可选择添加除主审阅者之外的后备审阅者。 更新访问评审时,可能会删除主审阅者。 根据设计,无法删除后备审阅者。
注意
只能在审阅者类型为管理员或组所有者时才能添加后备审阅者。 当审阅者类型为所选用户时,可以添加主审阅者。
提醒审阅者:更新访问评审时,可选择在“高级设置”下启用“提醒”选项。 启用后,用户将在评审过程中收到电子邮件通知,无论他们当时是否已完成评审。
注意
启动访问评审后,可以使用 contactedReviewers API 调用来通过电子邮件查看所有收到通知的审阅者列表,或者在关闭通知的情况下查看谁是审阅者,以进行访问评审。 还提供了这些用户收到通知时的时间戳。