使用 Microsoft Entra 访问评审管理用户访问权限

使用 Microsoft Entra 可以轻松确保用户有适当的访问权限。 为此,可让用户本人或决策人参与访问评审,鉴定(或“证明”)用户的访问权限。 审阅者可基于 Microsoft Entra 的建议,针对每个用户就继续访问的需求提供意见。 访问评审完成后,即可进行更改,并删除不再需要访问权限的用户的访问权限。

注意

如果仅评审来宾用户的访问权限,而无需评审所有用户的访问权限,请参阅使用访问评审管理来宾用户访问权限。 如果你想要评审具有管理角色(如全局管理员)的用户成员身份,请参阅在 Microsoft Entra Privileged Identity Management 中启动访问评审

先决条件

  • Microsoft Entra ID P2 或 Microsoft Entra ID 治理

有关详细信息,请参阅许可证要求

如果要评审对应用程序的访问权限,则在创建评审之前,请参阅有关如何准备对用户对应用程序的访问权限进行访问评审的文章,以确保应用程序与 Microsoft Entra ID 集成。

创建和执行访问评审

访问评审中可有一个或多个用户作为审阅者。

  1. 在 Microsoft Entra ID 中选择包含一个或多个成员的组。 或者选择已连接到 Microsoft Entra ID 的、已为其分配一个或多个用户的应用程序。

  2. 决定是由每个用户评审自己的访问权限,还是由一个或多个用户评审每个人的访问权限。

  3. 以至少是用户管理员或(预览版)要评审的 Microsoft 365 组或 Microsoft Entra 安全组的所有者身份转到 Identity Governance 页面

  4. 创建访问评审。 有关详细信息,请参阅创建组或应用程序的访问评审

  5. 访问评审开始时,要求审阅者提供输入。 默认情况下,他们每个人都会收到来自 Microsoft Entra ID 的电子邮件,其中包含指向访问面板的链接,他们将在访问面板中评审组或应用程序的访问权限

  6. 如果评审者尚未提供输入,可以要求 Microsoft Entra ID 向他们发送提醒。 默认情况下,Microsoft Entra ID 自动在中途向还未作出回复的审阅者发送结束日期提醒。

  7. 审阅者提供输入后,将停止访问评审并应用更改。 有关详细信息,请参阅完成组或应用程序的访问评审

后续步骤

创建组或应用程序的访问评审