描述访问评审
使用 Microsoft Entra 访问评审,组织能够高效地管理组成员身份、企业应用程序的访问权限和角色分配。 定期访问评审可确保只有正确的人员有权访问资源。 访问权限过多是一种已知的安全风险。 但是,当用户在团队之间调动或者接手或让渡职责时,访问权限可能很难控制。
使用 Microsoft Entra ID,你可以与组织内部用户和外部用户展开协作。 用户可以加入组、邀请来宾、连接到云应用以及通过工作或个人设备远程工作。 这种便捷性使人们需要更好的访问管理功能。
有许多用例都应使用访问评审。 这里只是几个例子。
- 具有特权角色的用户过多:最好检查有多少用户拥有管理访问权限,以及是否在向任何受邀来宾或合作伙伴分配了管理任务后未将其删除。 可以在 Microsoft Entra 角色(如全局管理员)或 Azure 资源角色(如 Microsoft Entra Privileged Identity Management (PIM) 体验中的用户访问管理员)中重新验证用户的角色分配。
- 业务关键型数据访问:对于某些资源,例如业务关键型应用程序,作为合规流程的工件,可能需要要求人们定期重新确认并说明他们需要继续访问的理由。
- 维护策略的例外列表:有时,有些业务案例需要对策略进行例外处理。 IT 管理员可以管理此任务,并为审核员提供定期审阅这些例外情况的证据。
- 要求组所有者确认他们的组中仍需要来宾:如果一个组允许来宾访问业务敏感内容,那么组所有者有责任确认来宾仍有合法的业务访问需求。
- 定期进行评审:可以设置用户定期访问评审的频率,例如每周、每月、季度或每年。 评审者在每次评审开始时收到通知,完成后,通过友好的用户界面并借助智能建议来批准或拒绝访问。
使用访问评审管理用户和来宾的访问权限
使用访问评审可以轻松确保用户或来宾有适当的访问权限。 为此,可让用户本人或决策人参与访问评审,鉴定(或“证明”)用户的访问权限。 审阅者可基于 Microsoft Entra ID 的建议,针对每个用户继续访问的需求提供意见。 访问评审完成后,即可进行更改,并删除不再需要访问权限的用户的访问权限。
创建访问评审的管理员可以在评审者完成评审的过程中跟踪进度。 评审完成前不会更改任何访问权限。 但可以在评审到达其计划的结束时间之前将其停止。
评审完成后,可以将其设置为手动或自动应用更改,以便从组成员身份或应用程序分配中删除访问权限,但此做法不适用于动态组或源自本地的组。 对于这两种组,必须直接对组进行更改。
多阶段访问评审
Microsoft Entra 访问评审最多支持三个评审阶段,其中多种类型的评审者参与并确定谁仍需要访问公司资源。
多阶段访问评审允许你和你的组织启用复杂的工作流以满足重新认证和审核要求,要求多个评审者证明特定序列中用户的访问权限。 它还通过减少每个评审者负责的决策数量,帮助为资源所有者和审核者设计更有效的评审。
