使用 Azure Active Directory 访问评审管理用户访问权限

  • 8 分钟

对员工和来宾的组和应用程序的访问权限随时间的变化而变化。 为了降低与过时访问分配相关的风险,管理员可以使用Azure Active Directory(Azure AD)为组成员或应用程序访问创建访问评审。 以下是使用访问评审的一些场景:

  • 具有特权角色的用户太多
  • 无法实现自动化时
  • 当组用于新用途时
  • 业务关键数据访问
  • 保留策略例外列表
  • 请组所有者确认其组中仍然需要来宾
  • 定期进行评审

Azure Active Directory(Azure AD)访问评审使组织能够高效管理组成员身份,而无需管理监督。 可以确保用户和来宾具有适当的访问权限。 使用访问评审,可以:

  • 安排定期评审或执行临时评审,以查看谁有权访问特定资源,例如应用程序和组
  • 跟踪见解、合规性或策略原因的评审
  • 将评审委托给特定管理员、业务所有者或最终用户,这些管理员、企业所有者或最终用户可以自我证明是否需要继续访问
  • 使用见解有效确定用户是否应继续具有访问权限
  • 自动审查结果,例如删除用户对资源的访问权限
  • 自动审查 Azure AD 中有一个或多个来宾作为成员的组。
  • 自动审查连接到 Azure AD 的、被分配了一个或多个来宾用户的应用。

显示访问评审流的关系图。

主要优势

启用访问评审的主要优点是:

  • Control 协作 - 访问评审允许组织管理对其用户所需的所有资源的访问权限。 当用户共享和协作时,组织可以确保该信息仅在授权用户中。

  • 管理风险 - 访问评审为组织提供了一种查看数据和应用程序访问权限的方法,从而降低了数据泄露和数据泄漏的风险。 这包括定期查看外部合作伙伴对公司资源的访问权限的功能。

  • 保护合规性和治理 - 通过访问评审,可以管理和重新认证组、应用和网站的访问生命周期。 可以控制特定于组织的合规性或风险敏感应用程序的跟踪评审。

  • 降低成本 - 访问评审是在云中构建的,并且在本机使用云资源(如组、应用程序和访问包)。 与构建自己的工具或升级本地工具集相比,使用访问评审的成本更低。

为组成员创建访问评审

先决条件

  • Azure AD Premium P2
  • 全局管理员或用户管理员
  • Microsoft 365和安全组所有者(预览版)

创建一个或多个访问评审

  1. 登录到 Azure 门户并打开 Identity Governance 页面。

  2. 选择“访问评审 > + 新建访问评审”以创建新的访问评审。

  3. 在“选择要评审的内容”部分中,选择“团队 + 组”。

  4. 在“评审范围”部分中,选择以下两个选项之一:

    • 包含来宾用户的所有Microsoft 365组 - 如果要在组织中的所有 Microsoft Teams 和Microsoft 365组中创建所有来宾的定期评审,请选择此选项。 可以通过选择""来选择排除某些组选择要排除的组"。

    • 选择 teams + 组 - 如果要指定一组有限的团队和/或组进行评审,请选择此选项。 选择此选项后,右侧将显示可供选择的组列表。

  5. 在“范围” 部分中,可以选择评审范围。 你的选项是

    • 仅限用户 - 选择此选项会将访问评审限制为目录中的Azure AD B2B 来宾。
    • 所有用户 - 选择此选项会将访问评审范围限定到与资源关联的所有用户对象。

    如果选择了“所有包含来宾的 Microsoft 365 组”,则唯一选项是仅评审来宾用户。

    Teams 和组

  6. 选择 下一步:审阅

  7. 选择审阅者 部分中,选择一个或多个人员以执行访问评审。 可以选择:

    • 组所有者(仅在对团队或组执行评审时可用)
    • 选择的用户或组
    • 用户审阅自己的访问权限
    • 用户的管理者。 如果选择 用户的管理员组所有者 还可以选择指定回退审阅者。 当用户没有在目录中指定管理器或组没有所有者时,要求回退审阅者进行评审。

  8. 指定审阅 的重复周期"部分中,可以指定频率,例如 每周、每月、每季度、半年、每年。 然后,指定 持续时间,用于定义审阅者输入的审阅将打开多长时间。 例如,可以为每月评审设置的最长持续时间为 27 天,以避免评论重叠。 你可能希望缩短持续时间,以确保提前应用审阅者输入。 接下来,可以选择 开始日期结束日期

    新访问评审

  9. 选择页面下端的" 下一步:设置 "按钮。

  10. 在"完成后"设置中,可以指定审阅完成后会发生什么情况。

    如果要自动删除被拒绝用户的访问权限,请将 自动将结果应用于资源 为"启用"。 如果要在审阅完成时手动应用结果,请将开关设置为 禁用

    使用 如果审阅者未响应 列表,则指定审阅者在审阅期间未审阅的用户会发生什么情况。 此设置不会影响已由审阅者手动审阅的用户。 如果最终审阅者的决定 拒绝,则将删除用户的访问权限。

    • 未更改 - 保持用户的访问权限不变
    • 删除访问权限 - 删除用户的访问权限
    • 批准访问权限 - 批准用户的访问权限
    • 获取建议 - 接受系统关于拒绝或批准用户持续访问的建议

    使用"操作"对被拒绝 来宾 用户应用,以指定如果来宾被拒绝,会发生什么情况。

    • 从资源中删除用户’成员身份 将删除被拒绝的用户对所审阅的组或应用程序的访问权限,他们仍然可以登录到租户。
    • 阻止用户登录 30 天,然后从租户中删除用户将阻止被拒绝的用户登录到租户,无论他们是否有权访问其他资源。 如果出现错误或管理员决定重新启用访问权限,他们可以在用户被禁用后的 30 天内执行此操作。 如果未对禁用的用户执行任何操作,则将从租户中删除这些用户。

  11. 可以向其他用户或组发送通知以接收审阅完成更新。 此功能允许审阅创建者以外的利益干系人更新评审进度。 若要使用此功能,请选择 选择用户或组 并添加要接收完成状态的额外用户或组。

  12. 可启用评审决策帮助程序 中,选择是否希望审阅者在评审过程中接收建议。

  13. 在"高级设置"部分,可以选择以下内容:

    • 所需理由 设置为 启用 以要求审阅者提供批准理由。
    • 邮件通知 设置为 Enable 在访问评审开始时Azure AD向审阅者发送电子邮件通知,并在审阅完成时向管理员发送电子邮件通知。
    • 提醒 设置为 使 Azure AD向尚未完成审阅的审阅者发送正在进行的访问评审提醒。 这些提醒将在评审期间半向发送。
    • 发送给审阅者的电子邮件内容将根据审阅详细信息(如审阅名称、资源名称、截止日期和其他详细信息)自动生成。 如果需要一种方法来传达其他信息(如其他说明或联系信息),可以在 审阅者电子邮件的其他内容 部分中指定这些详细信息。 你输入的信息包含在发送给分配的审阅者的邀请和提醒电子邮件中。 下图中突出显示的部分显示了此信息的显示位置。

    更新完成设置选项

  14. 选择 下一页:查看 + 创建 移动到下一页。

  15. 命名访问评审。 (可选)为评审提供说明。 名称和说明将显示给审阅者。

  16. 查看信息,然后选择 创建

允许组所有者创建和管理访问评审(预览版)

先决条件角色:全局管理员或用户管理员

  1. 登录到 Azure 门户并打开 Identity Governance 页面。

  2. 在左侧菜单的 访问评审 下, 设置

  3. 在"可以创建和管理访问评审的代理人"页上,设置 (预览版)组所有者可以创建和管理他们拥有的组的访问评审 设置为 "是"

查看对组的访问权限

指定访问评审的设置后,选择 开始。 访问评审将显示在列表中,并显示其状态指示器。

默认情况下,Azure AD审阅开始后不久向审阅者发送电子邮件。 如果选择不Azure AD发送电子邮件,请务必通知审阅者访问评审正在等待他们完成。

你可以从通知电子邮件或直接转到站点https://myapps.microsoft.com启动访问评审过程。 可通过两种方式批准或拒绝访问:

  • 通过为每个用户请求选择适当的操作,可以"手动"批准或拒绝一个或多个用户的访问权限。

  • 可以接受系统建议。

    打开访问评审,列出要审阅的用户

Azure Active Directory 中的审核日志

除了访问评审外,管理员还可以使用审核日志来审阅系统活动的记录,以确保合规性,包括:

以用户为中心的视图

  • 哪些类型的更新已应用于用户?
  • 更改了多少个用户?
  • 更改了多少密码?
  • 管理员在目录中进行了什么操作?

以组为中心的视图

  • 添加了哪些组?
  • 是否有成员资格更改的组?
  • 组的所有者是否已更改?
  • 向组或用户分配了哪些许可证?

以应用为中心的视图

  • 添加或更新了哪些应用程序?
  • 已删除哪些应用程序?
  • 应用程序的服务主体是否已更改?
  • 应用程序的名称是否已更改?
  • 谁同意了应用程序?

可以从 Azure Active Directory 管理中心的“监视”部分访问审核日志,并使用筛选器查找信息。

AAD 管理中心中的审核日志

有关更多信息,请参阅 Azure Active Directory 中的审核日志