什麼是存取權檢閱？

Microsoft Entra ID 中的存取權檢閱 (Microsoft Entra 的一部分) 可讓組織有效率地管理群組成員資格、對企業應用程式的存取權，以及角色指派。 您可以定期檢閱使用者的存取權，以確定只有適當的人員會具有持續存取權。

以下影片會快速地概述存取權檢閱：

存取權檢閱為何重要？

Microsoft Entra ID 可讓您與組織內部與外部使用者共同作業。 使用者可以加入群組、邀請來賓、連線至雲端應用程式，以及從他們的工作或個人裝置遠端工作。 由於能夠方便地使用自助服務，因此需要更好的存取管理功能。

• 您該如何確保新進員工有工作所需的存取權？
• 當人員調換小組或離職時，你該如何確保移除其過去的存取？
• 多餘的存取權限可能會導致入侵。
• 過度的存取權限可能會讓稽核結果顯示公司對於存取權的控制不夠嚴謹。
• 您必須主動與資源擁有者合作，以確保他們會定期檢閱可存取其資源的使用者。

何時應該使用存取權檢閱？

• 太多使用者具有特殊權限角色：您最好檢查有多少使用者擁有系統管理存取權、其中有多少人是全域管理員，以及是否有任何受邀來賓或合作夥伴未在獲指派執行系統管理工作之後移除。 您可以針對 Microsoft Entra 角色 (例如，全域管理員) 或 Microsoft Entra Privileged Identity Management (PIM) 體驗中的 Azure 資源角色 (例如，使用者存取管理員)，重新認證其中的角色指派使用者。
• 當無法自動化時： 您可以為動態成員群組、安全性群組或 Microsoft 365 群組建立規則，但如果人力資源資料不在 Microsoft Entra ID 中，或者，如果使用者在離開群組之後依然需要存取權來訓練其接替者呢？ 這時，您就可以在該群組上建立檢閱，以確保仍需要存取權的人員可持續具有存取權。
• 當群組用於新的用途時：如果您有要同步處理至 Microsoft Entra ID 的群組，或如果您計劃讓銷售小組群組中的每個人都能使用 Salesforce 應用程式，那麼在將其用於不同的風險內容之前，請群組擁有者檢查組動態成員資格群組會很有幫助。
• 業務關鍵資料存取：對於某些資源，例如業務關鍵應用程式，可能需要作為合規性程序的一部分，要求人員定期重新確認，並提出為何需要繼續存取的理由。
• 為了維護原則的例外狀況清單：在理想的世界中，所有使用者都會遵循存取原則來安全地存取您組織的資源。 不過，有時候會有需要您視為例外狀況的商務案例。 身為 IT 系統管理員，您可以管理這項工作、免於監督原則例外狀況，並向稽核人員證明您有定期檢閱這些例外狀況。
• 要求群組擁有者確認他們的群組中仍然需要來賓：員工存取可能會以其他身分識別和存取管理功能自動化，例如以 HR 來源的資料為基礎的生命週期工作流程，但不會邀請來賓。 如果有群組賦予來賓存取商務機密內容的權限，該群組的擁有者就有責任確認其來賓仍有合理獲得存取權的商務需求。
• 反覆定期檢閱：您可以設定以一定的頻率 (例如，每週、每月、每季或每年) 週期性地檢閱使用者的存取權，每次檢閱開始時，檢閱者都會收到通知。 檢閱者可以透過容易使用的介面與智慧建議的協助，來核准或拒絕存取權。

注意

如果您已準備好嘗試存取權檢閱，請查看建立群組或應用程式的存取權檢閱

您要在何處建立評論?

視您想要檢閱的內容而定，您可以在存取權檢閱、Microsoft Entra 企業應用程式、PIM 或權利管理中建立存取權檢閱。

使用者的存取權限	檢閱者可以是	檢閱建立於	檢閱者體驗
安全性群組成員 Office 群組成員	指定的檢閱者 群組擁有者 自我檢閱	存取權檢閱 Microsoft Entra 群組	存取面板
指派至已連線的應用程式	指定的檢閱者 自我檢閱	存取權檢閱 Microsoft Entra 企業應用程式	存取面板
Microsoft Entra 角色	指定的檢閱者 自我檢閱	PIM	Microsoft Entra 系統管理中心
Azure 資源角色	指定的檢閱者 自我檢閱	PIM	Microsoft Entra 系統管理中心
存取套件指派	指定的檢閱者 群組成員 自我檢閱	權利管理	存取面板

授權需求

此功能需要您組織的使用者 Microsoft Entra ID Governance 或 Microsoft Entra Suite 訂用帳戶。 這項功能中的某些功能可以使用 Microsoft Entra ID P2 訂用帳戶進行作業。 如需詳細資訊，請參閱每個功能的文章以取得詳細資料。 若要找到適合您需求的授權，請參閱 Microsoft Entra ID 控管授權基本概念。

注意

若要建立有關非使用中使用者的檢閱，並使用使用者對群組的關係建議，您需要 Microsoft Entra ID 控管授權。

下一步

• 準備使用者對應用程式存取權的存取權檢閱
• 建立群組或應用程式的存取權檢閱
• 在 Microsoft Entra 管理角色中建立使用者的存取權檢閱
• 檢閱群組或應用程式的存取權
• 完成群組或應用程式的存取權檢閱