使用存取權檢閱來管理來賓存取權
您可以搭配存取權檢閱使用 Microsoft Entra B2B 功能 (部分機器翻譯),輕鬆地跨組織界限來啟用共同作業。 來自其他租用戶的來賓使用者可以由系統管理員邀請或其他使用者邀請。 此功能也適用社交身分識別,例如 Microsoft 帳戶。
您可以輕易確保來賓使用者有適當的存取權。 您可藉由要求來賓本身或決策者參與存取權檢閱,並重新證實 (或證明) 來賓的存取權。 檢閱者可以根據來自 Microsoft Entra 識別碼的建議,對需要持續存取的每個使用者提供其意見。 存取權檢閱完成時,您可以接著進行變更,並為不再需要存取的來賓移除存取權。
注意
本文件著重於檢閱來賓使用者的存取權。 如果您想檢閱所有使用者的存取權 (不只來賓),請參閱使用存取權檢閱管理使用者存取權。 若您想要檢閱使用者的系統管理角色 (例如全域系統管理員) 成員資格,請參閱在 Microsoft Entra Privileged Identity Management 中開始存取權檢閱 (部分機器翻譯)。
必要條件
- Microsoft Entra ID P2 或 Microsoft Entra ID Governance
如需詳細資訊,請參閱授權需求。
建立和執行來賓的存取權檢閱
首先,您必須獲指派下列其中一個角色:
- 全域系統管理員
- 使用者管理員
- (預覽) 要檢閱群組的 Microsoft 365 或 Microsoft Entra 安全性群組擁有者
注意
根據最低權限存取原則,建議您使用「使用者管理員」或成為「安全性群組」擁有者來執行此工作。
然後,前往 Identity Governance 頁面,確認您的組織已準備好檢閱存取權。
Microsoft Entra ID 支援幾個檢閱來賓使用者的場景。
您可以檢閱任一:
- Microsoft Entra ID 中的一個群組,其具有一或多個來賓作為成員。
- 連線到 Microsoft Entra ID 的一個應用程式,其具有一或多個指派給它的來賓使用者。
當您檢閱來賓使用者對 Microsoft 365 群組的存取權時,您可以個別建立每個群組的檢閱,或開啟對所有 Microsoft 365 群組中來賓使用者的自動週期性存取權檢閱。 下列影片提供來賓使用者週期性存取權檢閱的詳細資訊:
然後您可以決定是否要要求每個來賓檢閱其自己的存取權,或要求一或多個使用者檢閱邁個來賓的存取權。
下列各節說明這些案例。
要求來賓檢閱其在群組中的成員資格
使用存取權檢閱,可確定已受邀並新增至群組的使用者持續需要存取權。 您可以輕鬆要求來賓檢閱其在該群組中的成員資格。
若要建立群組的存取權檢閱,請選取只包含來賓使用者成員的檢閱,並讓其中的成員自行檢閱。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
要求每個來賓檢閱他們自己的成員資格。 根據預設,已接受邀請的每個來賓都會收到 Microsoft Entra ID 的電子郵件,其中包含存取權檢閱的連結。 Microsoft Entra ID 有提供來賓如何檢閱群組或應用程式的存取權 (部分機器翻譯) 相關指示。
檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
除了那些拒絕持續存取權需求的使用者外,您可能也想要移除未回應的使用者。 未回應的使用者可能不會再收到電子郵件。
如果群組不是使用於存取權管理,您也可移除因未接受邀請而未獲選參與檢閱的使用者。 未接受可能是因為受邀使用者的電子郵件地址拼錯。 如果某群組是作為通訊群組清單,可能某些來賓使用者因為是連絡人物件而未獲選參與。
要求授權的使用者檢閱來賓在群組中的成員資格
您可以要求授權的使用者 (例如群組的擁有者) 檢閱來賓是否需要持續保有群組成員資格。
若要建立群組的存取權檢閱,請選取只包含來賓使用者成員的檢閱。 然後指定一或多個檢閱者。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
要求檢閱者提供意見。 依預設,使用者會各自收到來自 Microsoft Entra ID 的電子郵件,其中的連結可連至存取面板,以檢閱群組或應用程式的存取權。
檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
要求來賓檢閱其自己的應用程式存取權
使用存取權檢閱,可確保因特定應用程式而受邀的使用者持續需要存取權。 您可以輕鬆要求來賓檢閱其自己的存取權需求。
若要建立應用程式的存取權檢閱,請選取只包含來賓的檢閱,並讓其中的使用者自行檢閱存取權。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
要求每個來賓檢閱其自己的應用程式存取權。 根據預設,已接受邀請的每個來賓都會收到 Microsoft Entra ID 的電子郵件。 該電子郵件有一個連結可連至貴組織存取面板中的存取權檢閱。 Microsoft Entra ID 有提供來賓如何檢閱群組或應用程式的存取權 (部分機器翻譯) 相關指示。
檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
除了那些拒絕持續存取權需求的使用者外,您可能也想要移除未回應的來賓使用者。 未回應的使用者可能不會再收到電子郵件。 您也可以移除未獲選參與的來賓使用者,尤其如果他們最近未獲邀請。 這些使用者未接受邀請,因此無法存取應用程式。
要求授權的使用者檢閱來賓的應用程式存取權
您可以要求授權的使用者 (例如應用程式的擁有者) 檢閱來賓是否需要應用程式的持續存取權。
若要建立應用程式的存取權檢閱,請選取只包含來賓的檢閱。 然後指定一或多個使用者作為檢閱者。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
要求檢閱者提供意見。 依預設,使用者會各自收到來自 Microsoft Entra ID 的電子郵件,其中的連結可連至存取面板,以檢閱群組或應用程式的存取權。
檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
要求來賓檢閱其一般的存取權需求
在某些組織中,來賓可能無法得知其群組成員資格。
注意
舊版的入口網站不允許 UserType 是「來賓」的使用者具備系統管理存取權。 在某些情況下,您目錄中的系統管理員可能已使用 PowerShell 將來賓的 UserType 值變更為「成員」。 如果您的目錄之前有過這項變更,先前的查詢可能不會包括過去具有系統管理存取權限的所有使用者。 在此情況下,您需要變更來賓的 UserType 或在群組成員資格中手動加入來賓。
如果不存在適當的群組,請在 Microsoft Entra ID 中建立成員是來賓的安全性群組。 比方說,您可以建立手動保留來賓成員資格的群組。 或者,您可針對 Contoso 租用戶中 UserType 屬性值為「來賓」的使用者,建立具有「Contoso 來賓」之類名稱的動態群組。 為了提高效率,請確定群組絕大多數是來賓 - 請勿選取具有成員使用者的群組,因為不需要檢閱成員使用者。 此外請記住,身為群組成員的來賓使用者可以看見群組的其他成員。
若要建立該群組的存取權檢閱,請選取本身是成員的檢閱者。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
要求每個來賓檢閱他們自己的成員資格。 根據預設,已接受邀請的每個來賓會收到 Microsoft Entra ID 的電子郵件,其中的連結可連至您組織的存取面板以執行存取權檢閱。 Microsoft Entra ID 有提供來賓如何檢閱群組或應用程式的存取權 (部分機器翻譯) 相關指示。 未接受邀請的來賓會在檢閱結果中顯示為「未通知到」。
在檢閱者提供輸入後,停止存取權檢閱。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
當您在設定 [選取小組 + 群組] 的存取權檢閱時,您可以在存取權檢閱中自動刪除來賓使用者的 Microsoft Entra B2B 帳戶。 此選項不適用於具有來賓使用者的所有 Microsoft 365 群組。
若要這樣做,請選取 [自動將結果套用至資源],因為這樣會自動從資源中移除使用者。 [如果檢閱者未回應] 應設定為 [移除存取權],而 [對拒絕的來賓使用者套用的動作] 也應設定為 [封鎖登入 30 天,然後從租用戶中移除使用者]。
這會立即封鎖來賓使用者帳戶的登入,然後在 30 天後自動刪除其 Microsoft Entra B2B 帳戶。