在 PIM 中建立 Azure 資源和 Microsoft Entra 角色的存取權檢閱
使用者存取特殊權限 Azure 資源和 Microsoft Entra 角色的需求會隨著時間變化。 若要減少與過時角色指派相關聯的風險,您應該定期檢閱存取權。 您可以使用 Microsoft Entra Privileged Identity Management (PIM) 來建立對 Azure 資源和 Microsoft Entra 角色的特殊權限存取權檢閱。 您也可以設定自動發生的週期性存取權檢閱。 本文說明如何建立一或多個存取權檢閱。
必要條件
使用 Privileged Identity Management 需要授權。 如需授權的詳細資訊,請參閱 Microsoft Entra ID 控管授權基本概念 。
如需 PIM 授權的詳細資訊,請參閱 使用特殊權限身分識別管理的授權需求。
若要建立 Azure 資源的存取權檢閱,您必須指派給 Azure 資源的 擁有者 或 使用者存取系統管理員 角色。 若要建立 Microsoft Entra 角色的存取權檢閱,您必須至少獲指派為特殊權限角色管理員角色。
除了 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 授權之外,使用服務主體的存取權檢閱還需要 Microsoft Entra 工作負載 ID 進階方案。
- 工作負載身分識別進階授權:您可以在 Microsoft Entra 系統管理中心的 [工作負載身分識別] 刀鋒視窗 上檢視及取得授權。
注意
存取權檢閱會擷取每個檢閱執行個體開頭的存取權快照。 在檢閱程序期間所做的任何變更都會反映在後續的檢閱週期中。 基本上,每當開始新一輪的檢閱,都會擷取有關使用者、待檢閱的資源及其相應檢閱者的相關資料。
建立存取權檢閱
提示
本文中的步驟可能會依據您開始的入口網站而稍有不同。
以被指派具有某個必要角色的使用者身分登入 Microsoft Entra 系統管理中心。
瀏覽至 身分識別控管>Privileged Identity Management。
針對 Microsoft Entra 角色,選取 [Microsoft Entra 角色]。 針對 [Azure 資源],選取 [Azure 資源]
![此螢幕擷取畫面顯示在 Microsoft Entra 系統管理中心選取 [身分識別治理]。](media/pim-create-azure-ad-roles-and-resource-roles-review/identity-governance.png)
針對 [Microsoft Entra 角色],請再次選取 [管理] 下方的 [Microsoft Entra 角色]。 針對 [Azure 資源],請選取您要管理的訂用帳戶。
在 [管理] 底下,選取 [存取權檢閱],然後選取 [新增] 以建立新的存取權檢閱。
![此螢幕擷取畫面顯示 [Microsoft Entra 角色] - 顯示所有檢閱狀態的存取權檢閱清單。](media/pim-create-azure-ad-roles-and-resource-roles-review/access-reviews.png)
命名存取權檢閱。 您可以選擇性地提供檢閱描述。 會向檢閱者顯示名稱和描述。
![此螢幕擷取畫面顯示 [建立存取權檢閱] - 檢閱名稱和描述。](media/pim-create-azure-ad-roles-and-resource-roles-review/name-description.png)
設定 [開始日期]。 根據預設,存取權檢閱會發生一次。 它會從建立時開始,並在一個月後結束。 您可以變更開始和結束日期,讓存取權檢閱在未來開始,並持續至您想要的天數。
若要進行週期性存取權檢閱,請將 [頻率] 設定從 [單次] 變更為 [每週]、[每月]、[每季]、[每年] 或 [每半年]。 使用 [審查時間] 滑桿或文字框來指定審查時間。 例如,您可以為每月檢閱設定的持續時間上限為 27 天,以避免重覆檢閱。
使用 [結束] 設定來指定如何結束週期性存取權檢閱系列。 此數列可以以三種方式結束:它會持續執行,以無限期地開始檢閱,直到特定日期,或在定義的出現次數完成之後。 您或可以管理檢閱的其他管理員可以變更 [設定] 中的日期,以在系列建立之後予以停止,讓其於該日期結束。
在 [使用者範圍] 區段中,選取檢閱的範圍。 針對 [Microsoft Entra 角色],第一個範圍選項是 [使用者和群組]。 直接指派的使用者和 角色指派群組 包含在此選取範圍中。 對於 Azure 資源角色,第一個範圍是使用者。 指派給 Azure 資源角色的群組會展開,以顯示檢閱中具有此選取範圍的可轉移使用者指派。 您也可以選取 [服務主體] 來檢查可直接存取 Azure 資源或 Microsoft Entra 角色的電腦帳戶。
您也可僅針對非使用中的使用者建立存取權檢閱。 在 [使用者範圍] 區段中,將 [僅限非使用中的使用者 (租用戶層級)] 設定為為 [true]。 如果切換設定為 true,則檢閱的範圍僅著重於非活躍使用者。 然後,指定 天不活躍。 您可以指定最多 730 天 (兩年)。 在指定天數內未使用的使用者是唯一在本次檢閱中的使用者。
在 [檢閱角色成員資格] 下,選取要檢閱的特殊權限 Azure 資源或 Microsoft Entra 角色。
注意
選取一個以上的角色將會建立多個存取權檢閱。 例如,選取五個角色將會建立五個不同的存取權檢閱。
在 [指派類型] 中,將主體指派給角色的方式會決定檢閱範圍。 選擇 [僅合格的指派] 以檢閱合格的指派 (而不論建立檢閱時的啟動狀態),或 [僅使用中的指派] 以檢閱使用中的指派。 無論類型為何,請選擇 [所有使用中和合格的指派] 來檢閱所有指派。
在 [檢閱者] 區段中,選取一或多個人員來檢閱所有使用者。 或者,您可以選擇讓成員檢閱自己的存取權。
- 選取的使用者 - 使用此選項來指定特定使用者來完成檢閱。 不論檢閱的範圍為何,都可以使用此選項,而選取的檢閱者可以檢閱使用者、群組和服務主體。
- 成員 (自己) - 使用此選項可讓使用者檢閱自己的角色指派。 只有在檢閱範圍限定於使用者和群組或使用者時,此選項才可供使用。 若為 Microsoft Entra 角色,選取此選項時,可指派的角色群組不會列入審查範圍。
- 管理員 – 使用此選項可讓使用者的管理員檢閱其角色指派。 只有在檢閱範圍限定於使用者和群組或使用者時,此選項才可供使用。 選取 [管理員] 時,您也可以指定後援檢閱者。 當使用者未在目錄中指定管理員時,系統會要求後援檢閱者檢閱使用者。 針對 Microsoft Entra 角色,如果選定了後援檢閱者,則會由該檢閱者檢閱角色可指派的群組。
![此螢幕擷取畫面顯示在 Microsoft Entra 系統管理中心選取 [身分識別治理]。](media/pim-create-azure-ad-roles-and-resource-roles-review/identity-governance.png#lightbox)
設定完成時
若要指定檢閱完成之後會發生什麼情況,請展開 [完成設定時] 區段。
![此螢幕擷取畫面顯示 [完成時的設定] 設為自動套用,以及檢閱者沒有回應的選項。](media/pim-create-azure-ad-roles-and-resource-roles-review/upon-completion-settings.png)
如果您想要對遭拒絕的使用者自動移除存取權,請將 [自動將結果套用至資源] 設為 [啟用]。 如果您要在檢閱完成時手動套用結果,請將切換設定為 [停用]。
使用 如果審核者未回應 清單來指定在審核期間內,未經審核者審核的用戶將會發生什麼情況。 此設定不會影響已檢閱的使用者。
- 無變更 - 使用者的存取權保持不變
- 移除存取權 - 移除使用者的存取權
- 核准存取權 - 核准使用者的存取權
- 採納建議 - 採納系統針對應拒絕或核准使用者的持續存取所提出的建議
使用 [要套用至已拒絕來賓使用者的動作] 清單,來指定遭到拒絕的來賓使用者會發生的情況。 此設定目前無法針對 Microsoft Entra ID 與 Azure 資源角色檢閱進行編輯,來賓使用者就像所有使用者一樣,如果遭到拒絕,一律會失去資源的存取權。
![此螢幕擷取畫面顯示 [完成時的設定] - 要對遭拒絕的來賓使用者套用的動作。](media/pim-create-azure-ad-roles-and-resource-roles-review/action-to-apply-on-denied-guest-users.png)
您可以將通知傳送給其他使用者或群組,以接收檢閱完成更新。 這項功能可讓檢閱建立者以外的專案關係人更新檢閱進度。 若要使用此功能,請選取 [選取 [使用者] 或 [群組],然後新增您想要接收完成狀態通知的任何使用者或群組。
![此螢幕擷取畫面顯示 [完成時的設定] - 新增其他使用者以接收通知。](media/pim-create-azure-ad-roles-and-resource-roles-review/upon-completion-settings-additional-receivers.png)
進階設定
若要設定更多設定,請展開 [進階設定] 區段。
![此螢幕擷取畫面顯示 [進階設定],包含 [顯示建議]、[需要核准的原因]、[郵件通知] 和 [提醒]。](media/pim-create-azure-ad-roles-and-resource-roles-review/advanced-settings.png)
將 [顯示建議] 設定為 [啟用],以向檢閱者顯示以使用者存取權資訊為基礎的系統建議。 建議是以 30 天期間間隔為基礎。 過去 30 天已登入的使用者會以建議的存取核准顯示,而未登入的使用者則會以建議的拒絕存取來顯示。 無論這些登入是否為互動式登入都沒有影響。 使用者的最後一次登入也會隨著建議一起顯示。
將 [需要核准的原因] 設定為 [啟用] 以要求檢閱者提供核准的原因。
將郵件通知設定為啟用,會讓 Microsoft Entra ID 在存取權檢閱開始時傳送電子郵件通知給檢閱者,並在檢閱完成時傳送電子郵件通知給管理員。
將 提醒 設定為 [啟用],Microsoft 讓 entra ID 將存取權檢閱的提醒傳送給尚未完成檢閱的檢閱者。
傳送給檢閱者的電子郵件內容會根據檢閱詳細數據自動產生,例如檢閱名稱、資源名稱、到期日等等。 如果您需要一種方式來傳達其他資訊,例如更多指示或聯繫人資訊,您可以在 [檢閱者電子郵件的其他內容] 中指定這些詳細數據, 包含在邀請和傳送給指派檢閱者的提醒電子郵件中。 醒目提示的區段是顯示此資訊的位置。
管理存取權檢閱
您可以追蹤檢閱者在存取權檢閱的 [概觀] 頁面上完成檢閱的進度。 在完成檢閱之前,不會變更目錄中的任何存取權限。
在完成對 Azure 資源和 Microsoft Entra 角色的存取權檢閱後,請按照 中的步驟操作,然後在 中查看並套用結果。
如果您要管理一系列的存取權檢閱,請導航至存取權檢閱,並在[排程檢閱]中找到即將發生的檢閱,再據此編輯結束日期或新增/移除檢閱者。
根據您在 [完成時的設定] 中所選取的項目,自動套用會在檢閱的結束日期之後,或在您手動停止檢閱時執行。 檢閱的狀態會從 已完成 變更為中繼狀態,例如 套用,最後變更為狀態 已套用。 您應該會在幾分鐘內看到遭到拒絕的使用者 (如果有的話) 正從角色中移除。
對指派給存取權檢閱中 Microsoft Entra 角色和 Azure 資源角色的群組的影響
•針對 [Microsoft Entra 角色],可以使用可指派角色的群組,將可指派角色的群組指派給角色。 在獲指派可指派角色群組的 Microsoft Entra 角色上建立檢閱時,群組名稱會顯示在檢閱中,而不需要展開群組成員資格。 檢閱者可以核准或拒絕整個群組對角色的存取。 在套用審核結果時,被拒的群組會失去角色指派。
• 針對「Azure 資源角色」,任何安全性群組都可以指派給角色。 在已指派安全組的 Azure 資源角色上建立檢閱時,角色檢閱者可以看到群組成員資格的完整擴充檢視。 當檢閱者拒絕被安全組指派到角色的使用者時,該使用者不會從群組中移除。 這是因為群組可能會與其他 Azure 或非 Azure 資源分享。 系統管理員必須實作拒絕存取所產生的變更。
注意
您可以將其他群組指派給安全性群組。 在此情況下,如果已將安全性群組指派給角色,則只有直接指派給該安全性群組的使用者才會出現在角色的檢閱中。
更新存取權檢閱
啟動一或多個存取權檢閱之後,您可能會想要修改或更新現有存取權檢閱的設定。 以下是一些您可能想要考慮的常見案例:
新增和移除檢閱者 - 更新存取權檢閱時,除了主要檢閱者之外,您還可以選擇新增後援檢閱者。 更新存取權檢閱時,可能會移除主要檢閱者。 不過,備援審查者設計上無法移除。
注意
只有當檢閱者類型為管理員時,才可以新增後援檢閱者。 當檢閱者類型為選取的使用者時,可以新增主要檢閱者。
提醒檢閱者 - 更新存取權檢閱時,您可以選擇啟用 [進階設定] 下的提醒選項。 啟用之後,使用者就會在檢閱期間中間點收到電子郵件通知。 無論檢閱者是否已完成檢閱,檢閱者都會收到通知。
更新設定 - 如果存取權檢閱是週期性的,則「目前」和「序列」下會有不同的設定。 更新 [目前] 下的設定,只會對目前的存取權檢閱套用變更,而更新 [系列] 下的設定時,將會更新所有未來週期的設定。
