在 Microsoft Entra ID 中建立群組與應用程式的存取權檢閱
員工和來賓的群組及應用程式存取權,可能會隨著時間而改變。 為了降低過時存取權指派的相關風險,系統管理員可以使用 Microsoft Entra ID 建立群組成員或應用程式存取的存取權檢閱。
只要至少具有身分識別控管系統管理員角色的使用者透過 [存取權檢閱設定] 窗格來啟用設定,Microsoft 365 和安全性群組擁有者也可以使用 Microsoft Entra ID 來建立群組成員的存取權檢閱。 如需這些案例的詳細資訊,請參閱管理存取權檢閱。
觀看介紹如何啟用存取權檢閱的簡短影片。
本文說明如何針對群組成員或應用程式存取建立一個或多個存取權檢閱。
- 若要檢閱存取套件指派,請參閱在權利管理中設定存取權檢閱。
- 若要檢閱 Azure 資源或 Microsoft Entra 角色,請參閱在 Privileged Identity Management 中建立 Azure 資源和 Microsoft Entra 角色的存取權檢閱。
- 如需群組 PIM 的檢閱,請參閱建立群組 PIM 的存取權檢閱。
必要條件
使用此功能需要Microsoft Entra ID Governance 或 Microsoft Entra Suite 授權。 若要尋找您需求的正確授權,請參閱 Microsoft Entra ID Governance 授權基本概念。
若要檢閱應用程式的存取權,則在您建立檢閱之前,請參閱如何準備使用者存取應用程式的存取權檢閱一文,以確保應用程式已與租用戶中的 Microsoft Entra ID 整合。
注意
存取權檢閱會擷取每個檢閱執行個體開頭的存取權快照。 在檢閱程序期間所做的任何變更都會反映在後續的檢閱週期中。 基本上,每當開始新一輪的檢閱,都會擷取有關使用者、待檢閱的資源及其相應檢閱者的相關資料。
注意
在群組檢閱中,巢狀群組會自動扁平化,因此巢狀群組中的用戶會以個別使用者的形式展示。 如果使用者因為巢狀群組中的成員資格而被標示為移除,則不會自動從巢狀群組中移除該使用者,而只會從直接群組成員資格中將其移除。
建立單一階段存取權檢閱
範圍
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別治理] > [存取權檢閱]。
選取 [新增存取權檢閱] 來建立新的存取權檢閱。
在 [選取待檢閱的項目] 方塊中,選取您要檢閱的資源。
如果選取 [小組 + 群組],您有兩個選項:
所有具有來賓使用者的 Microsoft 365 群組:如果您想要為組織中所有 Microsoft Teams 和 Microsoft 365 群組的所有來賓使用者建立週期性檢閱,請選取此選項。 不包含動態群組和可指派角色的群組。 您也可以選取 [選取要排除的群組] 以選擇排除個別群組。
選取小組 + 群組:如果您想要指定一組有限的小組或群組來進行檢閱,請選取此選項。 可選擇的群組清單會出現在右側。
如果您選取 [應用程式],請選取一或多個應用程式。
注意
選取多個群組或應用程式會導致建立多個存取權檢閱。 例如,如果您選取五個群組進行檢閱,則會產生五個不同的存取權檢閱。
現在您可以選取要檢閱的範圍。 您的選項如下:
- 僅限來賓使用者:此選項會將存取權檢閱僅限定為您目錄中的 Microsoft Entra B2B 來賓使用者。
- 所有人:此選項會將存取權檢閱的範圍設為與資源相關聯的所有使用者物件。
注意
如果您選取 [含有來賓使用者的所有 Microsoft 365 群組],則檢閱的唯一選項是 [僅限來賓使用者]。
或者,若要進行群組成員資格檢閱,則可以只為群組中的非使用中使用者建立存取權檢閱。 在 [使用者範圍] 區段中,核取 [非作用中使用者 (租用戶層級)] 旁的方塊。 如果您核取此方塊,則檢閱的範圍只會著重於非使用中使用者,即未以互動方式或以非互動方式登入租用戶的使用者。 然後,為 [非使用中天數] 指定非使用中天數,最多 730 天 (兩年)。 群組中在指定天數內未使用的使用者是檢閱中唯一的使用者。
注意
設定閒置時間時,最近建立的使用者不會受到影響。 存取權檢閱會檢查使用者是否在設定的時間範圍內建立,並忽略至少在該時間段內不存在的使用者。 例如,如果您將非使用中狀態時間設定為 90 天,且來賓使用者的建立或邀請時間不到 90 天,則該來賓使用者將不在存取權檢閱的範圍內。 這可確保使用者在遭到移除之前至少可登入一次。
選取 [下一步:檢閱]。
下一步:檢閱
您可以建立單一階段或多階段檢閱。 如需單一階段檢閱,請繼續進行這裡的作業。 若要建立多階段存取權檢閱,請遵循建立多階段存取權檢閱中的步驟
在 [指定檢閱者] 區段的 [選取檢閱者] 方塊中,選取一或多個人員以制定存取權檢閱的決策。 您可以自下列內容中選擇:
- 群組擁有者:只有當您對小組或群組進行檢閱時,才能使用此選項。
- 已選取的使用者或群組
- 使用者檢閱自身存取權
- 使用者管理員
如果您選擇 [使用者管理員] 或 [群組擁有者],還可以指定後援檢閱者。 若使用者未在目錄中指定任何管理員,或者群組沒有擁有者時,系統會要求後援檢閱者進行檢閱。
注意
在小組或群組存取權檢閱中,只會將群組擁有者 (檢閱開始時) 視為檢閱者。 在檢閱過程期間,如果更新群組擁有者清單,則不會將新的群組擁有者視為檢閱者,而且仍然會將舊的群組擁有者視為檢閱者。 不過,在週期性檢閱的情況下,於該檢閱的下一個執行個體中,會考慮群組擁有者清單上的任何變更。
重要
對於群組 PIM (預覽版) 的存取權檢閱,在選取群組擁有者作為檢閱者時,必須至少指派一個後援檢閱者。 該檢閱只會將活躍擁有者指派為檢閱者。 不包含合格的擁有者。 如果審核開始時沒有活躍擁有者,則會將後援審核者指派給審核。
在 [指定檢閱週期] 區段中,指定下列選項:
持續時間 (天):檢閱可供檢閱者輸入的開放時間長度。
開始日期:一系列檢閱的開始時間。
結束日期:一系列檢閱的結束時間。 您可以指定檢閱永遠不會結束。 或者,您可以選取 [在特定日期結束] ,或是 [到達發生次數之後結束]。
選取 [下一步:設定]。
注意
建立存取權檢閱時,您可以指定開始日期,但開始時間可能會因系統處理而有幾小時延遲。 例如,若在 09/09 於 03:00 UTC 建立存取權檢閱,且該檢閱設定為在 09/12 執行,則檢閱會排定在開始日期的 03:00 UTC 執行,但可能會因為系統處理而延遲。
您可以指定開始日期,但開始時間可能會因系統處理而有幾小時延遲。
下一步:設定
在 [完成時的設定] 區段中,您可以指定在檢閱完成後要執行的動作。
自動將結果套用至資源:如果您想要在檢閱期間結束後,自動移除拒絕的使用者存取權,請選取此核取方塊。 如果已停用此選項,則您必須在檢閱完成時手動套用結果。 若要深入了解如何套用檢閱結果,請參閱管理存取權檢閱。
若檢閱者未回應:使用此選項來指定在檢閱期間內若無任何審核者進行審核時,要對使用者執行的動作。 這項設定不會影響檢閱者已檢閱的使用者。 下拉式清單會顯示下列選項:
- 沒有變更:使用者的存取權保持不變。
- 移除存取權:移除使用者的存取權。
- 核准存取權:核准使用者的存取權。
- 採納建議:採納系統針對應拒絕或核准使用者的持續存取所提出的建議。
警告
如果 [若檢閱者未回應] 設定設為 [移除存取權] 或 [採取建議],並啟用 [自動將結果套用至資源],則可能會在檢閱者無法回應時撤銷對此資源的所有存取。
要套用至已拒絕來賓使用者的動作:只有在存取權檢閱的範圍僅包含來賓使用者時,才可使用此選項,以指定當來賓使用者遭到檢閱者或 [若檢閱者未回應] 設定拒絕時要執行的動作。
- 移除使用者對資源的成員資格:此選項會移除已拒絕來賓使用者對於目前檢閱群組或應用程式的存取權。 這些使用者仍可以登入租用戶,且不會喪失任何其他存取權。
- 讓使用者無法登入 30 天,然後從該租用戶移除使用者:此選項會封鎖已拒絕的來賓使用者登入租用戶,無論他們是否有其他資源的存取權都一樣。 如果此動作的執行有誤,管理員可以在來賓使用者停用後的 30 天內,重新啟用來賓使用者的存取權。 如果在 30 天後未對停用的來賓使用者採取任何動作,則會從租用戶中刪除這些使用者。
若要深入了解如何妥善移除不再具有您組織中資源存取權的來賓使用者,請參閱使用 Microsoft Entra ID 控管來檢閱和移除不再具有資源存取權的外部使用者。
注意
[要套用至已拒絕來賓使用者的動作] 設定不適用於範圍超過來賓使用者的檢閱。 [含有來賓使用者的所有 Microsoft 365 群組] 的檢閱也無法對其進行設定。無法設定時,會針對已遭拒的使用者使用從資源移除使用者成員資格的預設選項。
使用 [在檢閱結束時,傳送通知給] 選項向其他使用者或群組傳送完成更新通知。 這項功能可讓檢閱建立者以外的專案關係人更新檢閱進度。 若要使用這項功能,請選擇 [選取使用者或群組],並新增要接收完成狀態的其他使用者或群組。
在 [啟用檢閱決策協助程式] 區段中,選擇是否要讓您的檢閱者在檢閱過程中收到建議:
- 如果您選取 [30 天內沒有任何登入],建議在前 30 天期間登入的使用者進行核准。 過去 30 天內未登入過的使用者,則會建議拒絕。 不論登入是否為互動式,都會採用這個 30 天間隔。 指定使用者的最後一個登入日期也會與建議一起顯示。
- 如果您選取 [使用者對群組關係],則檢閱者會根據組織報告結構中使用者的平均距離,來取得使用者的核准或拒絕存取建議。 與群組內所有其他使用者關係遠的使用者會被視為「低關聯性」,而且將會在群組存取權檢閱中取得拒絕建議。
注意
如果建立以應用程式為基礎的存取權檢閱,您的建議會採用 30 天的間隔期間,且根據使用者上次登入應用程式 (而不是租用戶) 的時間為基準。
在 [進階設定] 區段中,您可以選擇下列選項:
需要理由:選取此核取方塊,以要求檢閱者提供核准或拒絕的原因。
電子郵件通知:選取此核取方塊,以讓 Microsoft Entra ID 在存取權檢閱開始時傳送電子郵件通知給檢閱者,並在檢閱完成時傳送電子郵件通知給管理員。
提醒:選取此核取方塊,以讓 Microsoft Entra ID 將進行中存取權檢閱的提醒傳送給所有檢閱者。 檢閱者會在檢閱期間的中間點收到提醒,無論是否已完成檢閱。
檢閱者電子郵件的其他內容:傳送給檢閱者電子郵件的內容會根據檢閱詳細資料自動產生,例如檢閱名稱、資源名稱和到期日。 如果您需要傳達詳細資訊,您可以在方塊中指定詳細資料,例如指示或連絡人資訊。 您輸入的資訊會包含在邀請中,並將提醒電子郵件傳送給指派的檢閱者。 這項資訊會顯示在下圖中醒目顯示的區段中。
完成時,選取下一步:檢閱 + 建立。
下一步:檢閱 + 建立
命名存取權檢閱。 您可以選擇性地提供檢閱描述。 會向檢閱者顯示名稱和描述。
檢閱資訊並選取 [建立]。
建立多階段存取權檢閱
多階段檢閱可讓系統管理員定義兩組或三組檢閱者,以逐一完成檢閱。 在單一階段檢閱中,所有檢閱者都會在相同期間內做出決策,而最後一個做出決策的檢閱者會套用其決策。 在多階段檢閱中,二或三組的獨立檢閱者會各自在自己的階段內做出決策。 階段是循序的,而且除非前一個階段中記錄決策,否則不會進行下一個階段。 多階段檢閱可用來減少後續階段檢閱者的負擔、允許檢閱者呈報,或讓獨立檢閱者群組同意決策。
注意
多階段存取權檢閱中包含的使用者資料是檢閱開始時稽核記錄的一部分。 系統管理員可以刪除多階段存取權檢閱系列,隨時刪除資料。 如需 GDPR 和保護使用者資料的一般資訊,請參閱 Microsoft 信任中心的 GDPR 區段和服務信任入口網站的 GDPR 區段。
選取檢閱的資源和範圍之後,請移至 [檢閱] 索引標籤。
選取 [多階段檢閱] 旁邊的核取方塊。
在 [第一階段檢閱] 底下,從 [選取檢閱者] 旁的下拉式功能表中選取檢閱者。
如果您選取 [群組擁有者] 或 [使用者管理員],您可以選擇新增後援檢閱者。 若要新增後援,請選取 [選取後援檢閱者],然後新增您想要讓其成為後援檢閱者的使用者。
新增第一階段的持續時間。 若要新增持續時間,請在 [階段持續時間 (天數)] 旁的欄位中輸入數字。 這是您希望第一階段開放給第一階段檢閱者做出決策的天數。
在 [第二階段檢閱] 底下,從 [選取檢閱者] 旁的下拉式功能表中選取檢閱者。 第一階段檢閱結束時,系統會要求這些檢閱者檢閱。
視需要新增任何後援檢閱者。
新增第二階段的持續時間。
根據預設,您會在建立多階段檢閱時看到兩個階段。 不過,您最多可以新增三個階段。 如果您想要新增第三階段,請選取 [+ 新增階段],然後完成必要的欄位。
您可以決定允許第 2 和第 3 階段檢閱者查看在先前階段中所做的決策。 若要允許他們查看先前所做的決策,則請選取 [顯示檢閱結果] 的 [向後續階段的檢閱者顯示前幾個階段的決定] 旁邊的方塊。 如果您希望檢閱者獨立檢閱,請將方塊保持未核取,以停用此設定。
每個週期的持續時間都會設定為您在每個階段中所指定持續時間天數的總和。
指定檢閱的 [檢閱週期]、[開始日期] 和 [結束日期]。 週期類型至少必須是週期的持續時間總計 (即每週檢閱週期的最大持續時間是 7 天)。
若要指定哪些檢閱者繼續進行下一個階段,請選取 [指定檢閱對象前往下一個階段] 旁邊的下列一或多個選項:
- 核准的檢閱對象 - 只有核准的檢閱對象會移至下一個階段。
- 已遭拒的檢閱對象 - 只有已遭拒的檢閱對象會移至下一個階段。
- 未檢閱的檢閱對象 - 只有未檢閱的檢閱對象會移至下一個階段。
- 被標示為「不知道」的檢閱對象 - 只有被標示為「不知道」的檢閱對象會移至下一個階段。
- 全部:如果您想要讓所有階段的檢閱者做出決策,每個人都會移至下一個階段。
繼續前往 [設定] 索引標籤,完成其餘的設定並建立檢閱。 遵循下一步:設定中的指示。
在存取權檢閱中包含存取 Teams 共用頻道的 B2B 直接連接使用者和小組
您可以透過 Microsoft Teams 中的共用頻道建立 B2B 直接連接使用者的存取權檢閱。 在外部共同作業時,可以使用 Microsoft Entra 存取權檢閱,以確保共用通道的外部存取權保持最新狀態。 共用頻道中的外部使用者稱為 B2B 直接連接使用者。 若要深入了解 Teams 共用頻道和 B2B 直接連接使用者,請參閱 B2B 直接連接一文。
當您在具有共用頻道的小組上建立存取權檢閱時,檢閱者可以在共用頻道中檢閱這些外部使用者和 Teams 的存取權持續需求。 您可以在相同的檢閱中檢閱 B2B 連接使用者和其他支援 B2B 共同作業使用者和非 B2B 內部使用者的存取權。
注意
目前,B2B 直接連接使用者和小組只會包含在單一階段檢閱中。 如果已啟用多階段檢閱,則 B2B 直接連線使用者和小組不會包括在存取權檢閱中。
B2B 直接連接使用者和小組包含在共用頻道所屬已啟用 Teams 的 Microsoft 365 群組的存取權檢閱中。 若要建立檢閱,您至少必須具有使用者系統管理員或身分識別治理系統管理員角色。
請使用下列指示,在具有共用頻道的小組上建立存取權檢閱:
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別治理] > [存取權檢閱]。
選取 [+ 新增存取權檢閱]。
選取 [小組 + 群組],然後選取 [選取小組 + 群組] 來設定 [檢閱範圍]。 B2B 直接連接使用者和小組不包含在含有來賓使用者的所有 Microsoft 365 群組檢閱中。
選取已與 1 或多個 B2B 直接連接使用者或小組共用頻道的小組。
設定 [範圍]。
- 選擇 [所有使用者] 以包含:
- 所有內部使用者
- 屬於小組成員的 B2B 共同作業使用者
- B2B 直接連接使用者
- 存取共用頻道的小組
- 或者選擇 [僅限來賓使用者],僅包含 B2B 直接連接使用者和小組與 B2B 共同作業使用者。
- 選擇 [所有使用者] 以包含:
繼續前往 [檢閱] 索引標籤。選取檢閱者以完成檢閱,然後指定 [持續時間] 和 [檢閱週期]。
注意
- 如果您將 [選取檢閱者] 設定為 [使用者檢閱自身存取權] 或 [使用者管理員],B2B 直接連接使用者和小組無法在租用戶中檢閱自己的存取權。 正在檢閱的小組擁有者會收到一封電子郵件,要求擁有者檢閱 B2B 直接連接使用者和小組。
- 如果您選取 [使用者管理員],選取的後援檢閱者將會檢閱在主租用戶中沒有管理員的任何使用者。 這包括 B2B 直接連接使用者,以及沒有管理員的小組。
移至 [設定] 索引標籤並設定其他設定。 然後移至 [檢閱和建立] 索引標籤,以開始您的存取權檢閱。 如需建立檢閱和組態設定的詳細資訊,請參閱建立單一階段存取權檢閱。
允許群組擁有者建立及管理其群組的存取權檢閱
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別治理] > [存取權檢閱] > [設定]。
在 [委派可以建立及管理存取權檢閱的人員] 頁面上,將 [群組擁有者可為自己擁有的群組建立及管理存取權檢閱] 設定為 [是]。
注意
根據預設,此設定的值為 [否]。 若要允許群組擁有者建立及管理存取權檢閱,請將設定變更為 [是]。
以程序設計方式來建立存取權檢閱
您也可以使用 Microsoft Graph 或 PowerShell 來建立存取權檢閱。
若要使用 Graph 來建立存取權檢閱,請呼叫 Graph API 以建立存取權檢閱排程定義。 呼叫者必須是適當角色中應用程式具有委派 AccessReview.ReadWrite.All
權限的使用者,或是具有 AccessReview.ReadWrite.All
應用程式權限的應用程式。 如需詳細資訊,請參閱存取權檢閱 API 概觀和教學課程,以了解如何檢閱安全性群組的成員或檢閱 Microsoft 365 群組中的來賓。
您也可以使用來自New-MgIdentityGovernanceAccessReviewDefinition
模組的 Cmdlet 以在 PowerShell 中建立存取權檢閱。 如需詳細資訊,請參閱 範例。
存取權檢閱開始時
指定存取權檢閱的設定並予以建立之後,存取權檢閱和其狀態指標會出現在您的清單中。
根據預設,Microsoft Entra ID 會在一次性檢閱或週期性檢閱開始之後立即傳送電子郵件給檢閱者。 如果選擇不讓 Microsoft Entra ID 傳送電子郵件,請務必通知檢閱者,正在等候他們完成存取權檢閱。 您可以提供群組或應用程式如何檢閱存取權的指示。 如果您的檢閱是讓來賓檢查自己的存取權,請向他們說明如何對群組或應用程式檢閱自己的存取權。
如果您已將來賓指派為檢閱者,但尚未接受其對租用戶的邀請,他們將不會收到存取權檢閱的電子郵件。 來賓必須先接受邀請,才能開始進行檢閱。
更新存取權檢閱
啟動一或多個存取權檢閱之後,您可能會想要修改或更新現有存取權檢閱的設定。 以下是一些可參考的常見案例:
更新設定或檢閱者:如果存取權檢閱是週期性的,則 [目前] 和 [序列] 下會有不同的設定。 更新 [目前] 的設定或檢閱者,只會將變更套用至目前的存取權檢閱。 更新 [序列] 下的設定會更新所有未來週期的設定。
新增和移除檢閱者:更新存取權檢閱時,除了主要檢閱者之外,您還可以選擇新增後援檢閱者。 當您更新存取權檢閱時,可能會移除主要檢閱者。 依設計,後援檢閱者不會被移除。
注意
只有當檢閱者類型是經理或群組擁有者時,才能加入後援檢閱者。 當檢閱者類型為選取的使用者時,可以新增主要檢閱者。
提醒檢閱者:更新存取權檢閱時,您可以選擇啟用 [進階設定] 下的 [提醒] 選項。 使用者接著會在檢閱期間的中間點收到電子郵件通知,不論他們是否已完成檢閱。
注意
起始存取權檢閱之後,您可以使用 contactedReviewers API 呼叫,來查看透過電子郵件通知進行存取權檢閱的所有檢閱者清單或已關閉通知的使用者。 也會提供這些使用者收到通知時的時間戳記。