在 Microsoft Entra ID 中建立群組 PIM 的存取權檢閱 (預覽)

本文說明如何為「PIM for Groups」建立一個或多個存取審核，這些審核將包括群組的現有成員和合格成員。 您可以對群組中在檢閱建立時處於活動狀態的成員，以及符合資格的成員進行檢閱。

必要條件

使用此功能需要Microsoft Entra ID Governance 或 Microsoft Entra Suite 授權。 若要尋找您需求的正確授權，請參閱 Microsoft Entra ID Governance 授權基本概念。

建立群組 PIM 存取權檢閱

範圍

1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別治理] > [存取權檢閱] > [檢閱歷程記錄]。

3. 選取 [新增存取權檢閱] 來建立新的存取權檢閱。

   

4. 在 [選取要檢閱的內容] 方塊中，選取 [小組 + 群組]。

   

5. 選取 [小組 + 群組]，然後選取 [檢閱範圍] 底下的 [選取小組 + 群組]。 要從中選擇的群組清單會出現在畫面上。

   

注意

選取群組的 PIM 時，檢閱的群組使用者包括該群組中的所有合格使用者和現有使用者。

6. 現在您可以選取要檢閱的範圍。 您的選項如下：

   • 僅限來賓使用者：此選項會將存取權檢閱僅限定為您目錄中的 Microsoft Entra B2B 來賓使用者。
   • 所有人：此選項會將存取權檢閱的範圍設為與資源相關聯的所有使用者物件。

7. 若要進行群組成員資格檢閱，則可以只為群組中的非使用中使用者建立存取權檢閱。 在 [使用者範圍] 區段中，勾選 [租用戶層級上的非作用中使用者] 旁的框。 如果您勾選此方塊，檢閱的範圍將僅針對未登入系統的使用者，即既未以互動方式也未以非互動方式登入此租用戶的非活躍使用者。 然後，將 閒置天數 指定為最多可達 730 天（兩年）。 群組中在指定天數內未使用的使用者是檢閱中唯一的使用者。

注意

設定閑置時間時，最近建立的使用者不會受到影響。 存取權檢閱會檢查是否已在設定的時間範圍內建立使用者，並排除那些未存在至少該段時間的使用者。 例如，如果您將閑置時間設定為90天，且來賓使用者是在90天前建立或邀請的，來賓使用者將不會位於存取權檢閱的範圍內。 這可確保使用者在遭到移除之前至少可登入一次。

8. 選取下一步：檢閱。

到達此步驟之後，您可以遵循 建立群組或應用程式的存取權檢閱 文章中的 下一步：檢閱 所述的指示來完成存取權檢閱。

注意

針對群組的 PIM 存取權檢閱（預覽），選取群組擁有者作為檢閱者時，必須至少指派一個後援檢閱者。 該檢閱只會將活躍擁有者指派為檢閱者。 符合資格的擁有者不包含在內。 如果檢閱開始時沒有活躍擁有者，則會將後援檢閱者指派給檢閱。

下一步

• 建立群組或應用程式的存取權檢閱
• 核准群組成員和擁有者的 PIM 啟用要求 (預覽)