在 Microsoft Entra ID 中建立群組 PIM 的存取權檢閱 (預覽)
本文說明如何為群組 PIM 建立一或多個存取權檢閱,其中將包括群組的使用中成員以及合格成員。 您可以針對群組的作用中成員 (在檢閱建立時為作用中狀態) 以及群組的合格成員執行檢閱。
必要條件
使用此功能需要Microsoft Entra ID Governance 或 Microsoft Entra Suite 授權。 若要尋找您需求的正確授權,請參閱 Microsoft Entra ID Governance 授權基本概念。
建立群組 PIM 存取權檢閱
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
範圍
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別治理] > [存取權檢閱] > [檢閱歷程記錄]。
選取 [新增存取權檢閱] 來建立新的存取權檢閱。
在 [選取要檢閱的內容] 方塊中,選取 [小組 + 群組]。
選取 [小組 + 群組],然後選取 [檢閱範圍] 底下的 [選取小組 + 群組]。 要從中選擇的群組清單會出現在畫面上。
注意
選取群組 PIM 時,該群組正在進行檢閱的使用者將會包括該群組中的所有合格使用者和使用中使用者。
現在您可以選取要檢閱的範圍。 您的選項如下:
- 僅限來賓使用者:此選項會將存取權檢閱僅限定為您目錄中的 Microsoft Entra B2B 來賓使用者。
- 所有人:此選項會將存取權檢閱的範圍設為與資源相關聯的所有使用者物件。
若要進行群組成員資格檢閱,則可以只為群組中的非使用中使用者建立存取權檢閱。 在 [使用者範圍] 區段中,核取 [非作用中使用者 (租用戶層級)] 旁的方塊。 如果您核取此方塊,檢閱的範圍僅著重於非使用中使用者、未以互動方式或非互動方式登入租用戶的使用者。 然後,為 [非使用中天數] 指定非使用中天數,最多 730 天 (兩年)。 群組中在指定天數內未使用的使用者是檢閱中唯一的使用者。
注意
設定閒置時間時,最近建立的使用者不會受到影響。 存取權檢閱會檢查使用者是否在設定的時間範圍內建立,並忽略至少在該時間段內不存在的使用者。 例如,如果您將非使用中狀態時間設定為 90 天,且來賓使用者的建立或邀請時間不到 90 天,則該來賓使用者將不在存取權檢閱的範圍內。 這可確保使用者在遭到移除之前至少可登入一次。
- 選取 [下一步:檢閱]。
到達此步驟之後,您可以遵循下一步:建立群組或應用程式存取權檢閱文章中的檢閱中所述的指示來完成存取權檢閱。
注意
對於群組 PIM (預覽版) 的存取權檢閱,在選取群組擁有者作為檢閱者時,必須至少指派一個後援檢閱者。 該檢閱只會將活躍擁有者指派為檢閱者。 不包含合格的擁有者。 如果檢閱開始時沒有活躍擁有者,則會將後援檢閱者指派給檢閱。