規劃 Microsoft Entra 存取權檢閱部署
Microsoft Entra 存取權檢閱可協助您的組織讓企業更安全,方法是管理其資源存取權生命週期。 使用存取權檢閱,您可以:
排定定期檢閱或進行特定檢閱,以探索誰可以存取特定資源,例如應用程式和群組。
基於深入解析、合規性或原則原因追蹤檢閱。
將檢閱委派給特定管理員、商務擁有者,或可自行證明需要繼續存取的使用者。
使用深入解析來有效率地判斷使用者是否應該繼續擁有存取權。
將檢閱結果自動化,例如移除使用者的資源存取權。
存取權檢閱是 Microsoft Entra ID 控管功能。 其他功能為權利管理、Privileged Identity Management (PIM)、生命週期工作流程、佈建,和使用規定。 它們合起來可協助您解決下列四個問題:
- 哪些使用者應具備哪些資源的存取權?
- 這些使用者使用該存取權進行哪些工作?
- 是否有有效的組織控制項可管理存取權?
- 稽核者是否可驗證控制項是否正在處理中?
務必規劃您的存取權檢閱部署,以確保您為組織中的使用者實現您所需的治理策略。
重點優勢
啟用存取權檢閱的主要權益如下:
- 控制共同作業:存取權檢閱可讓您管理使用者所需一切資源的存取權。 當使用者共用和共同作業時,您可以確保資訊只會在授權的使用者之間。
- 管理風險:存取權檢閱提供一種方式,可讓您檢閱資料和應用程式的存取權,從而降低資料外洩和資料溢寫的風險。 如此,您可以定期檢閱外部合作夥伴對公司資源的存取權。
- 處理合規性與治理:使用存取權檢閱,您可以治理和重新認證群組、應用程式和網站的存取權生命週期。 您可以針對組織特定的合規性或風險敏感應用程式控制並追蹤其檢閱。
- 降低成本:存取權檢閱內建於雲端中,並以原生方式使用雲端資源,例如群組、應用程式和存取套件。 使用存取權檢閱比起建置您自己的工具,或以別的方式升級內部部署工具集,成本更低。
訓練資源
下列影片可協助您了解存取權檢閱:
- 什麼是 Microsoft Entra ID 中的存取權檢閱?
- 如何在 Microsoft Entra ID 中建立存取權檢閱
- 如何為可以存取 Microsoft Entra ID 中 Microsoft 365 群組的所有來賓使用者建立自動存取權檢閱
- 如何在 Microsoft Entra ID 中啟用存取權檢閱
- 如何使用我的存取權來檢閱存取權
授權
此功能需要貴組織的使用者 Microsoft Entra ID Governance 或 Microsoft Entra Suite 訂用帳戶。 這項功能中的某些功能可以使用 Microsoft Entra ID P2 訂用帳戶進行作業。 如需詳細資訊,請參閱每個功能的文章以取得詳細資料。 若要找到適合您需求的授權,請參閱 Microsoft Entra ID 控管授權基本概念。
注意
若要建立非使用中使用者的檢閱,並使用使用者對群組的關係,建議需要 Microsoft Entra ID 控管授權。
規劃存取權檢閱部署專案
請考慮組織需要判斷在您的環境中部署存取權檢閱的策略。
包含正確的專案關係人
當技術專案失敗時,其通常是因為人員對影響、結果與責任抱持不相符的預期而造成。 若要避免這些錯誤,請確保您吸引合適的專案關係人 \(英文\),且專案角色是明確的。
針對存取權檢閱,您可能會在組織內包含下列小組的代表:
IT 管理可管理您的 IT 基礎結構,並管理您的雲端投資和軟體即服務 (SaaS) 應用程式。 這個小組:
- 檢閱基礎結構和應用程式的特殊權限存取,包括 Microsoft 365 和 Microsoft Entra ID。
- 在用來維護例外狀況清單或 IT 試驗專案的群組上,排定並執行存取權檢閱,以維護最新的存取清單。
- 確保透過服務主體對資源的程式化 (指令碼化) 存取會受到治理和檢閱。
- 自動化使用者上線和離線、存取要求和存取認證等程序。
安全性小組會確保計劃符合組織的安全性需求,並強制執行零信任。 這個小組:
- 降低風險並強化安全性
- 強制執行對資源和應用程式的最低權限存取
- 使用工具來查看集中式授權來源、誰可以存取哪些內容,以及存取時間長度。
開發小組會為您的組織建置和維護應用程式。 這個小組:
- 控制誰可以存取和管理 SaaS 中的元件、平台即服務 (PaaS) ,以及基礎結構即服務 (IaaS) 資源,而這些資源包含開發的解決方案。
- 管理可以存取應用程式和工具進行內部應用程式開發的群組。
- 需要特殊權限身分識別,才能存取為您客戶所裝載的生產軟體或解決方案。
業務單位會管理專案和應用程式。 這個小組:
- 針對內部和外部使用者,檢閱並核准或拒絕群組和應用程式的存取權。
- 排定並執行檢閱,以證明員工和外部身分識別 (例如商務合作夥伴) 的持續存取權。
- 需要員工具備其工作所需應用程式的存取權。
- 允許部門管理其使用者的存取權。
公司治理確保組織遵循內部原則並遵守法規。 這個小組:
- 要求或排定新的存取權檢閱。
- 評估檢閱存取權的流程和程序,其中包含為了合規性而保留的文件和記錄。
- 針對最關鍵的資源,檢閱其過去的檢閱結果。
- 驗證正確的控制項已就緒,以符合強制安全性和隱私權原則。
- 需要易於稽核和報告的可重複存取程序。
注意
針對需要手動評估的檢閱,請規劃適當的檢閱者和檢閱週期,以符合您的原則和合規性需求。 如果檢閱週期太頻繁,或檢閱者太少,則可能會失去品質,或可能具有存取權的人太多或太少。 建議您為參與存取權檢閱的各個專案關係人和部門建立明確的責任。 參加的所有團隊和個人都應該了解各自的角色和義務,以維護最低權限準則。
方案通訊
溝通對於任何新商務流程的成功都非常重要。 主動向使用者傳達其體驗將如何及何時變更。 告知他們在遇到問題時如何取得支援。
傳達責任中的變更
存取權檢閱支援將檢閱和對持續存取採取行動的責任轉移給企業擁有者。 將存取決策與 IT 部門分開可推動更精確的存取決策。 此轉移是資源擁有者責任中的文化變更。 主動傳達此變更,並確保資源擁有者已定型,而且能夠使用深入解析來作出良好的決策。
IT 部門想要掌控所有基礎結構相關的存取決策和特殊權限角色指派。
自訂電子郵件通訊
排定檢閱時,您會推薦將執行此檢閱的使用者。 然後,這些檢閱者會收到電子郵件,通知他們已獲指派的新檢閱,而且系統會在指派給他們的檢閱到期之前提醒他們。
您可以自訂傳送給檢閱者的電子郵件,以包含鼓勵他們在檢閱時採取行動的簡短訊息。 使用額外的文字:
包含檢閱者的個人訊息,讓他們了解其是由您的合規性或 IT 部門所傳送的。
包含內部資訊的參考,此資訊關於針對檢閱有何期望以及額外的參考資料或訓練教材。
在您選取 [開始檢閱] 之後,檢閱者將會導向至我的存取權入口網站,以進行群組和應用程式存取權檢閱。 入口網站會向可存取所要檢閱資源的所有使用者提供概觀資訊,以及根據上次登入和存取權資訊的系統建議。
規劃試驗
我們鼓勵客戶一開始先試驗小型群組的存取權檢閱,並以非關鍵性的資源為目標。 試驗可協助您視需要調整流程和通訊。 其可協助您提高使用者和檢閱者符合安全性和合規性需求的能力。
在您的試驗中,我們建議您:
- 從不會自動套用結果的檢閱開始,而且您可以控制可能的影響。
- 確保所有使用者都有 Microsoft Entra ID 中列出的有效電子郵件地址。 確認他們會收到電子郵件通訊,以採取適當的動作。
- 記錄在試驗過程中移除的任何存取權,以防您需要快速還原。
- 監視稽核記錄,以確保已正確地稽核所有事件。
如需詳細資訊,請參閱最佳試驗做法。
存取權檢閱簡介
本節簡介在規劃檢閱之前,您應該知道的存取權檢閱概念。
哪些資源類型可供檢閱?
在您將組織的資源 (例如使用者、應用程式和群組) 與 Microsoft Entra ID 整合之後,就可以管理和檢閱這些資源。
一般的檢閱目標包括:
- 與 Microsoft Entra ID 整合以進行單一登入的應用程式,例如 SaaS 和企業營運。
- 同步至 Microsoft Entra ID,或在 Microsoft Entra ID 或 Microsoft 365 (包括 Microsoft Teams) 中建立的群組成員資格。
- 存取套件,其可將群組、應用程式和網站之類資源分組成單一套件以管理存取權。
- Microsoft Entra 角色和 Azure 資源角色,如 PIM 中所定義。
誰可以建立及管理存取權檢閱?
建立、管理或讀取存取權檢閱所需的系統管理角色,取決於要檢閱其成員資格的資源類型。 下表代表每個資源類型所需的角色。
資源類型 | 建立及管理存取權檢閱 (建立者) | 讀取存取權檢閱結果 |
---|---|---|
群組或應用程式 | 全域管理員 使用者管理員 身分識別控管系統管理員 特殊權限角色管理員 (只會針對 Microsoft Entra 角色可指派的群組進行檢閱) 群組擁有者 (如果已被管理員啟用) |
全域系統管理員 全域讀取者 使用者管理員 身分識別控管系統管理員 特殊權限角色管理員 安全性讀取者 群組擁有者 (如果已被管理員啟用) |
Microsoft Entra 角色 | 全域管理員 特殊權限角色管理員 |
全域系統管理員 全域讀取者 使用者管理員 特殊權限角色管理員
安全性讀取者 |
Azure 資源角色 | 使用者存取管理員 (適用於資源) 資源擁有者 具有 Microsoft.Authorization/* 權限的自訂角色。 |
使用者存取管理員 (適用於資源) 資源擁有者 讀取器 (適用於資源) 具有 Microsoft.Authorization/*/read 權限的自訂角色。 |
存取套件 | 全域系統管理員 身分識別控管系統管理員 目錄擁有者 (適用於存取套件) 存取套件管理員 (適用於存取套件) |
全域系統管理員 全域讀取者 使用者管理員 身分識別控管系統管理員 目錄擁有者 (適用於存取套件) 存取套件管理員 (適用於存取套件) 安全性讀取者 |
如需詳細資訊,請參閱 Microsoft Entra ID 中的管理員角色權限。
誰負責檢閱資源的存取權?
存取權檢閱的建立者會在建立時決定將執行檢閱的人員。 在啟動檢閱之後,無法變更此設定。 代表檢閱者如下:
- 資源擁有者,即資源的商務擁有者。
- 個別選取的委派,如存取權檢閱管理員所選擇的。
- 自我證明其需要持續存取的使用者。
- 管理員會檢閱其下屬對資源的存取權。
注意
當您選取 [資源擁有者] 或 [管理員] 時,系統管理員會指定後援檢閱者,如果主要連絡人沒有空,則會連絡這些檢閱者。
當您建立存取權檢閱時,管理員可以選擇一或多個檢閱者。 所有檢閱者都可以藉由選擇使用者繼續存取資源或將其移除,來開始並施行檢閱。
存取權檢閱的元件
在您執行存取權檢閱之前,請先規劃與您組織相關的檢閱類型。 若要這樣做,您必須針對您想要檢閱的內容,以及根據這些檢閱要採取的動作做出商務決策。
若要建立存取權檢閱原則,您必須具有下列資訊。
要檢閱哪些資源?
正在檢閱哪些人的存取權?
進行檢閱的頻率為何?
誰將執行檢閱?
- 檢閱者如何得知要執行檢閱?
- 要針對哪些哪些時間表強制執行檢閱?
應根據檢閱措施強制執行哪些自動動作?
- 如果檢閱者沒有及時回應,會發生什麼事?
根據檢閱,會採取哪些手動動作?
應該根據採取的動作來傳送哪些通訊?
範例存取權檢閱方案
元件 | 值 |
---|---|
要檢閱的資源 | 存取 Microsoft Dynamics。 |
檢閱頻率 | 每月。 |
誰執行檢閱 | 動態商務群組方案管理員。 |
通知 | 電子郵件會在檢閱開始時傳送給別名 Dynamics-Pms。 包含對檢閱者鼓勵的自訂訊息,以得到其支持。 |
時間軸 | 通知後 48 小時。 |
自動動作 | 從安全性群組動態存取移除使用者,以移除在 90 天內沒有互動式登入的任何帳戶存取權。 「如果未在時間表內檢閱,請採取行動。」 |
手動動作 | 如果需要的話,檢閱者可以在自動執行動作之前進行移除核准。 |
根據存取權檢閱來自動執行動作
您可以選擇自動移除存取權,方法為將 [自動將結果套用至資源] 選項設定為 [啟用]。
在完成並結束檢閱之後,檢閱者未核准的使用者將會自動從資源中移除,或繼續保有存取權。 選項可能表示移除其群組成員資格或其應用程式指派,或撤銷其提升至特殊權限角色的權利。
採納建議
系統會向檢閱者顯示建議,作為檢閱者體驗的一部分,並指出哪個人上次登入租用戶或上次存取應用程式。 此資訊可協助檢閱者提供正確的存取權決策。 選取 [採納建議] 會遵循存取權檢閱的建議。 在存取權檢閱結束時,系統會自動將這些建議套用至檢閱者尚未對其做出回應的使用者。
建議是以存取權檢閱中的準則為基礎。 例如,如果您將檢閱設定為移除 90 天沒有互動式登入的存取,則建議就是應該移除符合該準則的所有使用者。 Microsoft 持續致力於強化建議內容。
檢閱來賓使用者的存取權
使用存取權檢閱來檢閱和清除來自外部組織的共同作業合作夥伴身分識別。 每個合作夥伴檢閱的設定可能滿足合規性需求。
外部身分識別可獲授與公司資源的存取權。 這可以:
- 已新增至群組。
- 已受邀至 Teams。
- 已指派給企業應用程式或存取套件。
- 已指派 Microsoft Entra ID 或 Azure 訂用帳戶中的特殊權限角色。
如需詳細資訊,請參閱範例指令碼。 指令碼說明在何處使用受邀加入租用戶的外部身分識別。 您可以在 Microsoft Entra ID 中查看外部使用者的群組成員資格、角色指派和應用程式指派。 指令碼不會顯示 Microsoft Entra ID 以外的任何指派,例如,在沒有使用群組的情況下,直接指派 SharePoint 資源的權限。
建立群組或應用程式的存取權檢閱時,您可以選擇讓檢閱者專注於 [所有使用者] 或 [僅限來賓使用者]。 藉由選取 [僅限來賓使用者],檢閱者會獲得專注清單,其中列出 Microsoft Entra 企業對企業 (B2B) 中可以存取資源的外部身分識別。
重要
此清單「不會」包含 userType 為 member 的外部成員。 此清單也「不會」包含在 Microsoft Entra B2B 共同作業之外受邀的使用者。 範例是那些可以直接透過 SharePoint 存取共用內容的使用者。
規劃存取套件的存取權檢閱
存取套件可以大幅簡化您的治理和存取權檢閱原則。 使用者在處理專案或執行其工作時需要各種存取權,而存取套件集結了具有這些存取權的所有資源。 例如,您可能想要建立存取套件,其中包含您組織中開發人員所需的所有應用程式,或外部使用者應該可以存取的所有應用程式。 管理員或受委派的存取套件管理員接著會將資源 (群組或應用程式) 分組,以及使用者要使用這些資源所需的角色。
建立存取套件時,您可以建立一或多個存取套件原則,設定使用者可要求存取套件的條件、核准流程的外觀,以及人員必須重新要求存取權或存取權檢閱的頻率。 當您建立或編輯存取這些套件原則時,系統會設定存取權檢閱。
選取 [生命週期] 索引標籤,並向下滾動以存取檢閱。
規劃群組的存取權檢閱
除了存取套件之外,檢閱群組成員資格是治理存取權最有效的方式。 透過安全性群組或 Microsoft 365 群組指派資源的存取權。 將使用者新增至這些群組以取得存取權。
系統可以授與單一群組所有適當資源的存取權。 您可以將群組存取權指派給個別資源,或指派給將應用程式和其他資源分組的存取套件。 使用這個方法,您可以檢查群組的存取權,而不是每個應用程式的個別存取權。
群組成員資格可透過下列方式檢閱:
- 系統管理員。
- 群組擁有者。
- 在建立檢閱時獲委派檢閱功能的選定使用者。
- 自我證明的群組成員。
- 檢閱其下屬存取權的經理。
群組所有權
群組擁有者會檢閱成員資格,因為他們最有資格知道誰需要存取權。 群組的擁有權與群組的類型不同:
在 Microsoft 365 以及 Microsoft Entra ID 中建立的群組,有一或多個定義完善的擁有者。 在大部分的情況下,這些擁有者會為自己的群組建立恰當的檢閱者,因為他們知道誰應該擁有存取權。
例如,Microsoft Teams 使用 Microsoft 365 群組作為基礎授權模型,將 SharePoint、Exchange、OneNote 或其他 Microsoft 365 服務中的資源存取權授與使用者。 小組的建立者會自動成為擁有者,且應負責證明該群組的成員資格。
在 Microsoft Entra 系統管理中心手動建立的群組,或透過 Microsoft Graph 撰寫指令碼建立的群組,可能不一定會定義擁有者。 透過 Microsoft Entra 系統管理中心,在群組的 [擁有者] 區段中或透過 Microsoft Graph 來定義它們。
從內部部署同步的群組 Active Directory 不能具有 Microsoft Entra ID 中的擁有者。 當您為他們建立存取權檢閱時,請選取最適合決定其中成員資格的個人。
注意
定義商務原則來定義如何建立群組,以確保明確的群組擁有權,以及定期檢閱成員資格的責任。
在條件式存取原則中檢閱排除群組的成員資格
若要了解如何檢閱排除群組的成員資格,請參閱使用 Microsoft Entra 存取權檢閱來管理從條件式存取原則中排除的使用者。
檢閱來賓使用者的群組成員資格
若要了解如何檢閱來賓使用者對群組成員資格的存取權,請參閱使用 Microsoft Entra 存取權檢閱來管理來賓存取權。
檢閱內部部署群組的存取權
存取權檢閱無法變更您從內部部署 AD 與 Microsoft Entra Connect 同步的群組成員資格。 此限制是因為源自 AD 的群的授權單位來源為內部部署 AD。 若要控制 AD 群組型應用程式的存取權,請使用 Microsoft Entra Cloud 同步群組回寫。
在您移轉至具有群組回寫的 Microsoft Entra 群組之前,您仍然可以使用存取權檢閱來排程和維護現有內部部署群組的定期檢閱。 在此情況下,系統管理員會在每次檢閱完成後,在內部部署群組中採取動作。 此策略會將存取權檢閱保留為所有檢閱的工具。
您可以使用內部部署群組進行存取權檢閱的結果,並進一步處理這些結果,方法是:
- 從存取權檢閱下載 CSV 報告,並手動採取動作。
- 使用 Microsoft Graph 以程式設計方式擷取已完成存取權檢閱中的決策結果。
例如,若要針對 Windows Server AD 受控群組擷取結果,請使用此 PowerShell 範例指令碼。 此指令碼概述了必要的 Microsoft Graph 呼叫,並匯出 Windows Server AD PowerShell 命令以執行變更。
規劃應用程式的存取權檢閱
當您檢閱指派給應用程式的每個人時,您正在檢閱使用者,包括員工和外部身分識別,他們可以使用其 Microsoft Entra 身分識別向該應用程式進行驗證。 需要知道誰可以存取特定應用程式,而不是存取套件或群組時,請選擇檢閱應用程式。
在下列案例中規劃應用程式的檢閱:
- 系統授與使用者直接存取應用程式的權限 (在群組或存取套件之外)。
- 應用程式會公開重要或敏感性資訊。
- 應用程式具有您必須證明的特定合規性需求。
- 您懷疑授與了不適當的存取權。
建立應用程式的存取權檢閱之前,應用程式必須與 Microsoft Entra ID 整合為租用戶中的應用程式、具有指派給應用程式角色的使用者,以及應用程式上的 [需要使用者指派?] 選項設定為 [是]。 如果將其設定為 [否],您目錄中的所有使用者 (包括外部身分識別) 都可以存取應用程式,而且您無法檢閱應用程式的存取權。
然後指派您想要檢閱存取權的使用者和群組。
深入瞭解如何準備使用者對應用程式的存取權檢閱。
應用程式檢閱者
存取權檢閱可為適用於群組的成員,或適用於已指派給應用程式的使用者。 Microsoft Entra ID 中的應用程式不一定要有擁有者,這也是為什麼選取應用程式擁有者作為檢閱者的選項並不可能發生。 您可以進一步搜尋檢閱範圍,只檢閱指派給應用程式的來賓使用者,而不檢閱所有存取權。
規劃 Microsoft Entra ID 和 Azure 資源角色的檢閱
Privileged Identity Management 簡化了企業管理以特殊權限身分存取 Microsoft Entra ID 中資源的方式。 使用 PIM 可讓 Microsoft Entra ID 和 Azure 資源中的特殊權限角色清單小很多。 其也會增加目錄的整體安全性。
存取權檢閱可讓檢閱者證明使用者是否仍需要是某個角色。 就像存取套件的存取權檢閱一樣,Microsoft Entra 角色和 Azure 資源的檢閱也會整合至 PIM 管理員使用者體驗。
定期檢閱下列角色指派:
- 全域系統管理員
- 使用者管理員
- 特殊權限驗證管理員
- 條件式存取系統管理員
- 安全性系統管理員
- 所有 Microsoft 365 和 Dynamics 服務管理角色
檢閱的角色包括永久和合格的指派。
在 [檢閱者] 區段中,選取一或多個人員來檢閱所有使用者。 或者,您可以選取 [管理員],讓管理員檢閱他們所管理人員的存取權,或選取 [成員 (自我)],讓成員檢閱自己的存取權。
部署存取權檢閱
在您準備好策略和方案,針對與 Microsoft Entra ID 整合的資源檢閱其存取權之後,請使用下列資源來部署和管理檢閱。
定義存取套件
為了降低過時存取的風險,系統管理員可以定期檢閱對存取套件具有作用中指派的使用者。 請遵循表格中所列文章中的指示進行。
操作說明文章 | 描述 |
---|---|
建立存取權檢閱 | 啟用存取套件的檢閱。 |
執行存取權檢閱 | 針對指派給存取套件的其他使用者執行存取權檢閱。 |
自我檢閱指派的存取套件 | 自行檢閱指派的存取套件。 |
注意
自行檢閱並說出他們不再需要存取權的使用者,不會立即從存取套件中移除。 當檢閱結束時,或如果管理員停止檢閱,它們便會從存取套件中移除。
檢閱群組和應用程式
員工和來賓對於群組和應用程式的存取權需求可能會隨著時間而變更。 為了降低過時存取權指派的相關風險,系統管理員可以建立群組成員或應用程式存取的存取權檢閱。 請遵循表格中所列文章中的指示進行。
操作說明文章 | 描述 |
---|---|
建立存取權檢閱 | 為群組成員或應用程式存取權建立一或多個存取權檢閱。 |
執行存取權檢閱 | 針對可存取應用程式的群組成員或使用者建立存取權檢閱。 |
自行檢閱您的存取權 | 允許成員檢閱自己對群組或應用程式的存取權。 |
完成存取權檢閱 | 檢視存取權檢閱並套用結果。 |
對內部部署群組採取動作 | 使用範例 PowerShell 指令碼來處理內部部署群組的存取權檢閱。 |
檢閱 Microsoft Entra 角色
若要減少與過時角色指派相關聯的風險,請定期檢閱特殊權限 Microsoft Entra 角色的存取權。
請遵循表格中所列文章中的指示進行。
操作說明文章 | 描述 |
---|---|
建立存取權檢閱 | 在 PIM 中建立特殊權限 Microsoft Entra 角色的存取權檢閱。 |
自行檢閱您的存取權 | 如果您指派給系統管理角色,請核准或拒絕角色的存取權。 |
完成存取權檢閱 | 檢視存取權檢閱並套用結果。 |
檢閱 Azure 資源角色
若要減少與過時角色指派相關聯的風險,請定期檢閱特殊權限 Azure 資源角色的存取權。
請遵循表格中所列文章中的指示進行。
操作說明文章 | 描述 |
---|---|
建立存取權檢閱 | 在 PIM 中建立特殊權限 Azure 資源角色的存取權檢閱。 |
自行檢閱您的存取權 | 如果您指派給系統管理角色,請核准或拒絕角色的存取權。 |
完成存取權檢閱 | 檢視存取權檢閱並套用結果。 |
使用存取權檢閱 API
若要與可檢閱的資源互動並加以管理,請參閱 Microsoft Graph API 方法和角色和應用程式權限授權檢查。 Microsoft Graph API 中的存取權檢閱方法適用於應用程式和使用者內容。 當您在應用程式內容中執行指令碼時,用來執行 API 的帳戶 (服務主體) 必須獲授與 AccessReview.Read.All,才能查詢存取權檢閱資訊。
使用 Microsoft Graph API 進行存取權檢閱來自動化的熱門存取權檢閱工作如下:
- 建立並開始存取權檢閱。
- 在排程結束之前,手動結束存取權檢閱。
- 列出所有執行中的存取權檢閱及其狀態。
- 請參閱檢閱系列的歷程記錄,以及每次檢閱所採取的決策和動作。
- 從存取權檢閱收集決策。
- 從已完成的檢閱中收集決策,檢閱者在這些檢閱中做出與系統建議不同的決策。
當您建立新的 Microsoft Graph API 查詢進行自動化時,請使用 Graph 總管來建置和探索 Microsoft Graph 查詢,然後再將它們放入指令碼和程式碼中。 此步驟可協助您快速地逐一執行查詢,以便確切地取得您正在尋找的結果,而不需變更指令碼的程式碼。
監視存取權檢閱
存取權檢閱活動會記錄下來,並且可從 Microsoft Entra 稽核記錄中取得。 您可以篩選類別目錄、活動類型和日期範圍的稽核資料。 以下是查詢範例。
類別 | 原則 |
---|---|
活動類型 | 建立存取權檢閱 |
更新存取權檢閱 | |
存取權檢閱結束 | |
刪除存取權檢閱 | |
核准決策 | |
拒絕決策 | |
重設決策 | |
套用決策 | |
日期範圍 | 七天 |
如需更進階地查詢和分析存取權檢閱,以及追蹤檢閱的變更和完成,請將您的 Microsoft Entra 稽核記錄匯出至 Azure Log Analytics 或 Azure 事件中樞。 當稽核記錄儲存在 Log Analytics 中時,您可以使用功能強大的分析語言並建置您自己的儀表板。
下一步
深入了解下列相關技術: