描述存取權檢閱
Microsoft Entra 存取權檢閱可讓組織有效地管理群組成員資格、對企業應用程式的存取,以及角色指派。 定期存取權檢閱可確保只有適當的人員可存取資源。 過多的存取權限是已知的安全性風險。 不過,當使用者在小組之間移動,或承擔或放棄責任時,可能很難控制存取權限。
Microsoft Entra ID 可讓您與組織內部與外部使用者共同作業。 使用者可以加入群組、邀請來賓、連線至雲端應用程式,以及從他們的工作或個人裝置遠端工作。 由於此種便利性,因此需要更好的存取管理功能。
有許多使用案例應該使用存取權檢閱。 此處僅是幾個範例。
- 太多使用者具有特殊權限角色:您最好檢查有多少使用者擁有系統管理存取權,以及是否有任何受邀來賓或合作夥伴未在受指派執行系統管理工作之後移除。 您可以針對 Microsoft Entra 角色 (例如,全域管理員) 或 Microsoft Entra Privileged Identity Management (PIM) 體驗中的 Azure 資源角色 (例如,使用者存取管理員),重新認證其中的角色指派使用者。
- 業務關鍵資料存取:對於某些資源,例如業務關鍵應用程式,可能需要作為合規性程序的一部分,要求人員定期重新確認,並提出為何需要繼續存取的理由。
- 若要維護原則的例外狀況清單:有時候有商務案例要求您對原則進行例外狀況。 身為 IT 系統管理員,您可以管理這項工作,並向稽核人員證明您有定期檢閱這些例外狀況。
- 要求群組擁有者確認他們仍然需要群組中的來賓:如果有群組賦予來賓存取商務機密內容的權限,該群組的擁有者就有責任確認其來賓仍有合理獲得存取權的商務需求。
- 反覆定期檢閱:您可以設定以一定的頻率 (例如,每週、每月、每季或每年) 定期檢閱使用者的存取權。 檢閱者在每次檢閱開始時都會收到通知,並在完成時透過好用的使用者介面和智慧型建議的協助核准或拒絕存取。
使用存取權檢閱管理使用者和來賓使用者存取權
透過存取權檢閱,您可以輕易地確認使用者或來賓是否有適當的存取權。 您可藉由要求使用者本身或決策者參與存取權檢閱,並重新證實 (或「證明」) 使用者的存取權。 檢閱者可以根據來自 Microsoft Entra 識別碼的建議,對需要持續存取的每個使用者提供其意見。 存取權檢閱完成時,您可接著進行變更並為使用者移除不再需要的存取權。
建立存取權檢閱的系統管理員可以在檢閱者完成流程時追蹤進度。 檢閱結束前無法變更存取權限。 不過,您可以在排程結束之前停止檢閱。
完成檢閱之後,您可以設定為手動或自動套用變更,以從群組成員資格或應用程式指派中移除存取權,除了動態群組或源自內部部署的群組之外。 在這些情況下,必須將變更直接套用到群組。
多階段存取權檢閱
Microsoft Entra 存取權檢閱最多支援三個檢閱階段,其中多個檢閱者類型會參與判斷誰仍然需要公司資源的存取權。
多階段存取權檢閱可讓您和組織啟用複雜的工作流程,以符合重新憑證和稽核需求,要求多個檢閱者證明在特定序列中存取使用者。 它也可藉由減少每個檢閱者負責的決策數目,協助您為資源擁有者和稽核員設計更有效率的檢閱。
