在 Azure AD 存取權檢閱中完成群組與應用程式的存取權檢閱

身為管理員,您會建立群組或應用程式存取權檢閱,檢閱者會執行存取權檢閱。 本文說明如何查看存取權檢閱的結果並加以套用。

注意

本文提供關於如何從裝置或服務刪除個人資料的步驟,並且可以用來支援遵循 GDPR 的義務。 如需 GDPR 的一般資訊,請參閱 Microsoft 信任中心的 GDPR 區段服務信任入口網站的 GDPR 區段

必要條件

  • Azure AD Premium P2
  • 全域管理員、使用者管理員或 Identity Governance 管理員,可管理群組和應用程式檢閱的存取權。 全域管理員和特殊權限角色管理員可以管理角色可指派群組的檢閱,請參閱使用 Azure AD 群組管理角色指派 (機器翻譯)
  • 安全性讀取者有讀取存取。

如需詳細資訊,請參閱授權需求

檢視存取權檢閱的狀態

您可以隨著完成存取權檢閱,追蹤進度。

  1. 登入 Azure 入口網站,然後開啟 Identity Governance 頁面

  2. 在左側功能表中,按一下 [存取權檢閱]。

  3. 在清單中,按一下 [存取權檢閱]。

    在 [概觀] 頁面上,您可以看到檢閱 [目前] 執行個體的進度。 如果目前未開啟使用中的執行個體,您會看到先前執行個體的資訊。 在完成檢閱之前,不會變更目錄中的任何存取權限。

    檢閱所有公司群組

    只有在每個檢閱執行個體期間,才可檢視 [目前] 中的所有刀鋒視窗。

    注意

    雖然 [目前] 存取權檢閱只會顯示使用中檢閱執行個體相關資訊,但您可以在 [已排程的檢閱] 區段 [系列] 中,取得尚未進行的檢閱相關資訊。

    [結果] 頁面會提供執行個體中每個受檢閱使用者的詳細資訊,同時包括 [停止]、[重設] 和 [下載] 結果功能。

    檢閱跨Microsoft 365 個群組的來賓存取權

    如果您正在檢視檢閱 Microsoft 365 群組間來賓存取權的存取權檢閱,[概觀] 刀鋒視窗會列出檢閱中的所有群組。

    檢閱跨Microsoft 365 個群組的來賓存取權

    按一下群組,查看該群組的檢閱進度,也可以 [停止]、[重設]、[套用] 及 [刪除]。

    詳細檢閱跨Microsoft 365 個群組的來賓存取權

  4. 如果您想要在排程的結束日期之前停止存取權檢閱,請按一下 [停止] 按鈕。

    停止檢閱時,檢閱者將無法再回應。 檢閱停止後即無法重新開始。

  5. 如果您不想再進行存取權檢閱,可以按一下 [刪除] 按鈕,加以刪除。

檢視多階段檢閱的狀態 (預覽)

若要查看多階段存取權檢閱的狀態和階段:

  1. 選取您想要檢查狀態或查看其處於哪個階段的多階段檢閱。

  2. 按一下 [目前] 下方左側導覽功能表上的 [結果]。

  3. 一旦您在結果頁面上,在 [狀態] 底下會告訴您多階段檢閱所在的階段。 在存取權檢閱設定期間指定的持續時間經過之前,檢閱的下一個階段不會變成作用中。

  4. 如果已做出決策,但是此階段的檢閱持續時間尚未過期,您可以在結果頁面上選取 [停止目前階段] 按鈕。 這樣會觸發下一個階段的檢閱。

擷取結果

若要檢視檢閱的結果,請按一下 [結果] 頁面。 若要檢視某一個使用者的存取權,請在 [搜尋] 方塊中,輸入已檢閱存取權之使用者的顯示名稱或使用者主體名稱。

擷取存取權檢閱的結果

若要檢視已完成的定期存取權檢閱執行個體的結果,請按一下 [檢閱歷程記錄],然後根據執行個體的開始和結束日期,從已完成的存取權檢閱執行個體清單中選取特定的執行個體。 此執行個體的結果可從 [結果] 頁面中取得。 定期存取權檢閱可讓您持續掌握資源的存取權,這類資源可能須比一次性存取權檢閱更常更新。

若要擷取進行中或已完成存取權檢閱的結果,請按 [下載] 按鈕。 可在 Excel 中,或開啟 UTF-8 編碼 CSV 檔案的其他程式中檢視產生的 CSV 檔案。

套用變更

如果根據 [完成時的設定] 中的選取項目,啟用 [自動將結果套用至資源],系統會在檢閱執行個體完成後,或手動停止檢閱前,執行自動套用。

如果未針對檢閱啟用 [自動將結果套用至資源],請在檢閱期間結束或先行停止檢閱後,瀏覽至 [系列] 中的 [檢閱歷程記錄],然後按一下您想套用的檢閱執行個體。

套用存取權檢閱變更

按一下 [套用] 以手動套用變更。 如果使用者的存取權在檢閱中遭拒,您按一下 [套用] 時,Azure AD 會移除其成員資格或應用程式指派。

套用存取權檢閱變更按鈕

檢閱的狀態會從 [已完成] 歷經中繼狀態 (例如 [套用中]),最後變更為 [已套用結果] 狀態。 您應該會看到遭到拒絕的使用者 (若有的話),在幾分鐘內從群組成員資格或應用程式指派中移除。

手動或自動套用結果,不會影響來自內部部署目錄的群組。 如果您想要變更源自於內部部署的群組,請下載結果,並將那些變更套用至該目錄中的群組圖像。

注意

部分遭拒的使用者無法套用結果。 可能發生這種情況的情節包括:

  • 檢閱同步內部部署 Windows AD 群組的成員:如果群組是從內部部署 Windows AD 同步,則無法在 Azure AD 中管理群組,因此無法變更成員資格。
  • 檢閱已指派巢狀群組的資源 (角色、群組、應用程式):針對透過巢狀群組擁有成員資格的使用者,我們不會移除其巢狀群組的成員資格,因此這些使用者會保有正在檢閱之角色的存取權。
  • 找不到使用者/其他錯誤,可能也會導致不支援套用結果。

存取權檢閱中遭拒來賓使用者採取的動作

建立檢閱時,建立者可以為存取權檢閱中遭拒的來賓使用者,在兩個選項間選擇。

  • 遭拒來賓使用者可以存取已移除的資源。 此為預設值。
  • 遭拒來賓使用者可能無法登入 30 天,然後系統會從租用戶中將其刪除。 在 30 天期間內,來賓使用者可以由管理員還原租戶用的存取權。 30 天期間過後,如果來賓使用者無法再次存取授與他們的資源,則系統會永久從租用戶中移除這些使用者。 此外,全域管理員可以使用 Azure Active Directory 入口網站,在該時段結束之前明確地永久刪除最近刪除的使用者。 使用者遭永久刪除後,該來賓使用者的相關資料會從使用中的存取權檢閱中移除。 與已刪除的使用者有關的稽核資訊仍會保留在稽核記錄中。

對已遭拒 B2B 直接連接使用者採取的動作

已遭拒 B2B 直接連接使用者和小組將會失去小組中所有共用頻道的存取權限。

後續步驟