在存取權檢閱中完成群組和應用程式的存取權檢閱

身為系統管理員，您可以 建立群組或應用程式的 存取權檢閱，並檢閱者 執行存取權檢閱。 本文說明如何查看存取權檢閱的結果並加以套用。

注意

本文提供關於如何從裝置或服務刪除個人資料的步驟，並且可以用來支援遵循 GDPR 的義務。 如需 GDPR 的一般資訊，請參閱 Microsoft 信任中心的 GDPR 區段和服務信任入口網站的 GDPR 區段。

必要條件

• Microsoft Entra ID P2 或 Microsoft Entra ID 控管
• 全域管理員、用戶系統管理員或身分識別治理系統管理員，以管理群組和應用程式檢閱的存取權。 具有全域 管理員 istrator 角色或特殊許可權角色 管理員 istrator 角色的使用者可以管理角色指派群組的檢閱，請參閱使用 Microsoft Entra 群組管理角色指派
• 安全性讀取器具有讀取許可權。

如需詳細資訊，請參閱 授權需求。

檢視存取權檢閱的狀態

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

您可以在存取權檢閱完成時追蹤存取權檢閱的進度。

1. 以至少身分識別治理 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分識別治理>存取權檢閱]。

3. 在清單中，選取存取權檢閱。

   在 [概觀] 頁面上，您可以看到檢閱目前實例的進度。 如果當時沒有開啟作用中的實例，您會看到上一個實例的相關信息。 在檢閱完成之前，目錄中不會變更任何訪問許可權。

   

   [目前] 下的所有刀鋒視窗只能在每個檢閱實例的持續時間內檢視。

   注意

   雖然目前的存取權檢閱只會顯示使用中檢閱實例的相關信息，但您可以在 [已排程檢閱] 區段的 [數列] 中取得尚未進行檢閱的相關信息。

   [結果] 頁面提供有關實例中檢閱中每位使用者的詳細資訊，包括停止、重設和下載結果的能力。

   

   如果您要檢視可檢閱跨 Microsoft 365 群組的來賓存取權檢閱，[概觀] 刀鋒視窗會列出檢閱中的每個群組。

   

   選取群組以查看該群組檢閱進度，以及 [停止]、[重設]、[套用] 和 [刪除]。

   

4. 如果您想要在存取權檢閱達到排定的結束日期之前停止存取權檢閱，請選取 [ 停止 ] 按鈕。

   當您停止檢閱時，檢閱者將無法再提供回應。 您無法在檢閱停止之後重新啟動。

5. 如果您不再對存取權檢閱感興趣，您可以按下 [ 刪除 ] 按鈕來刪除它。

檢視多階段檢閱的狀態（預覽）

若要查看多重階段存取權檢閱的狀態和階段：

1. 選取您想要檢查狀態的多重階段檢閱，或查看其處於哪個階段。

2. 選取 [目前] 下方左側導覽功能表上的 [結果]。

3. 一旦您在結果頁面上，在 [狀態] 底下，它會告訴您多階段檢閱所在的階段。 在存取權檢閱設定期間指定的持續時間過後，檢閱的下一個階段才會變成作用中。

4. 如果已做出決策，但此階段的檢閱持續時間尚未到期，您可以在結果頁面上選取 [ 停止目前階段 ] 按鈕。 這會觸發下一個階段的檢閱。

擷取結果

若要檢視檢視的結果，請選取 [ 結果 ] 頁面。 若要檢視某一個使用者的存取權，請在搜尋方塊中，輸入存取權受到檢閱的使用者顯示名稱或使用者主體名稱。

若要檢視週期性存取權檢閱已完成實例的結果，請選取 [檢閱歷程記錄]，然後根據實例的開始和結束日期，從已完成存取權檢閱實例清單中選取特定實例。 此執行個體的結果可從 [結果] 頁面中取得。 週期性存取權檢閱可讓您持續瞭解可能需要更新多次存取權檢閱的資源。

若要擷取存取權檢閱的結果，請同時進行中或已完成，請選取 [ 下載 ] 按鈕。 可在 Excel 中，或開啟 UTF-8 編碼 CSV 檔案的其他程式中檢視產生的 CSV 檔案。

以程序設計方式擷取結果

您也可以使用 Microsoft Graph 或 PowerShell 擷取存取權檢閱的結果。

您必須先找出 存取權檢閱的實例 。 如果 accessReviewScheduleDefinition 是週期性存取權檢閱，則實例代表每個週期。 不會遞歸的檢閱只會有一個實例。 實例也代表排程定義中要檢閱的每個唯一群組。 如果排程定義會檢閱多個群組，則每個群組對於每個週期都會有唯一的實例。 每個實例都包含檢閱者可以採取動作的決策清單，每個身分識別都會檢閱一個決策。

識別實例之後，若要使用 Graph 擷取決策，請呼叫 Graph API 以 列出實例中的決策。 如果這是多階段檢閱，請呼叫圖形 API，以 從多階段存取權檢閱列出決策。 呼叫端必須是具有委派AccessReview.Read.All或許可權的應用程式，或是具有 AccessReview.Read.AllAccessReview.ReadWrite.All 或 AccessReview.ReadWrite.All 應用程式許可權之應用程式的適當角色使用者。 如需詳細資訊，請參閱如何檢閱安全組的教學課程。

您也可以從適用於身分識別治理的 Microsoft Graph PowerShell Cmdlet 模組，擷Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision取 PowerShell 中的決策。 請注意，此 API 的預設頁面大小為 100 個決策專案。

套用變更

如果 [自動套用結果至資源] 是根據您在 [完成時] 設定中的選取項目啟用，則當您手動停止檢閱時，將會在檢閱實例完成時執行自動套用。

如果未針對檢閱啟用 [自動套用結果至資源]，請在檢閱持續時間結束之後流覽至 [檢閱歷程記錄] 底下的 [檢閱歷程記錄]，或提早停止檢閱，然後選取您想要套用的檢閱實例。

選取 [ 套用 ] 以手動套用變更。 如果在檢閱中拒絕使用者的存取權，當您選取 [套用] 時，Microsoft Entra ID 會移除其成員資格或應用程式指派。

檢閱的狀態會從 [已完成] 變更為中繼狀態，例如 [套用]，最後變更為 [套用結果] 狀態。 您應該會在幾分鐘內看到遭到拒絕的使用者從群組成員資格或應用程式指派中移除。

手動或自動套用結果不會影響源自內部部署目錄的群組。 如果您想要變更源自內部部署的群組，請下載結果，並將這些變更套用至該目錄中群組的表示法。

注意

有些遭拒的用戶無法套用結果。 可能發生此情況的案例包括：

• 檢閱同步內部部署 Windows Server AD 群組的成員：如果群組是從內部部署 Windows Server AD 同步處理，則無法在 Microsoft Entra ID 中管理群組，因此無法變更成員資格。
• 檢閱已指派巢狀群組的資源（角色、群組、應用程式）：對於具有巢狀群組成員資格的使用者，我們不會將其成員資格移除至巢狀群組，因此他們會保留所檢閱資源的存取權。
• 找不到使用者/其他錯誤也會導致不支援套用結果。
• 檢閱已啟用郵件群組的成員：群組無法在 Microsoft Entra ID 中管理，因此無法變更成員資格。
• 檢閱使用群組指派的應用程式不會移除這些群組的成員，因此它們會保留來自應用程式指派群組關聯性的現有存取權

在存取權檢閱中對拒絕來賓用戶採取的動作

在檢閱建立時，建立者可以在存取權檢閱中針對拒絕的來賓用戶選擇兩個選項。

• 拒絕的來賓使用者可以存取已移除的資源。 這是預設值。
• 拒絕的來賓使用者可以封鎖登入 30 天，然後從租用戶中刪除。 在 30 天期間，來賓用戶能夠由系統管理員還原租使用者的存取權。 完成 30 天的期間之後，如果來賓用戶沒有再次授與他們的資源存取權，他們將會永久從租用戶中移除。 此外，使用 Microsoft Entra 系統管理中心，Global 管理員 istrator 可以在達到該期間之前，明確地永久刪除最近刪除的使用者。 永久刪除用戶之後，該來賓用戶的相關數據將會從作用中存取權檢閱中移除。 已刪除用戶的相關稽核資訊會保留在稽核記錄中。

對拒絕 B2B 直接連線用戶所採取的動作

拒絕 B2B 直接連線使用者和小組無法存取小組中的所有共享頻道。

下一步

• 管理存取權檢閱
• 建立群組或應用程式的存取權檢閱
• 在 Microsoft Entra 系統管理角色中建立使用者的存取權檢閱