規劃 Microsoft Entra 存取權檢閱部署
Microsoft Entra 存取權檢閱 可藉由管理其 資源存取生命週期,協助貴組織保護企業更安全。 透過存取權檢閱,您可以:
排程定期檢閱或執行臨機操作檢閱,以探索誰可以存取特定資源,例如應用程式和群組。
追蹤深入解析、合規性或原則原因的檢閱。
將檢閱委派給特定系統管理員、企業擁有者,或能夠自我證明持續存取需求的使用者。
使用深入解析有效率地判斷使用者是否應該繼續存取。
自動檢閱結果,例如移除使用者的資源存取權。
存取權檢閱是 Microsoft Entra ID 控管 功能。 其他功能包括 權利管理、 Privileged Identity Management (PIM)、生命週期工作流程、布建及 使用規定。 他們一起協助您解決下列四個問題:
- 哪些使用者應具備哪些資源的存取權?
- 這些使用者使用該存取權進行哪些工作?
- 是否有有效的組織控制來管理存取權?
- 稽核者是否可驗證控制項是否正在處理中?
規劃存取權檢閱部署是確保您為組織中用戶達成所需治理策略的必要條件。
重點優勢
啟用存取權檢閱的主要優點包括:
- 控制共同作業:存取權檢閱可讓您管理使用者所需的所有資源的存取權。 當使用者共用和共同作業時,您可以確定資訊只屬於已授權的使用者。
- 管理風險:存取權檢閱可讓您檢閱數據與應用程式的存取權,進而降低數據外泄和數據溢出的風險。 您可以定期檢閱外部合作夥伴對公司資源的存取權。
- 解決合規性與治理:透過存取權檢閱,您可以控管及重新認證群組、應用程式和網站的存取生命週期。 您可以控制及追蹤組織專屬合規性或風險敏感性應用程式的檢閱。
- 降低成本:存取權檢閱內建在雲端中,並原生地使用雲端資源,例如群組、應用程式和存取套件。 使用存取權檢閱的成本低於建置您自己的工具,或升級內部部署工具集。
訓練資源
下列影片可協助您瞭解存取權檢閱:
- Microsoft Entra 標識符中的存取權檢閱為何?
- 如何在 Microsoft Entra 識別碼中建立存取權檢閱
- 如何為具有 Microsoft Entra 識別符中 Microsoft 365 群組存取權的所有來賓使用者建立自動存取權檢閱
- 如何在 Microsoft Entra 識別符中啟用存取權檢閱
- 如何使用我的存取權來檢閱存取權
授權
使用此功能需要貴組織使用者的 Microsoft Entra ID 控管訂用帳戶。 這項功能中的某些功能可能會使用 Microsoft Entra ID P2 訂用帳戶運作,如需詳細資訊,請參閱每項功能的文章。 若要尋找您需求的正確授權,請參閱 Microsoft Entra ID 控管 授權基本概念。
注意
若要建立非使用中使用者的檢閱,以及具有使用者對群組關聯性建議的檢閱,需要 Microsoft Entra ID 控管 授權。
規劃存取權檢閱部署專案
請考慮組織需要判斷在您的環境中部署存取權檢閱的策略。
包含正確的專案關係人
當技術項目失敗時,通常會因為對影響、結果和責任的預期不符而這麼做。 若要避免這些陷阱, 請確定您參與正確的項目關係人 ,且專案角色很清楚。
針對存取權檢閱,您可能會包含貴組織內下列小組的代表:
IT 系統管理 會管理 IT 基礎結構,並管理雲端投資和軟體即服務 (SaaS) 應用程式。 此小組:
- 檢閱對基礎結構和應用程式的特殊許可權存取,包括 Microsoft 365 和 Microsoft Entra ID。
- 排程和執行存取權檢閱,這些群組用來維護例外狀況清單或IT試驗專案,以維護最新的存取清單。
- 確保透過服務主體以程序設計方式(已編寫腳本)存取資源,並加以控管和檢閱。
- 自動化用戶上線和下線、存取要求和存取認證等程式。
安全性小組可確保計劃符合貴組織的安全性需求,並強制執行 零信任。 此小組:
- 降低風險並強化安全性
- 強制執行對資源和應用程式的最低許可權存取
- 使用工具來查看集中式授權來源、可存取內容的人員,以及存取時間長度。
開發小組 會為您的組織建置和維護應用程式。 此小組:
- 控制誰可以在 SaaS、平臺即服務 (PaaS) 和基礎結構即服務 (IaaS) 資源中存取及管理組成已開發解決方案的元件。
- 管理可存取應用程式和工具以進行內部應用程式開發的群組。
- 需要具有特殊許可權的身分識別,才能存取客戶裝載的生產軟體或解決方案。
業務單位會管理專案和應用程式。 此小組:
- 檢閱和核准或拒絕存取內部和外部使用者的群組和應用程式。
- 排程並進行檢閱,以證明員工和外部身分識別的持續存取權,例如商務夥伴。
- 需要員工才能存取其工作所需的應用程式。
- 允許部門管理其使用者的存取權。
公司治理 可確保組織遵循內部原則並遵守法規。 此小組:
- 要求或排程新的存取權檢閱。
- 評估檢閱存取權的程序和程式,包括檔與記錄保持合規性。
- 檢閱過去對大部分重要資源檢閱的結果。
- 驗證正確的控件已就緒,以符合強制性的安全性和隱私策略。
- 需要易於稽核和報告的可重複存取程式。
注意
如需需要手動評估的檢閱,請規劃符合原則和合規性需求的適當檢閱者和檢閱週期。 如果檢閱週期太頻繁,或檢閱者太少,品質可能會遺失,太多或太少的人可能會有存取權。 建議您為參與存取權檢閱的各種項目關係人和部門建立明確的責任。 參加的所有團隊和個人都應該瞭解各自的角色和義務,以維護最低許可權原則。
方案通訊
溝通對於任何新商務流程的成功都非常重要。 主動與使用者溝通其體驗的變更方式和時機。 告訴他們如何獲得支援,如果他們遇到問題。
傳達責任變更
存取權檢閱支持轉移檢閱和繼續存取企業主的責任。 將存取決策與 IT 部門分離,可推動更精確的存取決策。 這種轉變是資源擁有者責任和責任的文化變革。 主動傳達此變更,並確保資源擁有者已定型,而且能夠使用深入解析來作出良好的決策。
IT 部門想要控制所有基礎結構相關存取決策和特殊許可權角色指派。
自訂電子郵件通訊
當您排程檢閱時,您會提名進行此檢閱的使用者。 然後,這些檢閱者會收到指派給他們的新評論的電子郵件通知,並在指派給他們的評論到期之前收到提醒。
您可以自定義傳送給檢閱者的電子郵件,以包含一則簡短訊息,鼓勵他們採取行動進行檢閱。 使用額外的文字來:
包含個人訊息給檢閱者,讓他們瞭解您的合規性或 IT 部門所傳送的資訊。
包含內部資訊的參考,瞭解檢閱的預期,以及額外的參考或訓練材料。
選取 [開始檢閱] 之後,檢閱者會導向至我的存取入口網站,以進行群組和應用程式存取權檢閱。 入口網站會向可存取所要檢閱資源的所有使用者提供概觀資訊,以及根據上次登入和存取權資訊的系統建議。
規劃試驗
我們鼓勵客戶一開始試驗小型群組的存取權檢閱,並以非關鍵資源為目標。 試驗可協助您視需要調整流程和通訊。 其可協助您提高使用者和檢閱者符合安全性和合規性需求的能力。
在您的試驗中,我們建議您:
- 從不會自動套用結果的評論開始,您可以控制影響。
- 確定所有使用者都有 Microsoft Entra ID 中列出的有效電子郵件位址。 確認他們收到電子郵件通訊以採取適當的動作。
- 記錄在試驗過程中移除的任何存取權,以防您需要快速還原。
- 監視稽核記錄,以確保已正確地稽核所有事件。
如需詳細資訊,請參閱 試驗的最佳做法。
存取權檢閱簡介
本節介紹您在規劃評論之前應該知道的存取權檢閱概念。
哪些資源類型可供檢閱?
將貴組織的資源與 Microsoft Entra 識別元整合之後,例如使用者、應用程式和群組,即可加以管理及檢閱。
一般的檢閱目標包括:
- 與 Microsoft Entra ID 整合的應用程式進行單一登錄,例如 SaaS 和企業營運。
- 同步至 Microsoft Entra 識別符的群組 成員資格 ,或在 Microsoft Entra ID 或 Microsoft 365 中建立,包括 Microsoft Teams。
- 存取套件 ,將群組、應用程式和網站等資源群組成單一套件來管理存取權。
- PIM 中所定義的 Microsoft Entra 角色和 Azure 資源角色 。
誰可以建立及管理存取權檢閱?
建立、管理或讀取存取權檢閱所需的系統管理角色取決於要檢閱其成員資格的資源類型。 下表表示每個資源類型所需的角色。
| 資源類型 | 建立與管理存取權檢閱 (建立者) | 讀取存取權檢閱結果 |
|---|---|---|
| 群組或應用程式 | 全域管理員 使用者系統管理員 身分識別治理系統管理員 特殊許可權角色管理員 (只有 Microsoft Entra 角色可指派群組的評論) 群組擁有者(如果由系統管理員啟用) |
全域管理員 全域讀取者 使用者系統管理員 身分識別治理系統管理員 特殊許可權角色管理員 安全性讀取者 群組擁有者(如果由系統管理員啟用) |
| Microsoft Entra 角色 | 全域管理員 特殊許可權角色管理員 |
全域管理員 全域讀取者 使用者系統管理員 特殊許可權角色管理員
安全性讀取者 |
| Azure 資源角色 | 使用者存取 管理員 istrator (適用於資源) 資源擁有者 具有 Microsoft.Authorization/* 許可權的自定義角色。 |
使用者存取 管理員 istrator (適用於資源) 資源擁有者 讀取器 (適用於資源) 具有 Microsoft.Authorization/*/read 許可權的自定義角色。 |
| 存取套件 | 全域管理員 身分識別治理系統管理員 目錄擁有者(適用於存取套件) 存取套件管理員(適用於存取套件) |
全域管理員 全域讀取者 使用者系統管理員 身分識別治理系統管理員 目錄擁有者(適用於存取套件) 存取套件管理員(適用於存取套件) 安全性讀取者 |
如需詳細資訊,請參閱 Microsoft Entra ID 中的 管理員 istrator 角色許可權。
誰負責檢閱資源的存取權?
存取權檢閱的建立者會在建立時決定誰將進行檢閱。 在啟動檢閱之後,無法變更此設定。 檢閱者會以下列方式表示:
- 資源擁有者是資源的商務擁有者。
- 由存取權檢閱系統管理員選擇的個別選取委派。
- 自我證明其持續存取需求的使用者。
- 管理員會檢閱其直接報告對資源的存取權。
注意
當您選取 [資源擁有者] 或 [管理員] 時,系統管理員會指定後援檢閱者,如果主要聯繫人無法使用,則會連絡這些檢閱者。
當您建立存取權檢閱時,系統管理員可以選擇一或多個檢閱者。 所有檢閱者都可以選擇用戶繼續存取資源或移除資源,以開始並執行檢閱。
存取權檢閱的元件
在您實作存取權檢閱之前,請先規劃與組織相關的評論類型。 若要這樣做,您必須針對您想要檢閱的內容,以及根據這些評論採取的動作,做出商務決策。
若要建立存取權檢閱原則,您必須具有下列資訊。
要檢閱哪些資源?
正在檢閱哪些人的存取權?
進行檢閱的頻率為何?
檢閱 神秘 嗎?
- 檢閱者如何得知要執行檢閱?
- 要針對哪些哪些時間表強制執行檢閱?
應根據檢閱措施強制執行哪些自動動作?
- 如果檢閱者沒有及時回應,會發生什麼事?
根據檢閱,會採取哪些手動動作?
應該根據所採取的動作來傳送哪些通訊?
範例存取權檢閱計劃
| 元件 | 值 |
|---|---|
| 要檢閱的資源 | 存取 Microsoft Dynamics。 |
| 檢閱頻率 | 每月。 |
| 檢閱 神秘 | Dynamics 商務群組項目經理。 |
| 通知 | 電子郵件會在檢閱開始時傳送給別名 Dynamics-Pms。 包含可鼓勵的自定義訊息給檢閱者,以保護其購買。 |
| 時間軸 | 通知 48 小時。 |
| 自動動作 | 從安全組 dynamics-access 移除使用者,從 90 天內沒有任何互動式登入的任何帳戶移除存取權。 「如果未在時間表內檢閱,請採取行動。」 |
| 手動動作 | 如有需要,檢閱者可以在自動化動作之前執行移除核准。 |
根據存取權檢閱將動作自動化
您可以選擇自動移除存取權,方法為將 [自動將結果套用至資源] 選項設定為 [啟用]。
檢閱完成並結束之後,檢閱者未核准的使用者將會自動從資源中移除,或保留持續存取權。 選項可能表示移除其群組成員資格或其應用程式指派,或撤銷其提升為特殊許可權角色的許可權。
採納建議
建議 會顯示給檢閱者作為檢閱者體驗的一部分,並指出人員上次登入租用戶或最後一次存取應用程式。 此資訊可協助檢閱者提供正確的存取權決策。 選取 [ 採取建議 ] 會遵循存取權檢閱的建議。 在存取權檢閱結束時,系統會自動將這些建議套用至檢閱者尚未回應的使用者。
建議是以存取權檢閱中的準則為基礎。 例如,如果您將檢閱設定為移除沒有互動式登錄的存取權 90 天,建議是應移除符合該準則的所有使用者。 Microsoft 持續致力於強化建議內容。
檢閱來賓使用者的存取權
使用存取權檢閱來檢閱和清除來自外部組織的共同作業合作夥伴身分識別。 個別合作夥伴檢閱的設定可能會滿足合規性需求。
外部身分識別可以授與公司資源的存取權。 這可以:
- 已新增至群組。
- 已受邀至 Teams。
- 已指派給企業應用程式或存取套件。
- 已指派 Microsoft Entra ID 或 Azure 訂用帳戶中的特殊權限角色。
如需詳細資訊,請參閱 範例腳本。 腳本會顯示使用邀請加入租使用者的外部身分識別的位置。 您可以在 Microsoft Entra ID 中看到外部使用者的群組成員資格、角色指派和應用程式指派。 腳本不會在 Microsoft Entra ID 之外顯示任何指派,例如,直接許可權指派給 SharePoint 資源,而不使用群組。
當您建立群組或應用程式的存取權檢閱時,您可以選擇讓檢閱者專注於所有使用者或來賓使用者。 僅選取 來賓使用者,檢閱者會獲得來自 Microsoft Entra 企業對企業對企業(B2B)且可存取資源的焦點外部身分識別清單。
重要
此清單 不會 包含具有 userType 成員 的外部成員。 此清單也不會包含 Microsoft Entra B2B 共同作業外受邀的使用者。 例如,直接透過 SharePoint 存取共用內容的使用者。
規劃存取套件的存取權檢閱
存取套件 可以大幅簡化治理和存取權檢閱策略。 存取套件是使用者需要處理專案或執行其工作之存取權的所有資源組合。 例如,您可能想要建立存取套件,其中包含組織中開發人員需要的所有應用程式,或外部使用者應該擁有存取權的所有應用程式。 系統管理員或委派的存取套件管理員接著會將資源(群組或應用程式)和使用者對這些資源所需的角色分組。
當您 建立存取套件時,您可以建立一或多個存取套件原則,以設定使用者可以要求存取套件的條件、核准程序的外觀,以及人員必須重新要求存取或檢閱其存取權的頻率。 當您建立或編輯這些存取套件原則時,會設定存取權檢閱。
選取 [生命週期] 索引卷標,向下捲動以存取權檢閱。
![顯示 [生命週期] 索引標籤的螢幕快照。](media/deploy-access-review/5-plan-access-packages-admin-ui.png)
規劃群組的存取權檢閱
除了存取套件,檢閱群組成員資格是管理存取的最有效方式。 透過 安全組或 Microsoft 365 群組指派資源的存取權。 將使用者新增至這些群組以取得存取權。
系統可以授與單一群組所有適當資源的存取權。 您可以將群組存取權指派給個別資源,或指派給群組應用程式和其他資源的存取套件。 使用此方法,您可以檢閱群組的存取權,而不是個別存取每個應用程式的存取權。
群組成員資格可透過下列方式檢閱:
- 系統管理員。
- 群組擁有者。
- 已選取在建立檢閱時委派檢閱功能的使用者。
- 證明自己之群組的成員。
- 檢閱其直接報告存取權的經理。
群組所有權
群組擁有者會檢閱成員資格,因為他們最有資格知道誰需要存取權。 群組的擁有權與群組類型不同:
在 Microsoft 365 以及 Microsoft Entra ID 中建立的群組,有一或多個定義完善的擁有者。 在大部分的情況下,這些擁有者會為自己的群組建立恰當的檢閱者,因為他們知道誰應該擁有存取權。
例如,Microsoft Teams 使用 Microsoft 365 群組作為基礎授權模型,將 SharePoint、Exchange、OneNote 或其他 Microsoft 365 服務中的資源存取權授與使用者。 小組的建立者會自動成為擁有者,且應負責證明該群組的成員資格。
在 Microsoft Entra 系統管理中心手動建立的群組,或透過 Microsoft Graph 的腳本建立的群組不一定定義擁有者。 透過群組擁有者區段中的 Microsoft Entra 系統管理中心,或透過 Microsoft Graph 來定義它們。
從 內部部署的 Active Directory 同步處理的群組無法在 Microsoft Entra 識別碼中擁有擁有者。 當您為其建立存取權檢閱時,請選取最適合決定其成員資格的個人。
注意
定義定義如何建立群組的商務原則,以確保清楚檢閱成員資格的群組擁有權和責任。
在條件式存取原則中檢閱排除群組的成員資格
若要瞭解如何檢閱排除群組的成員資格,請參閱 使用 Microsoft Entra 存取權檢閱來管理從條件式存取原則中排除的使用者。
檢閱來賓使用者的群組成員資格
若要瞭解如何檢閱來賓使用者對群組成員資格的存取權,請參閱 使用 Microsoft Entra 存取權檢閱管理來賓存取權。
檢閱內部部署群組的存取權
存取權檢閱無法變更您從內部部署 AD 與 Microsoft Entra 連線 同步處理的群組群組成員資格。 這項限制是因為源自AD之群組的授權來源是內部部署AD。 若要控制AD群組型應用程式的存取,請使用 Microsoft Entra Cloud Sync 群組回寫。
在您移轉至具有群組回寫的 Microsoft Entra 群組之前,您仍然可以使用存取權檢閱來排程和維護現有內部部署群組的定期檢閱。 在此情況下,系統管理員會在每次檢閱完成後,在內部部署群組中採取動作。 此策略會將存取權檢閱保留為所有檢閱的工具。
您可以使用內部部署群組存取權檢閱的結果,並透過下列方式進一步處理這些結果:
- 從存取權檢閱下載 CSV 報告,並手動採取動作。
- 使用 Microsoft Graph 以 程式設計方式擷取已完成存取權檢閱決策的結果。
例如,若要擷取 Windows Server AD 受控群組的結果,請使用此 PowerShell 範例腳本。 腳本概述必要的 Microsoft Graph 呼叫並匯出 Windows Server AD PowerShell 命令以執行變更。
規劃應用程式的存取權檢閱
當您檢閱指派給應用程式的每個人時,您正在檢閱使用者,包括員工和外部身分識別,他們可以使用其 Microsoft Entra 身分識別向該應用程式進行驗證。 當您需要知道誰可以存取特定應用程式時,請選擇檢閱應用程式,而不是存取套件或群組。
在下列案例中規劃應用程式的檢閱:
- 使用者會被授與應用程式的直接存取權(在群組或存取套件之外)。
- 應用程式會公開重要或敏感性資訊。
- 應用程式具有您必須證明的特定合規性需求。
- 您懷疑授與了不適當的存取權。
在您建立應用程式的存取權檢閱之前,應用程式必須與 Microsoft Entra ID 整合為租使用者中的應用程式、指派給應用程式角色的使用者,以及應用程式上 [需要使用者指派?] 選項設定為 [是]。 如果設定為 [否],目錄中的所有使用者,包括外部身分識別,都可以存取應用程式,而且您無法檢閱應用程式的存取權。
然後 指派您想要檢閱其存取權的使用者和群組 。
深入瞭解如何 準備存取權檢閱使用者對應用程式的存取權。
應用程式檢閱者
存取權檢閱可為適用於群組的成員,或適用於已指派給應用程式的使用者。 Microsoft Entra ID 中的應用程式不一定要有擁有者,這也是為什麼選取應用程式擁有者作為檢閱者的選項並不可能發生。 您可以進一步搜尋檢閱範圍,只檢閱指派給應用程式的來賓使用者,而不檢閱所有存取權。
規劃 Microsoft Entra ID 和 Azure 資源角色的檢閱
Privileged Identity Management 可簡化企業如何在 Microsoft Entra ID 中管理資源的特殊許可權存取權。 使用 PIM 可讓 Microsoft Entra ID 和 Azure 資源中的特殊許可權角色清單保持較小。 它也會增加目錄的整體安全性。
存取權檢閱可讓檢閱者證明使用者是否仍需要是某個角色。 就像存取套件的存取權檢閱一樣,Microsoft Entra 角色和 Azure 資源的檢閱會整合到 PIM 系統管理員用戶體驗中。
定期檢閱下列角色指派:
- 全域管理員
- 使用者管理員
- 特殊許可權驗證系統管理員
- 條件式存取管理員
- 安全性系統管理員
- 所有 Microsoft 365 和 Dynamics Service 系統管理角色
檢閱的角色包括永久和合格的指派。
在 [檢閱者] 區段中,選取一或多個人員來檢閱所有使用者。 或者,您可以選取 [管理員],讓經理檢閱他們管理的人員存取權,或 讓成員檢 閱自己的存取權。
部署存取權檢閱
在您準備策略和計劃以檢閱與 Microsoft Entra ID 整合的資源存取權之後,請使用下列資源來部署和管理檢閱。
定義存取套件
為了降低過時存取的風險,系統管理員可以定期檢閱對存取套件具有作用中指派的使用者。 依照表格所列文章中的指示操作。
| 操作說明文章 | 描述 |
|---|---|
| 建立存取權檢閱 | 啟用存取套件的檢閱。 |
| 進行存取權檢閱 | 對指派給存取套件的其他用戶進行存取權檢閱。 |
| 自我檢閱指派的存取套件(s) | 對指派的存取套件進行自我檢閱。 |
注意
自我檢閱並表示不再需要存取權的使用者不會立即從存取套件中移除。 檢閱結束時,或系統管理員停止檢閱時,會從存取套件中移除它們。
檢閱群組和應用程式
員工和來賓的群組和應用程式存取權可能會隨著時間而變更。 為了降低過時存取權指派的相關風險,系統管理員可以建立群組成員或應用程式存取的存取權檢閱。 依照表格所列文章中的指示操作。
| 操作說明文章 | 描述 |
|---|---|
| 建立存取權檢閱 | 建立一或多個群組成員或應用程式存取權的存取權檢閱。 |
| 進行存取權檢閱 | 針對具有應用程式存取權的群組或用戶成員,執行存取權檢閱。 |
| 自我檢閱您的存取權 | 允許成員檢閱自己對群組或應用程式的存取權。 |
| 完成存取權檢閱 | 檢視存取權檢閱並套用結果。 |
| 對內部部署群組採取動作 | 使用範例 PowerShell 腳本來處理內部部署群組的存取權檢閱。 |
檢閱 Microsoft Entra 角色
若要降低與過時角色指派相關聯的風險,請定期檢閱特殊許可權 Microsoft Entra 角色的存取權。
依照表格所列文章中的指示操作。
| 操作說明文章 | 描述 |
|---|---|
| 建立存取權檢閱 | 在 PIM 中建立特殊許可權 Microsoft Entra 角色的存取權檢閱。 |
| 自我檢閱您的存取權 | 如果您被指派給系統管理角色,請核准或拒絕對您角色的存取權。 |
| 完成存取權檢閱 | 檢視存取權檢閱並套用結果。 |
檢閱 Azure 資源角色
若要降低與過時角色指派相關聯的風險,請定期檢閱具特殊許可權 Azure 資源角色的存取權。
依照表格所列文章中的指示操作。
| 操作說明文章 | 描述 |
|---|---|
| 建立存取權檢閱 | 在 PIM 中建立特殊許可權 Azure 資源角色的存取權檢閱。 |
| 自我檢閱您的存取權 | 如果您被指派給系統管理角色,請核准或拒絕對您角色的存取權。 |
| 完成存取權檢閱 | 檢視存取權檢閱並套用結果。 |
使用存取權檢閱 API
若要與可檢閱的資源互動和管理,請參閱 Microsoft Graph API 方法和角色和應用程式許可權授權檢查。 Microsoft Graph API 中的存取權檢閱方法適用於應用程式和使用者內容。 當您在應用程式內容中執行腳本時,用來執行 API 的帳戶(服務主體)必須獲得 AccessReview.Read.All 許可權,才能查詢存取權檢閱資訊。
使用 Microsoft Graph API 進行存取權檢閱來自動化的熱門存取權檢閱工作如下:
- 建立並啟動存取權檢閱。
- 在排程結束之前手動結束存取權檢閱。
- 列出所有執行中的存取權檢閱及其狀態。
- 請參閱檢閱系列的歷程記錄,以及每次檢閱所採取的決策和動作。
- 從存取權檢閱收集決策。
- 從已完成的檢閱收集決策,其中檢閱者所做的決策與系統建議的決策不同。
當您為自動化建立新的 Microsoft Graph API 查詢時,請先使用 Graph 總 管來建置和探索您的 Microsoft Graph 查詢,再將它們放入腳本和程式代碼中。 此步驟可協助您快速逐一查看查詢,讓您完全取得所要尋找的結果,而不需要變更腳本的程序代碼。
監視存取權檢閱
存取權檢閱活動會記錄並可從 Microsoft Entra 稽核記錄取得。 您可以篩選類別目錄、活動類型和日期範圍的稽核資料。 以下是範例查詢。
| 類別 | 原則 |
|---|---|
| 活動類型 | 建立存取權檢閱 |
| 更新存取權檢閱 | |
| 存取權檢閱已結束 | |
| 刪除存取權檢閱 | |
| 核准決策 | |
| 拒絕決策 | |
| 重設決策 | |
| 套用決策 | |
| 日期範圍 | 七天 |
如需存取權檢閱的更進階查詢和分析,以及追蹤變更和完成檢閱,請將 Microsoft Entra 稽核記錄導出至 Azure Log Analytics 或 Azure 事件中樞。 當稽核記錄儲存在 Log Analytics 中時,您可以使用 功能強大的分析語言 並建置您自己的儀錶板。
下一步
瞭解下列相關技術: