使用存取權檢閱管理使用者和來賓使用者存取權
透過存取權檢閱,您可以輕易地確認使用者或來賓是否有適當的存取權。 您可藉由要求使用者本身或決策者參與存取權檢閱,並重新證實 (或「證明」) 使用者的存取權。 檢閱者可以根據來自 Microsoft Entra 識別碼的建議,對需要持續存取的每個使用者提供其意見。 存取權檢閱完成時,您可接著進行變更並為使用者移除不再需要的存取權。
注意
本文討論針對使用者和應用程式進行存取權檢閱。 若要查看存取套件中多個資源的存取權檢閱資訊,請參閱這裡 檢閱 Microsoft Entra 權利管理中存取套件的存取權。 如果您想要檢閱 Microsoft Entra ID 或 Azure 資源角色的使用者或服務主體存取權,請參閱 在 Microsoft Entra Privileged Identity Management 中啟動存取權檢閱。
必要條件
- Microsoft Entra ID P2 或 Microsoft Entra ID 控管
如需詳細資訊,請參閱授權需求。
建立和執行使用者的存取權檢閱
首先,您必須獲指派下列其中一個角色:
- 全域管理員
- 使用者管理員
- 身分識別控管系統管理員
- 特殊權限角色系統管理員 (僅限檢閱角色指派的群組)
- (預覽)要檢閱之群組的 Microsoft 365 或 Microsoft Entra 安全組擁有者
然後,移至 [ 身分識別治理] 頁面 ,以確保存取權檢閱已準備好供貴組織使用。
您可以有一或多個使用者作為存取權檢閱中的檢閱者。
在 Microsoft Entra ID 中選取具有一或多個成員的群組。 或選取已指派一或多個使用者的應用程式,連線到 Microsoft Entra ID。
決定要讓每個使用者檢閱其自己的存取權,或讓一或多個使用者檢閱每個人的存取權。
在先前列出的其中一個角色中,移至 [ 身分識別治理] 頁面。
建立存取權檢閱。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
存取權檢閱開始時,要求檢閱者提供意見。 根據預設,他們都會收到來自 Microsoft Entra ID 的電子郵件,其中包含存取面板的連結,其中會 檢閱群組或應用程式的存取權。
如果檢閱者尚未提供輸入,您可以要求 Microsoft Entra ID 傳送提醒。 根據預設,Microsoft Entra ID 會自動將提醒傳送到所有檢閱者的結束日期。
檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
使用 Microsoft Entra 存取權檢閱管理來賓存取權
透過 Microsoft Entra 識別符,您可以使用 Microsoft Entra B2B 功能,輕鬆地跨組織界限啟用共同作業。 來自其他租用戶的來賓使用者可以由系統管理員邀請或其他使用者邀請。 此功能也適用社交身分識別,例如 Microsoft 帳戶。
建立和執行來賓的存取權檢閱
要為來賓建立存取權檢閱,也需要為使用者建立存取權檢閱所需的相同角色。 如需詳細資訊,請參閱建立和執行使用者的存取權檢閱。
Microsoft Entra ID 可啟用數個檢閱來賓使用者的案例。
您可以檢閱任一:
- Microsoft Entra 標識符中的群組,具有一或多個來賓作為成員。
- 線上到 Microsoft Entra 識別碼的應用程式,該標識碼已指派一或多個來賓使用者。
檢閱 Microsoft 365 群組的來賓使用者存取權時,您可以個別建立每個群組的檢閱,或開啟所有 Microsoft 365 群組中來賓使用者的自動週期性存取權檢閱。 下列影片提供有關來賓用戶的週期性存取權檢閱詳細資訊:
然後您可以決定是否要要求每個來賓檢閱其自己的存取權,或要求一或多個使用者檢閱邁個來賓的存取權。
下列各節涵蓋這些案例。
要求來賓在群組中檢閱自己的成員資格
您可以使用存取權檢閱來確保受邀並新增至群組的使用者仍需要存取權。 您可以輕鬆要求來賓檢閱其在該群組中的成員資格。
若要建立群組的存取權檢閱,請選取檢閱以僅包含來賓用戶成員,且該成員自行檢閱。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
要求每位來賓檢閱自己的成員資格。 根據預設,每個接受邀請的來賓會收到來自 Microsoft Entra ID 的電子郵件,其中包含存取權檢閱的連結。 Microsoft Entra ID 有來賓如何 檢閱群組或應用程式的存取權的指示。
檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
除了拒絕自己需要繼續存取的使用者之外,您也可以移除未回應的使用者。
如果群組未用於存取管理,您也可以移除未選取參與檢閱的用戶,因為他們不接受其邀請。 不接受可能表示受邀使用者的電子郵件地址有錯字。 如果使用群組做為通訊組清單,可能是某些來賓使用者未選取參與,因為它們是聯繫人物件。
要求贊助者檢閱來賓在群組中的成員資格
您可以要求贊助者,例如群組的擁有者,以檢閱來賓在群組中持續成員資格的需求。
若要建立群組的存取權檢閱,請選取檢閱以僅包含來賓用戶成員。 然後指定一或多個檢閱者。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
要求檢閱者提供輸入。 根據預設,他們都會收到來自 Microsoft Entra ID 的電子郵件,其中包含存取面板的連結,其中會 檢閱群組或應用程式的存取權。
檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
注意
您可以封鎖外部身分識別登入您的租使用者,並在 30 天后從租用戶中刪除外部身分識別。 在此期間,目前檢閱下的設定、結果、檢閱者或稽核記錄將無法檢視或設定。 如需詳細資訊,請參閱 使用 Microsoft Entra 存取權檢閱 停用和刪除外部身分識別。
要求來賓檢閱自己對應用程式的存取權
您可以使用存取權檢閱來確保受邀加入特定應用程式的使用者仍需要存取權。 您可以輕鬆要求來賓檢閱其自己的存取權需求。
若要建立應用程式的存取權檢閱,請選取檢閱以僅包含來賓,且使用者檢閱自己的存取權。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
要求每個來賓檢閱自己對應用程式的存取權。 根據預設,每個接受邀請的來賓會收到來自 Microsoft Entra ID 的電子郵件。 該電子郵件具有貴組織存取面板中存取權檢閱的連結。 Microsoft Entra ID 有來賓如何 檢閱群組或應用程式的存取權的指示。
檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
除了拒絕自己需要繼續存取的使用者之外,您也可以移除未回應的來賓使用者。 您也可以移除未選取參與的來賓使用者,特別是如果使用者最近未受邀的話。 這些使用者不接受其邀請,因此無法存取應用程式。
要求贊助者檢閱來賓對應用程式的存取權
您可以要求贊助者,例如應用程式的擁有者,以檢閱來賓繼續存取應用程式的需求。
若要建立應用程式的存取權檢閱,請選取檢閱以僅包含來賓。 然後,將一或多個使用者指定為檢閱者。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
要求檢閱者提供輸入。 根據預設,他們都會收到來自 Microsoft Entra ID 的電子郵件,其中包含存取面板的連結,其中會 檢閱群組或應用程式的存取權。
檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
一般而言,要求來賓檢閱其存取需求
在某些組織中,來賓可能不知道其群組成員資格。
如果適當的群組不存在,請在 Microsoft Entra 標識碼中建立安全組,並將來賓作為成員。 例如,您可以使用手動維護的來賓成員資格來建立群組。 或者,您可以為 Contoso 租使用者中具有 UserType 屬性值的 UserType 屬性值的使用者建立名為 “Guest of Contoso” 的動態群組。 請記住,屬於群組成員的來賓使用者可以看到群組的其他成員。
若要建立該群組的存取權檢閱,請選取檢閱者成為成員本身。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
要求每位來賓檢閱自己的成員資格。 根據預設,每個接受邀請的來賓會收到來自 Microsoft Entra ID 的電子郵件,其中包含貴組織存取面板中存取權檢閱的連結。 Microsoft Entra ID 有來賓如何 檢閱群組或應用程式的存取權的指示。
檢閱者提供輸入之後,請停止存取權檢閱。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
拿掉拒絕來賓、未完成檢閱或先前未接受其邀請的來賓存取權。 如果部分來賓是已選取參與檢閱的聯繫人,或他們先前未接受邀請,您可以使用 Microsoft Entra 系統管理中心或 PowerShell 來停用其帳戶。 如果來賓不再需要存取權,而且不是聯繫人,您可以使用 Microsoft Entra 系統管理中心或 PowerShell,從目錄中移除其用戶物件,以刪除來賓用戶物件。