在Microsoft Entra存取權檢閱中檢閱群組和應用程式的存取權

Microsoft Entra可簡化企業如何使用稱為「Microsoft Entra存取權檢閱」的功能,在Microsoft Entra和其他Microsoft Web 服務中管理群組和應用程式的存取權。 本文將探討指定的檢閱者如何針對群組成員或具有應用程式存取權的使用者執行存取權檢閱。 如果您想要檢閱存取套件的存取權,請閱讀在Microsoft Entra權利管理中檢閱存取套件的存取權。

使用我的存取權來執行存取權檢閱

您可透過我的存取權檢閱群組與應用程式的存取權。 我的存取權是使用者易記的入口網站,用於授與、核准和檢閱存取需求。

使用電子郵件前往 [我的存取權]

重要事項

接收電子郵件可能會有延遲。 在某些情況下,最多可能需要 24 小時。 將 azure-noreply@microsoft.com 新增至您的安全收件者清單,以確定您會收到所有電子郵件。

  1. 尋找 Microsoft 要求您檢閱存取權的電子郵件。 以下是範例電子郵件訊息:

    螢幕擷取畫面:Microsoft 電子郵件範例,用以檢閱群組的存取權。

  2. 選取 [開始檢閱] 連結以開啟存取權檢閱。

直接前往我的存取權

您也可以使用瀏覽器來開啟我的存取權,以檢視擱置的存取權檢閱。

  1. 透過 https://myaccess.microsoft.com/ 登入我的存取權。

  2. 從左側功能表選取 [存取權檢閱],以查看指派給您的擱置中存取權檢閱清單。

檢閱一或多個使用者的存取權

開啟 [群組和應用程式] 下方的我的存取權之後,您可以看到:

  • 名稱:存取權檢閱的名稱。
  • 到期:檢閱的到期日。 經過此日期之後,遭到拒絕的使用者可能會從正在檢閱的群組或應用程式中移除。
  • 資源:檢閱下的資源名稱。
  • 進度:此存取權檢閱的使用者總數中已檢閱的使用者數目。

選取存取權檢閱的名稱以開始使用。

螢幕擷取畫面:應用程式和群組的待處理存取權檢閱清單。

開啟後,您將會在存取權檢閱的範圍內看到使用者清單。

注意

如果要求是要檢閱您自己的存取權,則頁面看起來會不同。 如需詳細資訊,請參閱將您自己對於群組或應用程式的存取權

您可以使用兩種方式來核准或拒絕存取:

  • 您可以手動核准或拒絕一或多個使用者的存取權。
  • 您可以接受系統建議。

手動檢閱一或多個使用者的存取權

  1. 檢閱使用者清單,並決定是否要核准或拒絕使用者的持續存取權。

  2. 選取一或多個使用者,方法是選取其名稱旁邊的圓形。

  3. 選取橫幅上的 [核准] 或 [拒絕]。

    如果您不確定使用者是否應該繼續擁有存取權,您可以選取 [不知道]。 使用者可以繼續存取,而您的選擇會記錄在稽核記錄中。 請務必記住,您提供的任何資訊都將可供其他檢閱者使用。 他們可以閱讀您的註解,並在檢閱要求時將其納入考慮。

    螢幕擷取畫面:列出哪些使用者需要檢閱的開放存取權檢閱。

  4. 存取權檢閱的系統管理員可能需要您在 [原因] 方塊中提供決策的原因,即使不需要原因也會有此流程。 您仍然可以提供決策的原因。 將您包括的資訊提供給其他核准者以進行檢閱。

  5. 選取 [提交] 。

    您可以隨時變更回應,直到存取權檢閱結束為止。 如果要變更回應,請選取資料列並更新回應。 例如,您可以核准先前拒絕的使用者,或拒絕先前核准的使用者。

重要

  • 如果使用者遭到拒絕存取,系統不會立即移除。 檢閱期間結束時或系統管理員停止檢閱時會移除使用者。
  • 如果有多個檢閱者,則會記錄最後提交的回應。 舉例來說,假設系統管理員指派兩個檢閱者:Alice 和 Bob。 Alice 先開啟存取權檢閱,並核准某個使用者的存取要求。 在檢閱期間結束之前,Bob 開啟了存取權檢閱,並拒絕了 Alice 先前核准之相同要求的存取。 系統會記錄最後一個拒絕存取的決策。

根據建議檢閱存取權

為了讓您更輕鬆且快速地存檢閱存取權,我們也會提供只要單一選取項目即可接受的建議。 系統有兩種方式會產生檢閱者的建議。 其中一種方法是使用者的登入活動。 如果使用者已停用 30 天以上,系統將會建議檢閱者拒絕存取權。

另一種方法是以使用者同儕的存取權為基礎。 如果使用者沒有同儕所具有的存取權,系統將會建議檢閱者拒絕該使用者存取權。

如果您 [在 30 天內沒有登入] 或已啟用 [同儕極端值],請遵循這些步驟來接受建議:

  1. 選取一或多個使用者,然後選取 [接受建議]。

    螢幕擷取畫面:顯示接受建議按鈕的開放存取權檢閱清單。

    或者若要接受所有未檢閱使用者的建議,請確定未選取任何使用者,並選取頂端列上的 [接受建議] 按鈕。

  2. 選取 [提交] 以接受建議。

注意

當您接受建議時,將不會變更先前的決策。

在多階段存取權檢閱中檢閱一或多個使用者的存取權 (預覽)

如果系統管理員已啟用多階段存取權檢閱,則檢閱的總階段會有兩或三個。 檢閱的每個階段都會有指定的檢閱者。

您將會手動檢閱存取權,或根據您獲指派為檢閱者的階段登入活動接受建議。

如果您是第二階段或第三階段檢閱者,若系統管理員在建立存取權檢閱時已啟用此設定,您也會看到檢閱者在先前階段所做的決策。 第二階段或第三階段檢閱者所做的決策將會覆寫上一個階段的決策。 因此,第二階段檢閱者所做的決策將會覆寫第一階段。 第三階段檢閱者的決策將會覆寫第二階段。

螢幕擷取畫面:顯示選取使用者以顯示多階段存取權檢閱結果。

核准或拒絕存取權,如檢閱一或多個使用者的存取權中所述。

注意

在存取權檢閱設定期間指定的持續時間經過之前,檢閱的下一個階段不會變成作用中。 如果系統管理員認為已完成階段,但此階段的檢閱持續時間尚未過期,他們可以使用 Azure AD 入口網站中存取權檢閱概觀中的 [停止目前階段] 按鈕。 這個動作會關閉作用中的階段,並啟動下一個階段。

檢閱小組共用頻道和 Microsoft 365 群組中 B2B 直接連接使用者的存取權 (預覽)

若要檢閱 B2B 直接連接使用者的存取權,請使用下列指示:

  1. 身為檢閱者,您應該會收到一封電子郵件,要求您檢閱小組或群組的存取權。 選取電子郵件中的連結,或直接前往 https://myaccess.microsoft.com/

  2. 請遵循檢閱一或多個使用者的存取權中的指示,決定核准或拒絕使用者存取小組。

注意

不同於內部使用者和 B2B 共同作業使用者,B2B 直接連接使用者和小組沒有根據上次登入活動的建議,可在您執行檢閱時做出決策。

如果您檢閱的小組有共用頻道,則所有 B2B 直接連接使用者和存取這些共用頻道的小組都是檢閱的一部分。 這包括 B2B 共同作業使用者和內部使用者。 當 B2B 直接連接使用者或小組在存取權檢閱中遭到拒絕存取時,使用者將會失去小組中每個共用頻道的存取權。 若要深入了解 B2B 直接連接使用者,請參閱 B2B 直接連接

如果未對存取權檢閱採取任何動作,請設定會發生什麼情況

設定存取權檢閱時,系統管理員可以選擇使用進階設定來判斷檢閱者不回應存取權檢閱要求時會發生什麼情況。

系統管理員可以設定檢閱,如此一來,如果檢閱者在檢閱期間結束時沒有回應,所有未檢閱的使用者都可以對其存取權自動做出決策。 這包括無法存取正在檢閱的群組或應用程式。

後續步驟