在访问评审中评审对组和应用程序的访问权限

Microsoft Entra ID 借助称为“访问评审”的功能,简化了企业对 Microsoft Entra ID 及其他 Microsoft Web 服务中的组和应用程序访问权限的管理方式。 本文介绍了指定审阅者如何对组成员或有权访问应用程序的用户执行访问评审。 如果想要评审对访问包的访问权限,请阅读在权利管理中评审访问包的访问权限

使用“我的访问权限”执行访问评审

可以通过“我的访问权限”评审对组和应用程序的访问权限。 “我的访问权限”是一个用户友好门户,用于对访问需求执行授权、批准和评审操作。

使用电子邮件转到“我的访问权限”

重要

接收电子邮件时可能有延迟。 在某些情况下,可能要长达 24 小时才会收到。 将 MSSecurity-noreply@microsoft.com 添加到安全收件人列表以确保收到所有电子邮件。

  1. 查找要求你执行访问评审的 Microsoft 电子邮件。 下面是电子邮件消息示例:

    屏幕截图显示要求评审对某个组的访问权限的 Microsoft 示例电子邮件。

  2. 选择“启动评审”链接以打开访问评审。

直接转到“我的访问权限”

还可使用浏览器打开“我的访问权限”来查看待处理的访问评审。

  1. https://myaccess.microsoft.com/ 登录到“我的访问权限”。

  2. 选择左侧菜单中的“访问评审”,查看分配给你的待处理访问评审的列表。

审查一个或多个用户的访问权限

在“组和应用”下打开“我的访问权限”后,可以看到:

  • 名称:访问评审的名称。
  • 截止日期:评审的截止日期。 在此日期后,可能会从正在评审的组或应用中删除被拒绝的用户。
  • 资源:正在评审的资源的名称。
  • 进度:此访问评审的用户总数中已评审的用户数。

选择访问评审的名称即可开始使用。

屏幕截图显示应用和组的待处理访问评审列表。

打开后,你将看到访问评审范围内的用户列表。

注意

如果请求是评审你自己的访问权限,则页面内容会有所不同。 有关详细信息,请参阅评审自己对组或应用程序的访问权限

可通过两种方式批准或拒绝访问权限:

  • 可手动批准或拒绝一名或多名用户的访问权限。
  • 可以接受系统建议。

手动审查一个或多个用户的访问权限

  1. 评审用户列表并确定是批准还是拒绝其继续访问。

  2. 通过选择用户姓名旁边的圆圈,选择一个或多个用户。

  3. 在栏中选择“批准”或“拒绝”。

    如果你不确定用户是否应继续拥有访问权限,则可以选择“不知道”。 用户会保留其访问权限,而你的选择将记录在审核日志中。 请记住,你提供的任何信息都会提供给其他审阅者。 他们可阅读你的注释,并在其评审请求时将其考虑在内。

    屏幕截图显示如何打开访问评审,列出需要评审的用户。

  4. 访问评审的管理员可能会要求你在“原因”框中提供决策的理由(即使无需原因也是如此)。 你也可以提供决定的原因。 包含的信息会提供给其他审批者以供审阅。

  5. 选择“提交”。

    在访问评审结束之前,随时可以更改响应。 若要更改响应,请选择相应的行并更新响应。 例如,可以批准以前已拒绝的用户,或者拒绝以前已批准的用户。

重要

  • 如果拒绝了某个用户的访问权限,不会立即删除该用户。 在评审期结束或管理员停止评审时,该用户会被删除。
  • 如果有多个评审者,将记录最后提交的响应。 例如,管理员指定了两位审阅者:Alice 和 Bob。 Alice 首先打开访问评审并批准了用户的访问请求。 在评审期结束之前,Bob 打开访问评审,拒绝了 Alice 之前批准的同一请求中的访问权限。 最后决定(即拒绝访问)是系统记录的响应。

根据建议审查访问权限

为了让你更轻松、更快捷地进行访问评审,我们还会提供建议,选中就能接受这些建议。 系统可通过两种方式为审阅者生成建议。 一种方法是使用用户的登录活动。 如果用户已处于非活动状态 30 天或更久,系统将建议审阅者拒绝访问。

另一种方法基于用户对等方拥有的访问权限。 如果用户没有与其对等方相同的访问权限,系统将建议审阅者拒绝该用户访问。

如果你 30 天内没有登录,或者启用了对等离群值,请按照以下步骤接受建议:

  1. 选择一个或多个用户,然后选择“接受建议”。

    屏幕截图显示如何打开访问评审列表,其中显示了“接受建议”按钮。

    另外,对于所有未审核的用户,若要接受建议,请确保未选择任何用户,然后选择顶部栏上的“接受建议”按钮。

  2. 选择“提交”以接受建议。

注意

接受建议后,之前的决定将保持不变。

在多阶段访问审查(预览)中对一个或多个用户的访问进行审查

如果管理员启用了多阶段访问评审,则评审阶段总共会有两三个。 每个评审阶段将有一个指定的审阅者。

你将会手动评审访问权限,或者根据你被分配为审阅者的阶段的登录活动接受建议。

如果你是第二阶段或第三阶段审阅者,而且管理员在创建访问评审时启用了此设置,那么你还将看到审阅者在以前的阶段所做的决定。 由第二阶段或第三阶段审阅者做出的决定将覆盖上一阶段的决定。 因此,第二阶段审阅者做出的决定将覆盖第一阶段的决定。 第三阶段审阅者的决定将覆盖第二阶段的决定。

屏幕截图显示选择了一个用户来显示多阶段访问评审结果。

批准或拒绝一个或多个用户的审查权限中所述的访问权限。

注意

在 access review 设置过程中指定的持续时间过去之前,下一阶段的检查不会处于活动状态。 如果管理员认为某个阶段已完成,但此阶段的评审持续时间尚未过期,则可以使用 Microsoft Entra 管理中心内访问评审概述中的“停止当前阶段”按钮。 此操作将关闭活动阶段,并开始下一个阶段。

在 Teams 共享频道和 Microsoft 365 组(预览版)中评审 B2B 直连用户的访问权限

若要审查 B2B 直连用户的访问权限,请使用以下说明:

  1. 作为审查者,你应当会收到一封电子邮件,要求你审查团队或组的访问权限。 选择电子邮件中的链接,或者直接前往 https://myaccess.microsoft.com/

  2. 按照审查一个或多个用户的访问权限中的说明来决定是批准还是拒绝用户对团队的访问权限。

注意

与内部用户和 B2B 协作用户不同,在执行审查时,不会基于上次登录活动为 B2B 直连用户和团队提供建议来帮助其做出决策。

如果你评审的团队具有共享频道,则访问这些共享频道的所有 B2B 直连用户和团队都是评审的一部分。 这包括 B2B 协作用户和内部用户。 如果在访问评审中拒绝了 B2B 直连用户或团队的访问权限,则该用户将失去对团队中每个共享频道的访问权限。 若要详细了解 B2B 直连用户,请阅读 B2B 直连

如果未对访问评审采取任何操作,请设置会发生的情况

设置访问评审时,管理员可以使用高级设置,以确定如果审阅者未响应访问评审请求,将会发生什么情况。

管理员可以这样设置评审:如果审阅者在评审期结束时没有响应,系统将自动对所有未评审的用户进行访问评审决策。 这包括无法接触正在审查的小组或申请。

后续步骤