在 PIM 中建立 Azure 資源和 Microsoft Entra 角色的存取權檢閱

  • 文章

使用者存取特殊許可權 Azure 資源和 Microsoft Entra 角色的需求會隨著時間而變更。 若要減少與過時角色指派相關聯的風險,您應該定期檢閱存取權。 您可以使用 Microsoft Entra Privileged Identity Management (PIM) 來建立對 Azure 資源和 Microsoft Entra 角色的特殊權限存取權檢閱。 您也可以設定自動發生的週期性存取權檢閱。 本文說明如何建立一或多個存取權檢閱。

必要條件

使用 Privileged Identity Management 需要授權。 如需授權的詳細資訊,請參閱 Microsoft Entra ID 控管 授權基本概念

如需 PIM 授權的詳細資訊,請參閱 使用 Privileged Identity Management 的授權需求。

若要建立 Azure 資源的存取權檢閱,您必須指派給 Azure 資源的擁有者使用者存取 管理員 istrator 角色。 若要建立 Microsoft Entra 角色的存取權檢閱,您必須指派給 Global 管理員 istratorPrivileged Role 管理員 istrator 角色。

除了 Microsoft Entra ID P2 或 Microsoft Entra ID 控管 授權之外,使用服務主體的存取權檢閱還需要 Microsoft Entra 工作負載 ID 進階版 方案。

  • 工作負載身分識別 進階版 授權:您可以在 Microsoft Entra 系統管理中心的 [工作負載身分識別] 刀鋒視窗上檢視和取得授權。

注意

存取權檢閱會擷取每個檢閱實例開頭的存取快照集。 在檢閱程式期間所做的任何變更都會反映在後續的檢閱週期中。 基本上,隨著每個新周期的開始,擷取有關使用者、正在檢閱的資源及其個別檢閱者的相關數據。

建立存取權檢閱

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

  1. 以指派給其中一個必要角色的使用者身分登入 Microsoft Entra 系統管理中心

  2. 流覽至身分識別治理>Privileged Identity Management。

  3. 針對 [Microsoft Entra 角色],選取 [Microsoft Entra 角色]。 針對 Azure 資源,選取 [Azure 資源]

    在 Microsoft Entra 系統管理中心螢幕快照中選取 [身分識別治理]。

  4. 針對 [Microsoft Entra 角色],再次選取 [管理] 底下的 [Microsoft Entra 角色]。 針對 Azure 資源,選取您想要管理的訂用帳戶。

  5. 在 [管理] 底下,選取 [ 存取權檢閱],然後選取 [ 新增 ] 以建立新的存取權檢閱。

    Microsoft Entra 角色 - 存取權檢閱清單,其中顯示所有評論螢幕快照的狀態。

  6. 命名存取權檢閱。 您可以選擇性地提供檢閱描述。 會向檢閱者顯示名稱和描述。

    建立存取權檢閱 - 檢閱名稱和描述螢幕快照。

  7. 設定 [開始日期]。 根據預設,存取權檢閱會發生一次、在建立的相同時間開始,以及在一個月內結束。 您可以變更開始和結束日期,讓存取權檢閱在未來開始,並持續至您想要的天數。

    開始日期、頻率、持續時間、結束時間、次數和結束日期螢幕快照。

  8. 若要讓存取權檢閱週期性,請將 [頻率 ] 設定從 [一次 ] 變更為 [每周]、 [每月]、 [每季]、 [每年] 或 [半年]。 使用 [ 持續時間 ] 滑桿或文本框來定義週期性數列的每個檢閱將開啟多少天,以供檢閱者輸入。 例如,您可以為每月檢閱設定的持續時間上限為 27 天,以避免重覆檢閱。

  9. 使用 [ 結束 ] 設定來指定如何結束週期性存取權檢閱系列。 此系列可以以三種方式結束:它會持續執行以無限期地開始檢閱、直到特定日期,或完成定義的發生次數之後。 您或另一位可以管理評論的系統管理員,可以在建立后停止數列,方法是變更 設定 中的日期,使其在該日期結束。

  10. 在 [ 用戶範圍] 區段中,選取檢閱的範圍。 針對 Microsoft Entra 角色,第一個範圍選項是 [使用者和群組]。 直接指派的使用者和 可指派角色的群組 將會包含在此選取範圍中。 針對 Azure 資源角色,第一個範圍會是 [使用者]。 指派給 Azure 資源角色的群組會展開,以顯示檢閱中具有此選取範圍的可轉移使用者指派。 您也可以選取 [服務主體 ] 來檢閱具有 Azure 資源或 Microsoft Entra 角色直接存取權的計算機帳戶。

    用戶範圍可檢閱螢幕快照的角色成員資格。

  11. 或者,您只能為非使用中使用者建立存取權檢閱。 在 [ 用戶範圍] 區段中, 將 [非使用中使用者] (在租用戶層級上) 設定為true。 如果切換開關設定為 true,則檢閱的範圍只會將焦點放在非使用中使用者。 然後,為 [非使用中天數] 設定一個非使用中天數,最多 730 天 (兩年)。 在指定的天數內,非使用中的使用者將是檢閱中唯一的使用者。

  12. 在 [檢閱角色成員資格] 底下,選取要檢閱的具特殊許可權 Azure 資源或 Microsoft Entra 角色。

    注意

    選取多個角色將會建立多個存取權檢閱。 例如,選取五個角色將會建立五個不同的存取權檢閱。

    檢閱角色成員資格螢幕快照。

  13. 在 [指派類型] 中,將主體指派給角色的方式會決定檢閱範圍。 選擇 合格的指派,僅 檢閱合格指派(不論建立檢閱時啟用狀態為何),或 檢閱使用中指派。 選擇 所有作用中和合格的指派,以檢閱所有指派 ,而不論類型為何。

    指派類型的檢閱者清單螢幕快照。

  14. 在 [檢閱者] 區段中,選取一或多個人員來檢閱所有使用者。 或者,您可以選擇讓成員檢閱自己的存取權。

    選取使用者或成員的檢閱者清單(自我)

    • 選取的使用者 - 使用此選項來指定特定使用者來完成檢閱。 不論檢閱的範圍為何都可以使用此選項,而選取的檢閱者可以檢閱使用者、群組和服務主體。
    • 成員 (自己) - 使用此選項可讓使用者檢閱自己的角色指派。 只有在檢閱範圍設定為 [使用者] 和 [群組 ] 或 [使用者] 時,才能使用此選項。 針對 Microsoft Entra 角色,選取此選項時,角色可指派的群組將不會是檢閱的一部分。
    • 管理員 – 使用此選項可讓使用者的管理員檢閱其角色指派。 只有在檢閱範圍設定為 [使用者] 和 [群組 ] 或 [使用者] 時,才能使用此選項。 選取 [管理員] 時,您也可以選擇指定後援檢閱者。 當使用者未在目錄中指定管理員時,系統會要求後援檢閱者檢閱使用者。 針對 Microsoft Entra 角色,如果選取角色,後援檢閱者將會檢閱可指派角色的群組。

設定完成時

  1. 若要指定檢閱完成之後會發生什麼情況,請展開 [完成設定時] 區段。

    此螢幕快照顯示自動套用完成設定時,應該檢閱者沒有回應的選項。

  2. 如果您想要自動移除拒絕之使用者的存取權,請將 [自動套用結果] 設定 [ 啟用]。 如果您要在檢閱完成時手動套用結果,請將切換設定為 [停用]

  3. 使用 [如果檢閱者未回應] 列表,即可指定檢閱者在檢閱期間內未檢閱的用戶會發生什麼情況。 此設定不會影響檢閱者檢閱的使用者。

    • 無變更 - 讓使用者的存取保持不變
    • 拿掉存取 權 - 移除使用者的存取權
    • 核准存取 權 - 核准使用者的存取權
    • 採取建議 - 採用系統關於拒絕或核准用戶繼續存取的建議

  4. 使用 [動作] 在拒絕的來賓使用者清單上套用,以指定拒絕來賓用戶會發生什麼事。 此設定目前無法編輯 Microsoft Entra ID 和 Azure 資源角色檢閱;來賓使用者和所有用戶一樣,如果遭到拒絕,則一律會失去資源的存取權。

    完成設定時 - 在拒絕的來賓用戶螢幕快照上套用的動作。

  5. 您可以將通知傳送給其他使用者或群組,以接收檢閱完成更新。 這項功能可讓檢閱建立者以外的專案關係人更新檢閱進度。 若要使用此功能,請選取 [ 選取使用者] 或 [群組], 並在您想要收到完成狀態時新增其他使用者或群組。

    完成設定時 - 新增其他使用者以接收通知螢幕快照。

進階設定

  1. 若要指定其他設定,請展開 [ 進階設定] 區段。

    顯示建議的進階設定、需要核准原因、郵件通知和提醒螢幕快照。

  2. 將 [顯示建議] 設定[啟用],以顯示以使用者存取資訊為基礎的系統建議。 建議 是以30天的間隔期間為基礎。 過去 30 天已登入的使用者會以建議的存取核准顯示,而未登入的使用者則會以建議的拒絕存取來顯示。 無論這些登入是否為互動式登入都沒有影響。 使用者的最後一次登入也會隨著建議一起顯示。

  3. 將 [核准時需要原因] 設定[啟用] 以要求檢閱者提供核准的原因。

  4. 郵件通知設定為啟用,會讓 Microsoft Entra ID 在存取權檢閱開始時傳送電子郵件通知給檢閱者,並在檢閱完成時傳送電子郵件通知給管理員。

  5. 提醒設定為啟用,會讓 Microsoft Entra ID 對尚未完成其檢閱的檢閱者傳送存取權檢閱正在進行中的提醒。

  6. 傳送給檢閱者的電子郵件內容會根據檢閱詳細數據自動產生,例如檢閱名稱、資源名稱、到期日等。如果您需要一種方式來傳達其他資訊,例如其他指示或聯繫人資訊,您可以在 [檢閱者電子郵件的其他內容] 中指定這些詳細數據,這些詳細數據將包含在邀請和提醒電子郵件傳送給指派的檢閱者。 以下醒目提示的區段是即將顯示這項資訊的位置。

    以醒目提示傳送給檢閱者的電子郵件內容

管理存取權檢閱

當檢閱者在存取權檢閱的 [概觀] 頁面上完成檢閱時,您可以追蹤進度。 在檢閱完成之前,目錄中不會變更任何訪問許可權。 以下螢幕快照顯示 Azure 資源和 Microsoft Entra 角色存取權檢閱的概觀頁面。

存取權檢閱概觀頁面,其中顯示 Microsoft Entra 角色存取權檢閱的詳細數據螢幕快照。

如果這是一次性檢閱,則在存取權檢閱期間結束或系統管理員停止存取權檢閱之後,請遵循完成 Azure 資源和 Microsoft Entra 角色的存取權檢閱中的步驟,查看並套用結果。

若要管理一系列的存取權檢閱,請流覽至存取權檢閱,而您會在排程檢閱中找到即將發生的專案,並據以編輯結束日期或新增/移除檢閱者。

根據您在完成設定中的選取專案,自動套用會在檢閱結束日期之後或手動停止檢閱時執行。 檢閱的狀態將會從 [已完成] 變更為中繼狀態,例如 [套用],最後變更為 [已套用] 狀態。 您應該會在幾分鐘內看到遭到拒絕的使用者,如果有的話,會從角色中移除。

指派給 Microsoft Entra 角色和 Azure 資源角色的群組在存取權檢閱中的影響

• 針對 Microsoft Entra 角色,可以使用角色指派群組指派給角色。 在已指派角色可指派群組的 Microsoft Entra 角色上建立檢閱時,組名會顯示在檢閱中,而不會展開群組成員資格。 檢閱者可以核准或拒絕整個群組對角色的存取權。 套用檢閱結果時,拒絕的群組將會失去角色的指派。

• 針對 Azure 資源角色,任何安全組都可以指派給角色。 在已指派安全組的 Azure 資源角色上建立檢閱時,指派給該安全組的使用者將會完全展開,並顯示給該角色的檢閱者。 當檢閱者拒絕透過安全組指派給角色的使用者時,使用者將不會從群組中移除。 這是因為群組可能已與其他 Azure 或非 Azure 資源分享。 因此,系統管理員必須完成拒絕存取所產生的變更。

注意

安全組有可能將其他群組指派給安全組。 在此情況下,只有直接指派給指派給角色安全組的使用者才會出現在角色的檢閱中。

更新存取權檢閱

啟動一或多個存取權檢閱之後,您可能會想要修改或更新現有存取權檢閱的設定。 以下是您可能想要考慮的一些常見案例:

  • 新增和移除檢閱者 - 更新存取權檢閱時,除了主要檢閱者之外,您也可以選擇新增後援檢閱者。 更新存取權檢閱時,可能會移除主要檢閱者。 不過,後援檢閱者並非依設計卸除式檢閱者。

    注意

    只有在檢閱者類型為管理員時,才能新增後援檢閱者。 選取檢閱者類型時,可以新增主要檢閱者。

  • 提醒檢閱者 - 更新存取權檢閱時,您可以選擇在 [進階 設定] 底下啟用提醒選項。 啟用之後,無論使用者是否已完成檢閱,都會在檢閱期間中間點收到電子郵件通知。

    存取權檢閱設定下提醒選項的螢幕快照。

  • 更新設定 - 如果存取權檢閱是週期性,則 「目前」與「數列」底下有個別的設定。 更新 [目前] 底下的設定只會將變更套用至目前存取權檢閱,而更新 [數列] 下的設定將會更新所有未來周期的設定。

    [存取權檢閱] 底下的 [設定] 頁面螢幕快照。

下一步