分享方式:

在存取權檢閱中完成群組和應用程式的存取權檢閱

  • 文章

身為管理員,您會建立群組或應用程式存取權檢閱,檢閱者會執行存取權檢閱。 本文說明如何查看存取權檢閱的結果並加以套用。

注意

本文提供關於如何從裝置或服務刪除個人資料的步驟,並且可以用來支援遵循 GDPR 的義務。 如需 GDPR 的一般資訊,請參閱 Microsoft 信任中心的 GDPR 區段服務信任入口網站的 GDPR 區段

必要條件

  • Microsoft Entra ID P2 或 Microsoft Entra ID 控管
  • 全域管理員、使用者管理員或 Identity Governance 管理員,可管理群組和應用程式檢閱的存取權。 具有全域系統管理員角色或特殊權限角色系統管理員角色的使用者可以管理可透過角色指派群組的檢閱,請參閱使用 Microsoft Entra 群組來管理角色指派
  • 安全性讀取者有讀取存取。

如需詳細資訊,請參閱授權需求

檢視存取權檢閱的狀態

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

您可以在存取權檢閱完成時追蹤其進度。

  1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理] > [存取權檢閱]

  3. 在清單中,選取存取權檢閱。

    在 [概觀] 頁面上,您可以看到檢閱 [目前] 執行個體的進度。 如果目前未開啟使用中執行個體,則您將會看到前一個執行個體的資訊。 除非完成檢閱,否則不會變更目錄中的任何存取權限。

    所有公司群組的檢閱

    只有在每個檢閱執行個體期間,才可檢視 [目前] 中的所有刀鋒視窗。

    注意

    雖然 [目前] 存取權檢閱只會顯示使用中檢閱執行個體相關資訊,但您可以在 [已排程的檢閱] 區段 [系列] 中,取得尚未進行的檢閱相關資訊。

    [結果] 頁面會提供執行個體中每個受檢閱使用者的詳細資訊,同時包括 [停止]、[重設] 和 [下載] 結果功能。

    檢閱跨 Microsoft 365 群組的來賓存取權

    若要檢視可檢閱跨 Microsoft 365 群組之來賓存取權的存取權檢閱,則 [概觀] 刀鋒視窗會列出檢閱中的所有群組。

    檢閱跨 Microsoft 365 群組的來賓存取權

    選取群組以查看該群組的檢閱進度,也可以 [停止]、[重設]、[套用] 和 [刪除]。

    詳細檢閱跨 Microsoft 365 群組的來賓存取權

  4. 若要在排程的結束日期之前停止存取權檢閱,則請選取 [停止] 按鈕。

    停止檢閱時,檢閱者將無法再回應。 檢閱停止後即無法重新開始。

  5. 如果您不想再進行存取權檢閱,可以按一下 [刪除] 按鈕,加以刪除。

檢視多階段檢閱的狀態 (預覽)

若要查看多階段存取權檢閱的狀態和階段:

  1. 選取您想要檢查狀態或查看其處於哪個階段的多階段檢閱。

  2. 選取 [目前] 下方左側導覽功能表上的 [結果]

  3. 您位於結果頁面之後,[狀態] 下方會告訴您多階段檢閱所在的階段。 在存取權檢閱設定期間指定的持續時間經過之前,檢閱的下一個階段不會變成作用中。

  4. 如果已做出決策,但是此階段的檢閱持續時間尚未過期,則您可以在結果頁面上選取 [停止目前階段] 按鈕。 這樣會觸發下一個階段的檢閱。

擷取結果

若要檢視檢閱的結果,請選取 [結果] 頁面。 若要檢視某一個使用者的存取權,請在搜尋方塊中,輸入存取權受到檢閱的使用者顯示名稱或使用者主體名稱。

擷取存取權檢閱的結果

若要檢視具有週期性且已完成的存取權檢閱執行個體的結果,請選取 [檢閱歷程記錄],然後根據執行個體的開始和結束日期,從已完成的存取權檢閱執行個體清單中選取特定的執行個體。 此執行個體的結果可從 [結果] 頁面中取得。 定期存取權檢閱可讓您持續掌握資源的存取權,這類資源可能須比一次性存取權檢閱更常更新。

若要擷取進行中或已完成存取權檢閱的結果,請選取 [下載] 按鈕。 可在 Excel 中,或開啟 UTF-8 編碼 CSV 檔案的其他程式中檢視產生的 CSV 檔案。

以程序設計方式擷取結果

您也可以使用 Microsoft Graph 或 PowerShell 來擷取存取權檢閱的結果。

您需要先找到存取權檢閱的執行個體。 如果 accessReviewScheduleDefinition 是週期性存取權檢閱,則執行個體代表每個週期。 非週期性的檢閱將只會有一個執行個體。 執行個體也代表排程定義中要檢閱的每個唯一群組。 如果排程定義會檢閱多個群組,則每個群組對於每個週期都會有唯一的執行個體。 每個執行個體都會包含檢閱者可以採取動作的決策清單,而且每個身分識別都會檢閱一個決策。

識別出執行個體之後,若要使用 Graph 來擷取決策,請呼叫 Graph API 以列出執行個體中的決策。 如果這是多階段檢閱,則請呼叫圖形 API,以列出多階段存取權檢閱中的決策。 呼叫者必須是適當角色中應用程式具有委派 AccessReview.Read.AllAccessReview.ReadWrite.All 權限的使用者,或具有 AccessReview.Read.AllAccessReview.ReadWrite.All 應用程式權限的應用程式。 如需詳細資訊,請參閱如何檢閱安全性群組的教學課程。

您也可以使用來自適用於 Identity Governance 的 Microsoft Graph PowerShell Cmdlet 模組的 Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision Cmdlet 來擷取 PowerShell 中的決策。 請注意,此 API 的預設頁面大小為 100 個決策項目。

套用變更

如果根據 [完成時的設定] 中的選取項目來啟用 [自動將結果套用至資源],則會在檢閱執行個體完成之後,或在手動停止檢閱之前,執行自動套用。

如果未針對檢閱啟用 [自動將結果套用至資源],則請在檢閱期間結束或先行停止檢閱之後導覽至 [系列] 的 [檢閱歷程記錄],然後選取您想要套用的檢閱執行個體。

套用存取權檢閱變更

選取 [套用] 以手動套用變更。 如果使用者的存取權已在檢閱中遭拒,則您選取 [套用] 時,Microsoft Entra ID 會移除其成員資格或應用程式指派。

[套用存取權檢閱變更] 按鈕

檢閱的狀態會從 [已完成] 歷經中繼狀態 (例如 [套用中]),最後變更為 [已套用結果] 狀態。 您應該會看到遭到拒絕的使用者 (若有的話),在幾分鐘內從群組成員資格或應用程式指派中移除。

手動或自動套用結果,不會影響來自內部部署目錄的群組。 如果您想要變更源自於內部部署的群組,請下載結果,並將那些變更套用至該目錄中的群組圖像。

注意

部分遭拒的使用者無法套用結果。 可能發生這種情況的情節包括:

  • 檢閱已同步處理內部部署 Windows Server AD 群組的成員:如果群組是從內部部署 Windows Server AD 同步處理,則無法在 Microsoft Entra ID 中管理群組,因此無法變更成員資格。
  • 檢閱已指派巢狀群組的資源 (角色、群組、應用程式):針對透過巢狀群組擁有成員資格的使用者,我們不會移除其巢狀群組的成員資格,因此這些使用者會保有正在檢閱之角色的存取權。
  • 找不到使用者/其他錯誤,可能也會導致不支援套用結果。
  • 檢閱已啟用郵件群組的成員:無法在 Microsoft Entra ID 中管理群組,因此無法變更成員資格。
  • 檢閱可使用群組指派的應用程式將不會移除這些群組的成員,因此其將會保留來自應用程式指派群組關聯性的現有存取權

存取權檢閱中遭拒來賓使用者採取的動作

建立檢閱時,建立者可以為存取權檢閱中遭拒的來賓使用者,在兩個選項間選擇。

  • 遭拒來賓使用者可以存取已移除的資源。 這是預設值。
  • 遭拒來賓使用者可能無法登入 30 天,然後系統會從租用戶中將其刪除。 在 30 天期間內,來賓使用者可以由管理員還原租戶用的存取權。 30 天期間過後,如果來賓使用者未再次存取授與他們的資源,則系統會永久從租用戶中移除這些使用者。 此外,全域系統管理員可以使用 Microsoft Entra 系統管理中心,以在該時段結束之前明確地永久刪除最近刪除的使用者。 使用者遭永久刪除後,該來賓使用者的相關資料會從使用中的存取權檢閱中移除。 與已刪除的使用者有關的稽核資訊仍會保留在稽核記錄中。

對已遭拒 B2B 直接連接使用者採取的動作

已遭拒 B2B 直接連線使用者和小組會無法存取 小組中的所有共用通道。

下一步