分享方式:


建立權利管理存取套件的存取權檢閱

為降低過時存取的風險,您應該針對在權利管理存取套件中具有有效指派的使用者啟用定期檢閱。 在建立新的存取套件或編輯現有的存取套件指派原則時,您可以啟用檢閱。 本文說明如何啟用存取套件的存取權檢閱。

必要條件

若要啟用存取套件的檢閱,您必須符合建立存取套件的必要條件:

  • Microsoft Entra ID P2 或 Microsoft Entra ID Governance
  • 全域管理員、身分識別治理管理員、目錄擁有者或存取套件管理員

注意

建議遵循最低權限存取權,使用身分識別治理管理員、目錄擁有者或存取套件管理員角色。

如需詳細資訊,請參閱授權需求

建立存取套件的存取權檢閱

提示

根據您從中開始的入口網站,本文中的步驟可能會略有不同。

建立新的存取套件編輯現有的存取套件指派原則時,您可以啟用存取權檢閱。 如果您有多個原則供不同的使用者社群要求存取權,您可以讓每個原則擁有獨立的存取權檢閱排程。 請依照下列步驟啟用存取套件的存取權檢閱:

  1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理]>[存取權檢閱]>[存取套件]

  3. 若要建立新的存取原則,請選取 [新增存取套件]

  4. 若要編輯現有的存取原則,請在左側功能表中選取 [存取套件],然後開啟您想要編輯的存取套件。 然後,在左側功能表中選取 [原則],然後選取具有您要編輯其生命週期設定的原則。

  5. 開啟存取套件指派原則的 [生命週期] 索引標籤,指定使用者對套件存取的指派到期時間。 您也可以指定使用者是否可以將指派延期。

  6. 在 [到期] 區段中,將 [存取套件指派到期] 設定為 [日期]、[天數]、[時數] 或 [永不]。

    若為 [日期],請選取未來的到期日。

    若為 [天數],請指定介於 0 至 3660 天之間的數字。

    若為 [時數],請指定時數。

    根據您的選擇,使用者在存取套件中的指派會在特定日期到期、在核准後的特定天數後到期,或永不到期。

    存取套件 - 生命週期到期設定

  7. 選取 [顯示進階到期設定] 以顯示其他設定。

  8. 若要允許使用者將指派延期,請將 [允許使用者延期存取] 設定為 [是]

    如果原則中允許延期,則使用者會在存取套件指派所設定到期的前 14 天以及前一天收到電子郵件,提示使用者將指派延期。 使用者在要求延期時,必須仍在原則的範圍內。 此外,如果原則對指派有明確的結束日期,且使用者提出要求延期存取,則要求中的延期日期必須在指派到期當天或之前 (在將存取套件的存取權授與使用者的原則中定義)。 舉例來說,如果原則指出指派設為 6 月 30 日到期,則使用者最長可以要求延期到 6 月 30 日。

    如果已將使用者的存取權延期,則使用者無法在指定的延期日期 (以建立原則的使用者所在時區設定的日期) 之後要求存取套件。

  9. 如需核准來授與延期,請將 [需要核准來授與延期] 設定為 [是]

    系統將使用在 [要求] 索引標籤上指定的相同核准設定。

  10. 接下來,請將 [需要存取權檢閱] 切換為 []。

    新增存取權檢閱

  11. 在 [開始日期] 旁,指定檢閱的開始日期。

  12. 接下來,將 [檢閱頻率] 設定為 [每年]、[每兩年]、[每季] 或 [每月]。 此設定會決定存取權檢閱發生的頻率。

  13. 設定 [ 持續時間 ] 以定義週期性數列的每個檢閱開啟的天數,以供檢閱者輸入。 例如,您可能會排程開始日期為一月 1 日的年度檢閱且開放 30 天以供檢閱,讓檢閱者可以在該月結束之前回應。

  14. 在 [檢閱者] 旁,若您要使用者執行自己的存取權檢閱,請選取 [自主檢閱],或若您要指定檢閱者,請選取 [特定檢閱者]。 若您要將檢閱者的管理員指定為檢閱者,您也可以選取 [管理員]。 如果選取此選項,則您必須新增可轉送檢閱的後援,以防在系統中找不到管理員。

  15. 若已選取 [特定檢閱者],請指定執行存取權檢閱的使用者:

    選取 [新增檢閱者]

    1. 選取 [新增檢閱者]。
    2. 在 [選取檢閱者] 窗格中,搜尋並選取所要為檢閱者的使用者。
    3. 若已選取檢閱者,請選取 [選取] 按鈕。

    指定檢閱者

  16. 如果您已選取 [管理員],請指定遞補檢閱者:

    1. 選取 [新增遞補檢閱者]。
    2. 在 [選取後援檢閱者] 窗格中,針對檢閱者的管理員,搜尋並選取使用者以做為其後援檢閱者。
    3. 若已選取後援檢閱者,請選取 [選取] 按鈕。

    新增後援檢閱者

  17. 您可以設定其他進階設定。 若要設定其他的進階存取權檢閱設定,請選取 [顯示進階存取權檢閱設定]

    1. 如果您想要指定檢閱者未回應時使用者存取權會發生什麼情況,請選取 [若檢閱者未回應],然後選取下列其中一項:

      • [沒有變更],如果您不想要對使用者的存取權進行決策。
      • [移除存取權],如果您想要移除使用者的存取權。
      • [採納建議],如果您想要根據 MyAccess 的建議進行決策。

      新增進階存取權檢閱設定

    2. 如果您想要查看系統建議,請選取 [顯示檢閱者決策協助程式]。 系統的建議是根據使用者的活動。 檢閱者會看到下列其中一項建議:

      • 核准檢閱,如果使用者在過去 30 天的期間已至少登入一次。
      • 拒絕檢閱,如果使用者在過去 30 天的期間未登入。
    3. 如果您想要檢閱者分享其核准決策的原因,請選取 [需要檢閱者理由]。 其他檢閱者和要求者可以看到他們的理由。

  18. 如果您要建立新的存取套件,請按一下 [檢閱 + 建立] 或選取 [下一步]。 如果您要編輯存取套件,請在頁面底部選取 [更新]

檢視存取權檢閱的狀態

在開始日期之後,存取權檢閱會在 [存取權檢閱] 中列出。 請遵循下列步驟,檢視存取權檢閱的狀態:

  1. 在 [身分識別治理] 中,選取 [存取套件],然後選取您要查看其存取權檢閱狀態的存取套件。

  2. 在存取套件的概觀頁面,選取左側功能表的 [存取權檢閱]

    選取存取權檢閱

  3. 清單隨即出現,其中包含所有具有相關聯存取權檢閱的原則。 選取檢閱可查看其報表。

    存取權檢閱的清單

  4. 當您查看報表時,便會顯示已檢閱使用者的數目和檢閱者所採取的動作。

    檢視檢閱狀態

存取權檢閱的電子郵件通知

您可以指定檢閱者,或使用者可以自行檢閱其存取權。 依預設,Microsoft Entra ID 會在檢閱開始後,立即傳送電子郵件至檢閱者或自我檢閱者。

電子郵件會包含如何檢閱存取套件存取權的指示。 如果是供使用者檢閱其存取權,請向使用者展示如何執行自行檢閱存取套件的指示。

如果您已將來賓使用者指派為檢閱者,但來賓使用者尚未接受 Microsoft Entra 來賓邀請,則來賓使用者將不會收到存取權檢閱的電子郵件。 來賓使用者必須先接受邀請並使用 Microsoft Entra ID 建立帳戶,才可以接收電子郵件。

注意

在檢閱週期開放期間,檢閱者一律可以變更其存取權檢閱決策。 在存取權檢閱的時間中間點,即使檢閱者在此之前已做出決策,系統仍會傳送提醒電子郵件給檢閱者,通知檢閱者存取權檢閱週期仍在開放中。

下一步