使用存取權檢閱管理使用者和來賓使用者存取權
透過存取權檢閱,您可以輕易地確認使用者或來賓是否有適當的存取權。 您可藉由要求使用者本身或決策者參與存取權檢閱,並重新證實 (或「證明」) 使用者的存取權。 檢閱者可以根據來自 Microsoft Entra 識別碼的建議,對需要持續存取的每個使用者提供其意見。 存取權檢閱完成時,您可接著進行變更並為使用者移除不再需要的存取權。
注意
本文說明如何執行使用者和應用程式的存取權檢閱。 若要了解如何對存取套件中多個資源執行存取權檢閱的相關資訊,請參閱這裡:在 Microsoft Entra 權利管理中檢閱存取套件的存取權。 如果您想要檢閱使用者或服務主體對 Microsoft Entra ID 或 Azure 資源角色的存取權,請參閱在 Microsoft Entra Privileged Identity Management 中開始存取權檢閱。
必要條件
- Microsoft Entra ID P2 或 Microsoft Entra ID Governance
如需詳細資訊,請參閱授權需求。
建立和執行使用者的存取權檢閱
首先,您必須獲指派下列其中一個角色:
- 全域系統管理員
- 使用者管理員
- 身分識別控管系統管理員
- 特殊權限角色系統管理員 (僅限檢閱角色指派的群組)
- (預覽) 要檢閱群組的 Microsoft 365 或 Microsoft Entra 安全性群組擁有者
注意
根據最低權限存取原則,建議您使用「身分識別治理管理員」或「使用者管理員」來執行這些工作。
然後,前往 Identity Governance 頁面,確認您的組織已準備好檢閱存取權。
您可以有一或多個使用者作為存取權檢閱中的檢閱者。
選取具有一或多個成員的 Microsoft Entra ID 的群組。 或選取連線到 Microsoft Entra ID 的應用程式,該應用程式上有一或多個指派至此的使用者。
決定要讓每個使用者檢閱其自己的存取權,或讓一或多個使用者檢閱每個人的存取權。
建立存取權檢閱。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
存取權檢閱開始時,要求檢閱者提供意見。 依預設,使用者會各自收到來自 Microsoft Entra ID 的電子郵件,其中的連結可連至存取面板,以檢閱群組或應用程式的存取權。
如果檢閱者未提供輸入,則您可以要求 Microsoft Entra ID 將提醒傳送給他們。 依預設,Microsoft Entra ID 會在接近結束日期時,自動將提醒傳送給所有檢閱者。
檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
使用 Microsoft Entra 存取權檢閱管理來賓存取權
您可以搭配 Microsoft Entra ID 使用 Microsoft Entra B2B 功能,輕鬆地跨組織界限來啟用共同作業。 來自其他租用戶的來賓使用者可以由系統管理員邀請或其他使用者邀請。 此功能也適用社交身分識別,例如 Microsoft 帳戶。
建立和執行來賓的存取權檢閱
要為來賓建立存取權檢閱,也需要為使用者建立存取權檢閱所需的相同角色。 如需詳細資訊,請參閱建立和執行使用者的存取權檢閱。
Microsoft Entra ID 支援幾個檢閱來賓使用者的場景。
您可以檢閱任一:
- Microsoft Entra ID 中的一個群組,其具有一或多個來賓作為成員。
- 連線到 Microsoft Entra ID 的一個應用程式,其具有一或多個指派給它的來賓使用者。
當您檢閱來賓使用者對 Microsoft 365 群組的存取權時,您可以個別建立每個群組的檢閱,或開啟對所有 Microsoft 365 群組中來賓使用者的自動週期性存取權檢閱。 下列影片提供來賓使用者週期性存取權檢閱的詳細資訊:
然後您可以決定是否要要求每個來賓檢閱其自己的存取權,或要求一或多個使用者檢閱邁個來賓的存取權。
下列各節說明這些案例。
要求來賓檢閱其在群組中的成員資格
使用存取權檢閱,可確定已受邀並新增至群組的使用者持續需要存取權。 您可以輕鬆要求來賓檢閱其在該群組中的成員資格。
若要建立群組的存取權檢閱,請選取只包含來賓使用者成員的檢閱,並讓其中的成員自行檢閱。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
要求每個來賓檢閱他們自己的成員資格。 根據預設,已接受邀請的每個來賓都會收到 Microsoft Entra ID 的電子郵件,其中包含存取權檢閱的連結。 Microsoft Entra ID 有提供來賓如何檢閱群組或應用程式的存取權相關指示。
檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
除了那些拒絕持續存取權需求的使用者外,您可能也想要移除未回應的使用者。
如果群組不是使用於存取權管理,您也可移除因未接受邀請而未獲選參與檢閱的使用者。 未接受可能是因為受邀使用者的電子郵件地址拼錯。 如果某群組是作為通訊群組清單,可能某些來賓使用者因為是連絡人物件而未獲選參與。
要求贊助者檢閱來賓在群組中的成員資格
您可以要求贊助者 (例如群組的擁有者) 檢閱來賓是否需要持續保有群組成員資格。
若要建立群組的存取權檢閱,請選取只包含來賓使用者成員的檢閱。 然後指定一或多個檢閱者。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
要求檢閱者提供意見。 依預設,使用者會各自收到來自 Microsoft Entra ID 的電子郵件,其中的連結可連至存取面板,以檢閱群組或應用程式的存取權。
檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
注意
您可以封鎖外部身分識別,使其無法登入您的租用戶,並在 30 天後刪除租用戶中的外部身分識別。 在這段期間內,將無法檢視或設定目前檢閱底下的設定、結果、檢閱者或稽核記錄。 如需詳細資訊,請參閱透過 Microsoft Entra 存取權檢閱來停用及刪除外部身分識別。
要求來賓檢閱其自己的應用程式存取權
使用存取權檢閱,可確保因特定應用程式而受邀的使用者持續需要存取權。 您可以輕鬆要求來賓檢閱其自己的存取權需求。
若要建立應用程式的存取權檢閱,請選取只包含來賓的檢閱,並讓其中的使用者自行檢閱存取權。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
要求每個來賓檢閱其自己的應用程式存取權。 根據預設,已接受邀請的每個來賓都會收到 Microsoft Entra ID 的電子郵件。 該電子郵件有一個連結可連至貴組織存取面板中的存取權檢閱。 Microsoft Entra ID 有提供來賓如何檢閱群組或應用程式的存取權相關指示。
檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
除了那些拒絕持續存取權需求的使用者外,您可能也想要移除未回應的來賓使用者。 您也可以移除未獲選參與的來賓使用者,尤其如果他們最近未獲邀請。 這些使用者未接受邀請,因此無法存取應用程式。
要求贊助者檢閱來賓的應用程式存取權
您可以要求贊助者 (例如應用程式的擁有者) 檢閱來賓是否需要應用程式的持續存取權。
若要建立應用程式的存取權檢閱,請選取只包含來賓的檢閱。 然後指定一或多個使用者作為檢閱者。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
要求檢閱者提供意見。 依預設,使用者會各自收到來自 Microsoft Entra ID 的電子郵件,其中的連結可連至存取面板,以檢閱群組或應用程式的存取權。
檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
要求來賓檢閱其一般的存取權需求
在某些組織中,來賓可能無法得知其群組成員資格。
如果不存在適當的群組,請在 Microsoft Entra ID 中建立成員是來賓的安全性群組。 比方說,您可以建立手動保留來賓成員資格的群組。 或者,您可針對 Contoso 租用戶中 UserType 屬性值為「來賓」的使用者,建立具有「Contoso 來賓」之類名稱的動態群組。 請注意,身為群組成員的來賓使用者可以看見群組的其他成員。
若要建立該群組的存取權檢閱,請選取本身是成員的檢閱者。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱。
要求每個來賓檢閱他們自己的成員資格。 根據預設,已接受邀請的每個來賓會收到 Microsoft Entra ID 的電子郵件,其中的連結可連至您組織的存取面板以執行存取權檢閱。 Microsoft Entra ID 有提供來賓如何檢閱群組或應用程式的存取權相關指示。
在檢閱者提供輸入後,停止存取權檢閱。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱。
移除被拒絕、未完成檢閱,或先前未接受邀請之來賓的來賓存取權。 如果某些來賓是連絡人且獲選參與檢閱,或是他們未接受邀請,您可以使用 Microsoft Entra 系統管理中心或 PowerShell 來停用其帳戶。 如果來賓不再需要存取權、也不是連絡人,您可以使用 Microsoft Entra 系統管理中心或 PowerShell 刪除來賓使用者物件,以從您的目錄中移除其使用者物件。
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: