在 PIM 中完成對 Azure 資源和 Microsoft Entra 角色的存取權檢閱
在開始存取權檢閱之後,特殊權限角色管理員就可以檢閱特殊權限存取權。 Microsoft Entra ID 中的 Privileged Identity Management (PIM) 將自動傳送一封電子郵件,提示使用者檢閱其存取權。 如果使用者未收到電子郵件,您可以將如何執行存取權檢閱中的指示傳送給他們。
建立檢閱之後,請遵循本文中的步驟來完成檢閱,並查看結果。
完成存取權檢閱
提示
本文中的步驟可能會依據您開始的入口網站而稍有不同。
以指派給其中一個必要角色的使用者身分登入 Microsoft Entra 系統管理中心。
瀏覽至 身分識別控管>Privileged Identity Management。
針對 Microsoft Entra 角色,選取 [Microsoft Entra 角色]。 針對 Azure 資源,選取 [Azure 資源]
選取您想要管理的存取權檢閱。 以下是範例螢幕擷取畫面,其中顯示 Azure 資源和 Microsoft Entra 角色的存取權檢閱概觀。
在 [詳細資料] 頁面上,您可以使用下列選項來管理 Azure 資源和 Microsoft Entra 角色的檢閱:
停止存取權檢閱
所有的存取權檢閱都有結束日期,但是您可以使用 [停止] 按鈕來提早結束檢閱。 只有當檢閱執行個體為作用中時,[停止] 按鈕才可供選取。 在停止檢閱之後,即無法重新開始檢閱。
重設存取權檢閱
當檢閱執行個體為作用中,而且檢閱者至少已做過一項決策時,您可以選取 [重設] 按鈕,以移除所有做過的決策,藉此重設存取權檢閱。 重設存取權檢閱後,所有使用者會再次標示為「未檢閱」。
套用存取權檢閱
在存取權檢閱因到達結束日期或將其手動停止而完成之後,[套用] 按鈕可移除曾遭到拒絕的使用者角色存取權。 如果使用者的存取權在檢閱期間遭到拒絕,此步驟會移除其角色指派。 如果 [自動套用] 設定是在檢閱建立時設定的,此按鈕將一律為停用狀態,因為檢閱將會自動套用,而非以手動方式套用。
刪除存取權檢閱
如果對檢閱不再有任何興趣,請加以刪除。 若要從 Privileged Identity Management 服務移除存取權檢閱,請選取 [刪除] 按鈕。
重要
系統不會要求您確認此破壞性變更,因此,請確定您要刪除該檢閱。
結果
在 [結果] 頁面上,您可以檢視和下載檢閱結果清單。
注意
Microsoft Entra 角色具有可指派角色群組的概念,可將群組指派至角色。 在這個情況下,檢閱中會顯示群組,而非展開群組的成員,檢閱者只能核准或拒絕整個群組。
注意
如果群組已指派給 Azure 資源角色,Azure 資源角色的檢閱者會看見以巢狀群組形式展開的使用者清單。 如果檢閱者拒絕巢狀群組的成員,該拒絕結果將不會成功套用,因為該使用者不會從巢狀群組中移除。
審閱者
在 [檢閱者] 頁面中,您可以檢視檢閱者,並將其新增至您現有的存取權檢閱。 您也可以提醒檢閱者在此完成檢閱。
注意
如果選取的檢閱者類型是使用者或群組,您可以隨時新增更多使用者或群組做為主要檢閱者。 您也可以隨時移除主要檢閱者。 如果檢閱者類型為管理員,您可以新增使用者或群組做為後援檢閱者,以針對沒有管理員的使用者完成檢閱。 無法移除後援檢閱者。