分享方式:

在 PIM 中建立 Azure 資源和 Microsoft Entra 角色的存取權檢閱

  • 文章

使用者存取特殊權限 Azure 資源和 Microsoft Entra 角色的需求會隨著時間變化。 若要減少與過時角色指派相關聯的風險,您應該定期檢閱存取權。 您可以使用 Microsoft Entra Privileged Identity Management (PIM) 來建立對 Azure 資源和 Microsoft Entra 角色的特殊權限存取權檢閱。 您也可以設定自動發生的週期性存取權檢閱。 本文說明如何建立一或多個存取權檢閱。

必要條件

使用 Privileged Identity Management 需要授權。 如需授權的詳細資訊,請參閱 Microsoft Entra ID 控管授權基本概念

如需 PIM 授權的詳細資訊,請參閱 使用特殊權限身分識別管理的授權需求

若要建立 Azure 資源的存取權檢閱,您必須指派給 Azure 資源的 擁有者使用者存取系統管理員 角色。 若要建立 Microsoft Entra 角色的存取權檢閱,您必須至少獲指派為特殊權限角色管理員角色。

除了 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 授權之外,使用服務主體的存取權檢閱還需要 Microsoft Entra 工作負載 ID 進階方案。

注意

存取權檢閱會擷取每個檢閱執行個體開頭的存取權快照。 在檢閱程序期間所做的任何變更都會反映在後續的檢閱週期中。 基本上,每當開始新一輪的檢閱,都會擷取有關使用者、待檢閱的資源及其相應檢閱者的相關資料。

建立存取權檢閱

提示

本文中的步驟可能會依據您開始的入口網站而稍有不同。

  1. 以指派給其中一個必要角色的使用者身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 身分識別控管>Privileged Identity Management

  3. 針對 [Microsoft Entra 角色],選取 [Microsoft Entra 角色]。 針對 [Azure 資源],選取 [Azure 資源]

    此螢幕擷取畫面顯示在 Microsoft Entra 系統管理中心選取 [身分識別治理]。

  4. 針對 [Microsoft Entra 角色],請再次選取 [管理] 下方的 [Microsoft Entra 角色]。 針對 [Azure 資源],請選取您要管理的訂用帳戶。

  5. 在 [管理] 底下,選取 [存取權檢閱],然後選取 [新增] 以建立新的存取權檢閱。

    此螢幕擷取畫面顯示 [Microsoft Entra 角色] - 顯示所有檢閱狀態的存取權檢閱清單。

  6. 命名存取權檢閱。 您可以選擇性地提供檢閱描述。 會向檢閱者顯示名稱和描述。

    此螢幕擷取畫面顯示 [建立存取權檢閱] - 檢閱名稱和描述。

  7. 設定 [開始日期]。 根據預設,存取權檢閱會發生一次、在建立的相同時間開始,以及在一個月內結束。 您可以變更開始和結束日期,讓存取權檢閱在未來開始,並持續至您想要的天數。

    此螢幕擷取畫面顯示開始日期、頻率、持續時間、結束、次數和結束日期。

  8. 若要進行週期性存取權檢閱,請將 [頻率] 設定從 [單次] 變更為 [每週]、[每月]、[每季]、[每年] 或 [每半年]。 使用 [持續時間] 滑桿或文字方塊,定義週期性系列的每次檢閱將開放檢閱者輸入的天數。 例如,您可以為每月檢閱設定的持續時間上限為 27 天,以避免重覆檢閱。

  9. 使用 [結束] 設定來指定如何結束週期性存取權檢閱系列。 此系列可以以三種方式結束:它會持續執行以無限期地開始檢閱、直到特定日期,或完成定義的發生次數之後。 您或可以管理檢閱的其他管理員可以變更 [設定] 中的日期,以在系列建立之後予以停止,讓其於該日期結束。

  10. 在 [使用者範圍] 區段中,選取檢閱的範圍。 針對 [Microsoft Entra 角色],第一個範圍選項是 [使用者和群組]。 此選取項目將會包含直接指派的使用者和可指派角色的群組。 針對 Azure 資源角色,第一個範圍將會是使用者。 指派給 Azure 資源角色的群組會展開,以顯示檢閱中具有此選取範圍的可轉移使用者指派。 您也可以選取 [服務主體] 來檢查可直接存取 Azure 資源或 Microsoft Entra 角色的電腦帳戶。

    此螢幕擷取畫面顯示檢閱角色成員資格的使用者範圍。

  11. 您也可僅針對非使用中的使用者建立存取權檢閱。 在 [使用者範圍] 區段中,將 [僅限非使用中的使用者 (租用戶層級)] 設定為為 [true]。 如果切換設定為 [true],則檢閱範圍只會著重於非使用中的使用者。 然後,為 [非使用中天數] 設定一個非使用中天數,最多 730 天 (兩年)。 在指定的天數內,非使用中的使用者將是檢閱中唯一的使用者。

  12. 在 [檢閱角色成員資格] 下,選取要檢閱的特殊權限 Azure 資源或 Microsoft Entra 角色。

    注意

    選取一個以上的角色將會建立多個存取權檢閱。 例如,選取五個角色將會建立五個不同的存取權檢閱。

    螢幕擷取畫面顯示檢閱角色成員資格。

  13. 在 [指派類型] 中,將主體指派給角色的方式會決定檢閱範圍。 選擇 [僅合格的指派] 以檢閱合格的指派 (而不論建立檢閱時的啟動狀態),或 [僅使用中的指派] 以檢閱使用中的指派。 無論類型為何,請選擇 [所有使用中和合格的指派] 來檢閱所有指派。

    此螢幕擷取畫面顯示指派類型的檢閱者清單。

  14. 在 [檢閱者] 區段中,選取一或多個人員來檢閱所有使用者。 或者,您可以選擇讓成員檢閱自己的存取權。

    所選使用者或成員 (自我) 的檢閱者清單

    • 選取的使用者 - 使用此選項來指定特定使用者來完成檢閱。 不論檢閱的範圍為何都可以使用此選項,而選取的檢閱者可以檢閱使用者、群組和服務主體。
    • 成員 (自己) - 使用此選項可讓使用者檢閱自己的角色指派。 只有在檢閱範圍限定於使用者和群組使用者時,此選項才可供使用。 針對 [Microsoft Entra 角色],選取此選項時,可指派角色的群組將不會成為檢閱的一部分。
    • 管理員 – 使用此選項可讓使用者的管理員檢閱其角色指派。 只有在檢閱範圍限定於使用者和群組使用者時,此選項才可供使用。 選取 [管理員] 時,您也可以選擇是否要指定後援檢閱者。 當使用者未在目錄中指定管理員時,系統會要求後援檢閱者檢閱使用者。 針對 [Microsoft Entra 角色],如果有選取可指派角色的群組,則會由後援檢閱者進行檢閱。

設定完成時

  1. 若要指定檢閱完成之後會發生什麼情況,請展開 [完成設定時] 區段。

    此螢幕擷取畫面顯示 [完成時的設定] 設為自動套用,以及檢閱者沒有回應的選項。

  2. 如果您想要對遭拒絕的使用者自動移除存取權,請將 [自動將結果套用至資源] 設為 [啟用]。 如果您要在檢閱完成時手動套用結果,請將切換設定為 [停用]

  3. 使用 [若檢閱者未回應] 清單,來指定檢閱者未在檢閱期間內檢閱的使用者會發生的情況。 此設定並不會影響檢閱者已檢閱的使用者。

    • 無變更 - 使用者的存取權保持不變
    • 移除存取權 - 移除使用者的存取權
    • 核准存取權 - 核准使用者的存取權
    • 採納建議 - 採納系統針對應拒絕或核准使用者的持續存取所提出的建議

  4. 使用 [要套用至已拒絕來賓使用者的動作] 清單,來指定遭到拒絕的來賓使用者會發生的情況。 此設定目前無法供 Microsoft Entra ID 和 Azure 資源角色檢閱編輯;來賓使用者如同所有使用者,若遭到拒絕將永遠無法存取資源。

    此螢幕擷取畫面顯示 [完成時的設定] - 要對遭拒絕的來賓使用者套用的動作。

  5. 您可以將通知傳送給其他使用者或群組,以接收檢閱完成更新。 這項功能可讓檢閱建立者以外的專案關係人更新檢閱進度。 若要使用這項功能,請選取 [選取使用者或群組],然後在您想要接收完成的狀態時,新增額外的使用者或群組。

    此螢幕擷取畫面顯示 [完成時的設定] - 新增其他使用者以接收通知。

進階設定

  1. 若要指定其他設定,請展開 [進階設定] 區段。

    此螢幕擷取畫面顯示 [進階設定],包含 [顯示建議]、[需要核准的原因]、[郵件通知] 和 [提醒]。

  2. [顯示建議] 設定為 [啟用],以向檢閱者顯示以使用者存取權資訊為基礎的系統建議。 建議是以 30 天期間間隔為基礎。 對於過去 30 天內登入的使用者,系統會顯示建議核准存取,而對於未登入的使用者,系統則會顯示以建議拒絕存取。 無論這些登入是否為互動式登入都沒有影響。 使用者的最後一次登入也會隨著建議一起顯示。

  3. [需要核准的原因] 設定為 [啟用] 以要求檢閱者提供核准的原因。

  4. 郵件通知設定為啟用,會讓 Microsoft Entra ID 在存取權檢閱開始時傳送電子郵件通知給檢閱者,並在檢閱完成時傳送電子郵件通知給管理員。

  5. 提醒設定為啟用,會讓 Microsoft Entra ID 對尚未完成其檢閱的檢閱者傳送存取權檢閱正在進行中的提醒。

  6. 系統會根據檢閱詳細資料 (例如檢閱名稱、資源名稱和到期日等),自動產生傳送給檢閱者的電子郵件內容。 如果您需要傳達其他資訊 (例如其他指示或連絡人資訊) 的方式,可以在 [檢閱者電子郵件的其他內容] 中指定這些詳細資料,邀請和提醒電子郵件會納入這些資料,一併傳給指派的檢閱者。 以下醒目提示的區段是即將顯示這項資訊的位置。

    醒目提示傳送給檢閱者的電子郵件內容

管理存取權檢閱

您可以追蹤檢閱者在存取權檢閱的 [概觀] 頁面上完成檢閱的進度。 在完成檢閱之前,不會變更目錄中的任何存取權限。 以下螢幕擷取畫面顯示 Azure 資源Microsoft Entra 角色存取權檢閱的概觀頁面。

此螢幕擷取畫面顯示存取權檢閱概觀頁面,其中顯示 Microsoft Entra 角色的存取權檢閱詳細資料。

如果這是一次性檢閱,則請在存取權檢閱期間結束或系統管理員停止存取權檢閱之後,依照完成 Azure 資源和 Microsoft Entra 角色的存取權檢閱的步驟來查看並套用結果。

若要管理一系列的存取權檢閱,請瀏覽至存取權檢閱,而您會在 [已排程的檢閱] 中發現即將發生的項目,請據此編輯結束日期或新增/移除檢閱者。

根據您在 [完成時的設定] 中所選取的項目,自動套用會在檢閱的結束日期之後,或在您手動停止檢閱時執行。 檢閱的狀態會從 [已完成] 歷經中繼狀態 (例如 [套用中]),最後變更為 [已套用] 狀態。 您應該會在幾分鐘內看到遭到拒絕的使用者 (如果有的話) 正從角色中移除。

對指派給存取權檢閱中 Microsoft Entra 角色和 Azure 資源角色的群組的影響

•針對 [Microsoft Entra 角色],可以使用可指派角色的群組,將可指派角色的群組指派給角色。 在獲指派可指派角色群組的 Microsoft Entra 角色上建立檢閱時,群組名稱會顯示在檢閱中,而不需要展開群組成員資格。 檢閱者可以核准或拒絕整個群組對角色的存取。 套用檢閱結果時,拒絕的群組將會失去其對角色的指派。

• 針對「Azure 資源角色」,任何安全性群組都可以指派給角色。 在已指派安全性群組的 Azure 資源角色上建立檢閱時,將會完全展開指派給該安全性群組的使用者,並向該角色的檢閱者予以顯示。 檢閱者拒絕透過安全性群組指派給角色的使用者時,將不會從群組中移除使用者。 這是因為群組可能已和其他 Azure 或非 Azure 資源分享。 因此,系統管理員必須完成拒絕存取所產生的變更。

注意

您可以將其他群組指派給安全性群組。 在此情況下,如果已將安全性群組指派給角色,則只有直接指派給該安全性群組的使用者才會出現在角色的檢閱中。

更新存取權檢閱

啟動一或多個存取權檢閱之後,您可能會想要修改或更新現有存取權檢閱的設定。 以下是一些您可能想要考慮的常見案例:

  • 新增和移除檢閱者 - 更新存取權檢閱時,除了主要檢閱者之外,您還可以選擇新增後援檢閱者。 更新存取權檢閱時,可能會移除主要檢閱者。 不過,依設計無法移除後援檢閱者。

    注意

    只有當檢閱者類型為管理員時,才可以新增後援檢閱者。 當檢閱者類型為選取的使用者時,可以新增主要檢閱者。

  • 提醒檢閱者 - 更新存取權檢閱時,您可以選擇啟用 [進階設定] 下的提醒選項。 啟用之後,使用者將會在檢閱期間的中間點收到電子郵件通知,不論他們是否已完成檢閱。

    此螢幕擷取畫面顯示存取權檢閱設定底下的提醒選項。

  • 更新設定 - 如果存取權檢閱是週期性的,則「目前」和「序列」下會有不同的設定。 更新 [目前] 下的設定,只會對目前的存取權檢閱套用變更,而更新 [系列] 下的設定時,將會更新所有未來週期的設定。

    此螢幕擷取畫面顯示存取權檢閱底下的設定頁面。

下一步