什麼是存取權檢閱?
Microsoft Entra ID 中的存取權檢閱 (Microsoft Entra 的一部分) 可讓組織有效率地管理群組成員資格、對企業應用程式的存取權,以及角色指派。 您可以定期檢閱使用者存取權,以確保只有正確的人員可以繼續存取。
以下是提供存取權檢閱快速概觀的影片:
存取權檢閱為何重要?
Microsoft Entra ID 可讓您從組織內部與外部使用者共同作業。 使用者可以加入群組、邀請來賓、連線到雲端應用程式,並從其工作或個人裝置遠端工作。 由於能夠方便地使用自助服務,因此需要更好的存取管理功能。
- 您該如何確保新進員工有工作所需的存取權?
- 當人員調換小組或離職時,你該如何確保移除其過去的存取?
- 多餘的存取權限可能會導致入侵。
- 過度的存取權也可能導致稽核結果,因為它們表示無法控制存取權。
- 您必須主動與資源擁有者合作,以確保他們會定期檢閱可存取其資源的使用者。
何時應該使用存取權檢閱?
- 太多使用者具有特殊權限角色:您最好檢查有多少使用者擁有系統管理存取權、其中有多少人是全域管理員,以及是否有任何受邀來賓或合作夥伴未在獲指派執行系統管理工作之後移除。 您可以在 Microsoft Entra Privileged Identity Management (PIM) 體驗中重新認證 Microsoft Entra 角色中的角色指派使用者,例如 Global 管理員 istrators,或 Azure 資源角色,例如 Microsoft Entra Privileged Identity Management (PIM) 體驗中的使用者存取 管理員 istrator。
- 無法自動化時:您可以在安全性群組或 Microsoft 365 群組上建立動態成員資格的規則,但如果 HR 資料未放在 Microsoft Entra ID 中,或者,如果使用者在離開群組之後依然需要存取權來訓練其接替者呢? 然後,您可以在該群組上建立檢閱,以確保仍需要存取權的人員保持存取權。
- 當群組用於新的用途時: 如果您有一個要同步處理至 Microsoft Entra ID 的群組,或您計劃為 Sales 小組群組中的每個人啟用 Salesforce 應用程式,則要求群組擁有者在群組用於不同的風險內容之前,先檢閱群組成員資格會很有用。
- 業務關鍵性數據存取: 對於某些資源,例如 業務關鍵應用程式,可能需要作為合規性程式的一部分,要求人員定期重新確認,並提供理由說明他們為何需要持續存取。
- 為了維護原則的例外狀況清單:在理想的世界中,所有使用者都會遵循存取原則來安全地存取您組織的資源。 不過,有時候會有需要您視為例外狀況的商務案例。 身為 IT 系統管理員,您可以管理這項工作、免於監督原則例外狀況,並向稽核人員證明您有定期檢閱這些例外狀況。
- 要求群組擁有者確認他們的群組中仍然需要來賓:員工存取可能會以其他身分識別和存取管理功能自動化,例如以 HR 來源的資料為基礎的生命週期工作流程,但不會邀請來賓。 如果有群組賦予來賓存取商務機密內容的權限,該群組的擁有者就有責任確認其來賓仍有合理獲得存取權的商務需求。
- 反覆定期檢閱:您可以設定以一定的頻率 (例如,每週、每月、每季或每年) 週期性地檢閱使用者的存取權,每次檢閱開始時,檢閱者都會收到通知。 檢閱者可以透過容易使用的介面與智慧建議的協助,來核准或拒絕存取權。
注意
如果您已準備好嘗試存取權檢閱, 請參閱建立群組或應用程式的存取權檢閱
您要在何處建立評論?
根據您想要檢閱的內容,您可以在存取權檢閱、Microsoft Entra 企業應用程式、PIM 或權利管理中建立存取權檢閱。
| 使用者的存取權限 | 檢閱者可以是 | 檢閱建立於 | 檢閱者體驗 |
|---|---|---|---|
| 安全性群組成員Office 群組成員 | 指定的檢閱者群組擁有者自我檢閱 | 存取權檢閱Microsoft Entra 群組 | 存取面板 |
| 指派至已連線的應用程式 | 指定的檢閱者自我檢閱 | 存取權檢閱Microsoft Entra 企業應用程式 | 存取面板 |
| Microsoft Entra 角色 | 指定的檢閱者自我檢閱 | Pim | Microsoft Entra 系統管理中心 |
| Azure 資源角色 | 指定的檢閱者自我檢閱 | Pim | Microsoft Entra 系統管理中心 |
| 存取套件指派 | 指定的檢閱者群組成員自我檢閱 | 權利管理 | 存取面板 |
授權需求
使用此功能需要貴組織使用者的 Microsoft Entra ID 控管訂用帳戶。 這項功能中的某些功能可能會使用 Microsoft Entra ID P2 訂用帳戶運作,如需詳細資訊,請參閱每項功能的文章。 若要尋找您需求的正確授權,請參閱 Microsoft Entra ID 控管 授權基本概念。
注意
在非使用中使用者上建立檢閱,並使用使用者對群組的關聯性建議需要 Microsoft Entra ID 控管 授權。