使用Microsoft Entra存取權檢閱來管理使用者存取權

透過Microsoft Entra,您可以輕鬆地確保使用者具有適當的存取權。 您可藉由要求使用者本身或決策者參與存取權檢閱,並重新證實 (或「證明」) 使用者的存取權。 檢閱者可以根據Microsoft Entra的建議,提供每位使用者持續存取需求的輸入。 存取權檢閱完成時,您可接著進行變更並為使用者移除不再需要的存取權。

注意

如果您只想檢閱來賓使用者的存取權,而不要檢閱各類使用者的存取權,請參閱透過存取權檢閱管理來賓使用者存取權。 若您想要檢閱使用者的系統管理角色 (例如全域系統管理員) 成員資格,請參閱在 Azure AD Privileged Identity Management 中開始存取權檢閱

必要條件

  • Azure AD Premium P2

如需詳細資訊,請參閱授權需求

如果您要檢閱應用程式的存取權,則在建立檢閱之前,請參閱有關如何準備使用者對應用程式的存取權檢閱一文,以確保應用程式已與 Azure AD 整合。

建立和執行存取權檢閱

您可以讓一或多個使用者作為存取權檢閱中的檢閱者。

  1. 在 Azure AD 中選取具有一個或多個成員的群組。 或選取連接至 Azure AD、已獲指派一或多個使用者的應用程式。

  2. 決定是否要讓每個使用者檢閱自己的存取權,或讓一個或多個使用者檢閱每個人的存取權。

  3. 下列其中一個角色:全域系統管理員、使用者系統管理員或 (預覽) 待檢閱群組的 Microsoft 365 群組或 Azure AD 安全性群組的擁有者,請移至身分識別治理頁面

  4. 建立存取權檢閱。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱

  5. 存取權檢閱開始時,要求檢閱者提供意見。 根據預設,他們會各自收到來自 Azure AD 的電子郵件,其中的連結可連至存取面板,以檢閱群組或應用程式的存取權

  6. 如果檢閱者有沒有指定的輸入,則您可以要求 Azure AD 將提醒傳送給他們。 依預設,Azure AD 會在結束日期過半時自動將提醒傳送給尚未回應的檢閱者。

  7. 在檢閱者提供輸入後,停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱

後續步驟

建立群組或應用程式的存取權檢閱