在存取權檢閱中檢閱群組和應用程式的存取權

  • 發行項

Microsoft Entra ID 可簡化企業如何使用稱為存取權檢閱的功能來管理 Microsoft Entra ID 和其他 Microsoft Web 服務中群組和應用程式的存取權。 本文涵蓋指定檢閱者如何針對具有應用程式存取權的群組或使用者成員執行存取權檢閱。 如果您想要檢閱存取套件的存取權,請閱讀 檢閱權利管理 中存取套件的存取權。

使用我的存取權執行存取權檢閱

您可以透過 [我的存取] 檢閱群組和應用程式的存取權。 我的存取權是使用者易記的入口網站,可用於授與、核准和檢閱存取需求。

使用電子郵件移至 [我的存取權]

重要

接收電子郵件可能會出現延遲。 在某些情況下,最多可能需要 24 小時的時間。 將 新增 azure-noreply@microsoft.com 至安全收件者清單,以確定您收到所有電子郵件。

  1. 尋找 Microsoft 要求您檢閱存取權的電子郵件。 以下是電子郵件訊息範例:

    Screenshot of example email from Microsoft to review access to a group.

  2. 選取 [開始檢閱] 連結以開啟存取權檢閱。

直接移至我的存取權

您也可以使用瀏覽器開啟 [我的存取權] 來檢視擱置中的存取權檢閱。

  1. 在 登入我的存取 https://myaccess.microsoft.com/ 權。

  2. 從左側功能表中選取 [存取權檢閱 ],以查看指派給您的擱置存取權檢閱清單。

檢閱一或多個使用者的存取權

在 [群組和應用程式 ] 下 開啟 [我的存取權] 之後,您可以看到:

  • 名稱 :存取權檢閱的名稱。
  • 到期 :檢閱的到期日。 在此日期之後,拒絕的使用者可以從要檢閱的群組或應用程式中移除。
  • 資源 :正在檢閱的資源名稱。
  • 進度 :此存取權檢閱的使用者總數所檢閱的使用者數目。

選取要開始使用的存取權檢閱名稱。

Screenshot of pending access reviews list for apps and groups.

開啟之後,您會看到存取權檢閱範圍中的使用者清單。

注意

如果要求是檢閱您自己的存取權,頁面看起來會有所不同。 如需詳細資訊,請參閱 檢閱群組或應用程式的 存取權。

您可以使用兩種方式來核准或拒絕存取:

  • 您可以手動核准或拒絕一或多個使用者的存取權。
  • 您可以接受系統建議。

手動檢閱一或多個使用者的存取權

  1. 檢閱使用者清單,並決定是否要核准或拒絕使用者的持續存取權。

  2. 選取其名稱旁的圓形,以選取一或多個使用者。

  3. 選取列上的 [ 核准] 或 [拒絕 ]。

    如果您不確定使用者是否應該繼續存取權,您可以選取 [不知道 ]。 使用者可以保留其存取權,而且您的選擇會記錄在稽核記錄中。 請記住,您提供的資訊可供其他檢閱者使用。 他們可以閱讀您的批註,並在檢閱要求時將其納入考慮。

    Screenshot of open access review listing the users who need review.

  4. 存取權檢閱的系統管理員可能需要您在 [原因 ] 方塊中 提供決策的原因,即使不需要原因也一定。 您仍然可以提供決定的原因。 您包含的資訊可供其他核准者檢閱。

  5. 選取送出

    您可以隨時變更回應,直到存取權檢閱結束為止。 如果要變更回應,請選取資料列並更新回應。 例如,您可以核准先前拒絕的使用者,或拒絕先前核准的使用者。

重要

  • 如果使用者遭到拒絕存取,系統不會立即移除。 當使用者檢閱期間結束或系統管理員停止檢閱時,就會移除使用者。
  • 如果有多個檢閱者,則會記錄最後提交的回應。 假設系統管理員指定兩個檢閱者:Alice 和 Bob。 Alice 先開啟存取權檢閱,並核准某個使用者的存取要求。 在檢閱期間結束之前,Bob 開啟了存取權檢閱,並拒絕了 Alice 先前核准之相同要求的存取。 拒絕存取的最後一個決策就是系統記錄的回應。

根據建議檢閱存取權

為了讓您存取權檢閱更容易且更快速地進行,我們也提供您可以接受單一選取專案的建議。 有兩種方式可讓系統產生檢閱者的建議。 其中一種方法是使用者的登入活動。 如果使用者已在非使用中 30 天以上,系統建議檢閱者拒絕存取權。

另一種方法是以使用者的對等存取為基礎。 如果使用者沒有與其對等相同的存取權,系統建議檢閱者拒絕該使用者存取權。

如果您在 30 天內 沒有 登入或 已啟用對等極端值 ,請遵循下列步驟接受建議:

  1. 選取一或多個使用者,然後選取 [ 接受建議 ]。

    Screenshot of open access review listing that shows the Accept recommendations button.

    或者,若要接受所有未檢視使用者的建議,請確定未選取任何使用者,然後選取 頂端列上的 [接受建議 ] 按鈕。

  2. 選取 [ 提交 ] 以接受建議。

注意

當您接受建議時,將不會變更先前的決策。

在多階段存取權檢閱中檢閱一或多個使用者的存取權 (預覽)

如果系統管理員已啟用多階段存取權檢閱,將有兩或三個總檢閱階段。 每個檢閱階段都有指定的檢閱者。

您將手動檢閱存取權,或根據您指派為檢閱者階段的登入活動接受建議。

如果您是第二階段或第三階段檢閱者,如果系統管理員在建立存取權檢閱時啟用此設定,您也會看到檢閱者在先前階段做出的決定。 第二階段或第三階段檢閱者所做的決策將會覆寫上一個階段。 因此,第二階段檢閱者所做的決定將會覆寫第一個階段。 而第三階段檢閱者的決定將會覆寫第二個階段。

Screenshot showing selection of a user to show the multi-stage access review results.

核准或拒絕存取,如檢閱一或多個使用者的 存取權中所述

注意

在存取權檢閱設定期間指定的持續時間過後,檢閱的下一個階段才會變成作用中。 如果系統管理員認為階段已完成,但此階段的檢閱持續時間尚未過期,他們可以使用 Microsoft Entra 系統管理中心存取權檢閱概觀中的 [停止目前階段 ] 按鈕。 此動作將會關閉作用中的階段,並啟動下一個階段。

檢閱 B2B 直接連線 Teams 共用頻道和 Microsoft 365 群組中的使用者存取權 (預覽)

若要檢閱 B2B 直接連線使用者的存取權,請使用下列指示:

  1. 身為檢閱者,您應該會收到一封電子郵件,要求您檢閱小組或群組的存取權。 選取電子郵件中的連結,或直接移至 https://myaccess.microsoft.com/

  2. 請遵循檢閱一或多個使用者的 存取權中的 指示,做出核准或拒絕使用者存取小組的決定。

注意

不同于內部使用者和 B2B 共同作業使用者,B2B 直接連線使用者和小組 不會 根據上次登入活動的建議,在進行檢閱時做出決策。

如果您檢閱的小組有共用頻道,則所有 B2B 直接連線使用者和存取這些共用頻道的團隊都是檢閱的一部分。 這包括 B2B 共同作業使用者和內部使用者。 當 B2B 直接連線使用者或小組在存取權檢閱中遭到拒絕存取時,使用者將無法存取小組中的每個共用頻道。 若要深入瞭解 B2B 直接連線使用者,請閱讀 B2B 直接連線

設定在存取權檢閱上未採取任何動作時會發生什麼事

設定存取權檢閱時,系統管理員可以選擇使用進階設定來判斷檢閱者未回應存取權檢閱要求時會發生什麼情況。

系統管理員可以設定檢閱,如此一來,如果檢閱者在檢閱期間結束時沒有回應,則所有未檢視的使用者都可以對其存取權做出自動決策。 這包括無法存取正在檢閱的群組或應用程式。

下一步