存取權檢閱的檢閱建議
檢閱使用者存取權並執行存取權檢閱的決策者可以使用系統型建議,協助其決定是否要繼續存取資源或拒絕其存取資源。 如需如何使用檢閱建議的詳細資訊,請參閱啟用決策協助程式。
必要條件
在非使用中使用者上建立檢閱,以及具有使用者對群組關聯性建議的檢閱需要 Microsoft Entra ID 控管 授權。
如需詳細資訊,請參閱授權需求。
非使用中用戶建議
如果使用者在過去 30 天內尚未登入租使用者,則會被視為「非使用中」。 此行為會針對應用程式指派的檢閱進行調整,這會檢查每個使用者在應用程式中的最後一個活動,而不是整個租使用者。 啟用存取權檢閱的非使用中用戶建議時,每次檢閱開始后,就會評估每個用戶的最後一個登入日期,並在 30 天內未登入的任何使用者都會獲得拒絕的建議動作。 此外,啟用這些決策協助程式時,檢閱者可以看到檢閱所有用戶的最後一次登入日期。 此登入日期和產生的建議會在檢閱開始時決定,而且檢閱正在進行時不會更新。
使用者對群組聯盟
讓檢閱體驗更容易且更準確,讓IT系統管理員和檢閱者能夠做出更明智的決策。 此以 機器學習 為基礎的建議會開啟自動化存取權檢閱的旅程,以啟用智慧型手機自動化,並減少訪問許可權證明疲勞。
組織圖表中的使用者對群組關聯性定義為在組織報告結構中共用類似特性的兩位或更多使用者。
此建議會根據組織的報告結構相似性,偵測群組內其他使用者與其他使用者的關聯性。 建議依賴評分機制,其計算使用者的平均距離與群組中剩餘使用者的平均距離。 根據其組織的圖表,與所有其他群組成員相距較遠的使用者,會被視為在群組中具有「低關聯性」。
如果存取權檢閱的建立者啟用決策協助程式,檢閱者可以接收群組存取權檢閱的使用者對群組關聯性建議。
注意
此功能僅適用於目錄中的使用者。 用戶應該具有管理員屬性,而且應該是組織階層的一部分,使用者對群組的關聯才能運作。
不支持超過 600 位使用者的群組。
下圖包含化妝品公司中的組織回報結構範例:
根據範例影像中的報告結構,如果檢閱者已針對群組存取權檢閱選取 [使用者對群組關聯性建議],則與群組內其他使用者相距相當大的使用者,系統會收到「拒絕」建議。
例如,在 Personal care 部門內工作的 Phil,與 Debby、Irwin 和 Emily 位於一個群組中,而他們全都在 Cosmetics 部門內工作。 此群組稱為 Fresh Skin。 如果執行群組 Fresh Skin 的存取權檢閱,根據報告結構和與其他群組成員的距離,Phil 會被視為具有低階層。 系統會在群組存取權檢閱中建立 拒絕 建議。