存取權檢閱的檢閱建議
檢閱使用者存取權並執行存取權檢閱的決策者可以使用系統型建議,協助其決定是否要繼續存取資源或拒絕其存取資源。 如需如何使用檢閱建議的詳細資訊,請參閱啟用決策協助程式。
必要條件
需要 Microsoft Entra ID 控管授權,才能建立含有使用者對群組的關係建議的檢閱。
如需詳細資訊,請參閱授權需求。
非作用中使用者建議
如果使用者在過去 30 天內未登入租用戶,則會被視為「非作用中」。 此行為會針對應用程式指派的檢閱進行調整,這會檢查每個使用者在應用程式中的最後一個活動,而不是檢查整個租用戶。 啟用非作用中使用者建議進行存取權檢閱時,一旦檢閱開始,就會評估每個使用者的最後一次登入日期,且任何未在 30 天內登入的使用者都會獲得「拒絕」的建議動作。 此外,啟用這些決策協助程式時,檢閱者能夠查看所有正在檢閱的使用者上次登入日期。 此登入日期以及產生的建議是在檢閱開始時決定,且在檢閱進行時不會更新。
使用者對群組聯盟
讓檢閱體驗更容易且更精確,可使 IT 管理員和檢閱者能夠做出更明智的決策。 這個以機器學習為基礎的建議會開啟自動化存取權檢閱的旅程,這會啟用智慧型自動化並減少存取權限證明疲勞。
組織圖中的使用者對群組聯盟會定義為兩位以上在組織報告結構中共用類似特性的使用者。
此建議會根據組織的報告結構相似性,偵測使用者與群組內其他使用者的聯盟。 此建議依賴評分機制,其計算方式是計算使用者與群組中其餘使用者的平均距離。 根據組織圖,與所有其他群組成員距離較遠的使用者會被視為群組內的「低度聯盟」。
如果存取權檢閱的建立者已啟用決策協助程式,則檢閱者可以收到適用於群組存取權檢閱的使用者對群組聯盟建議。
注意
此功能僅適用於您目錄中的使用者。 使用者應該具備管理員屬性,而且應該是組織階層的一部分,以便讓使用者對群組聯盟能夠運作。
不支援超過 600 位使用者的群組。
下圖包含化妝品公司中的組織回報結構範例:
根據範例圖中的報告結構,如果檢閱者針對群組存取權檢閱選取了使用者對群組聯盟建議,系統就會為統計上與群組內的其他使用者有顯著距離的使用者提供「拒絕」建議。
例如,在 Personal care 部門內工作的 Phil,與 Debby、Irwin 和 Emily 位於一個群組中,而他們全都在 Cosmetics 部門內工作。 此群組稱為 Fresh Skin。 如果針對 Fresh Skin 群組執行存取權檢閱,則根據報告結構及與其他群組成員的距離,會將 Phil 視為具有低度聯盟。 系統會在群組存取權檢閱中建立「拒絕」建議。