訓練
認證
Microsoft Certified: Identity and Access Administrator Associate - Certifications
示範 Microsoft Entra ID 的功能,以現代化身分識別解決方案、實作混合式解決方案,以及實作身分識別治理。
使用多階段審查滿足使用 Microsoft Entra 證明和認證需求
Microsoft Entra 存取權檢閱最多支援三個檢閱階段,其中多個檢閱者類型會參與判斷誰仍然需要公司資源的存取權。 這些評論可能是群組或小組的成員資格、應用程式存取權、特殊權限角色指派,或存取套件指派。 當檢閱系統管理員設定自動套用決策的檢閱時,在檢閱期間結束時,會撤銷拒絕使用者的存取權。
多階段存取權檢閱可讓您和組織啟用複雜的工作流程,以符合重新憑證和稽核需求,要求多個檢閱者證明在特定序列中存取使用者。 它也可藉由減少每個檢閱者負責的決策數目,協助您為資源擁有者和稽核員設計更有效率的檢閱。 這個方法允許在一個存取權檢閱中斷續以外結合,針對相同資源個別檢閱。
以下是一些您可能想要考慮的案例:
- 跨多組檢閱者達成共識:讓兩個檢閱者對象獨立檢閱資源的存取權。 您可以設定檢閱,讓兩個階段的檢閱者必須同意已核准,但不會看到其他人的決定。
- 指派替代檢閱者以權衡未檢視的決定:讓資源擁有者先證明資源的存取權。 然後,未記錄任何決策的使用者,請移至第二階段檢閱者,例如使用者經理或檢閱未決策的要求。
- 降低後續階段檢閱者的負擔:您可以設定檢閱,讓較舊階段拒絕的使用者不會在稍後階段檢閱,讓後續階段檢閱者查看篩選的下拉式清單。 使用此案例來依階段篩選使用者進行檢閱。
為使用者獲取正確權限的仲裁可能困難。 針對使用者有權存取的資源,或針對需要檢閱的各種使用者群組,任何單一檢閱者都很難為所有檢閱者做出正確的選擇。 讓三個不同的檢閱者群組有機會記錄決策,並顯示先前檢閱者所說的內容,有助於推動共識,瞭解誰應該能夠存取資源。
例如,檢閱包含三個階段,決定擁有資源存取權的群組成員資格。 在檢閱設定中,管理員選擇不顯示較早階段檢閱者的決策。 此設定可讓每個檢閱適用對象 (例如使用者管理員、群組擁有者和安全性人員) 獨立檢閱存取權。 這三個階段會與檢閱者適用對象權數增加的重要性一致,最後一個檢閱者對象的決策可能會覆寫早期檢閱者的決策。
此案例的設定如下所示:
| 屬性 | 組態 |
|---|---|
| 多階段檢閱 | 已啟用 |
| 第一階段檢閱者 | 使用者管理員 |
| 第二階段檢閱者 | 群組擁有者 |
| 第三階段檢閱者 | 選取使用者或群組 –「Contoso 稽核員群組」 |
| 向後續階段的檢閱者顯示前幾個階段的決定 | 已啟用 |
| 檢閱對象正在前往下一個階段 | 全選 |
| 檢閱者未回應 | 移除存取權 |
若此案例為您需要記錄決策且需要確保適當人員保留存取權,多階段檢閱可讓您將受檢閱者子集進展到下一個階段,而可能需要第二個檢閱者對象來進行雙重檢查或決策。 使用此模式,藉由讓這些檢閱者進入另一階段,並讓另一組檢閱者做出決策,以確保降低未檢閱的使用者或標示為「不知道」的使用者。
例如,檢閱包含決定應用程式存取權的兩個階段。 在檢閱設定中,檢閱系統管理員選擇「顯示後續階段檢閱者」的上一個階段決策。 對於「前往下一個階段的檢閱者」,應新增需要確認的決策:為了確保對所有受檢閱者做出決策,請選取標示為「不知道」和「未檢閱」的檢閱者,讓後續階段檢閱者只看到未決定或不確定的檢閱者維持正確的存取權。
| 屬性 | 組態 |
|---|---|
| 多階段檢閱 | 已啟用 |
| 第一階段檢閱者 | 選取使用者或群組 - 應用程式所有人 |
| 第二階段檢閱者 | 使用者管理員 |
| 向後續階段的檢閱者顯示前幾個階段的決定 | 已停用 |
| 檢閱對象正在前往下一個階段 | 選取 [未檢閱的檢閱者],並將檢閱者標示為「不知道」 |
| 檢閱者未回應 | 核准存取權 |
對於可能包含許多受檢閱者或待檢閱和證明使用者的評論,您可以在稍後階段由資源擁有者或其管理員檢閱之前,要求所有用戶進行自我證明。 此模型允許從階段到階段篩選受檢閱者,只允許經過自我核准的受檢閱者。
後續階段檢閱者 (例如使用者管理員或資源擁有者) 只會看到先前核准檢閱者縮短的清單。 每個階段的檢閱者數量會依階段逐漸減少。 只有透過所有三個階段核准的使用者會保留存取權。
例如,檢閱授與系統管理員想要定期檢閱 IT 例外狀況的群組。 由於例外狀況頻繁出現,因此系統會要求使用者先回應,而只有回應仍然需要例外狀況的使用者會經由經理決定,讓其進入第二個階段。 只有使用者和經理核准時,例外狀況的 IT 所有人開始查看仍需要和想要例外狀況、查看受檢閱者縮短清單的使用者清單。
| 屬性 | 組態 |
|---|---|
| 多階段檢閱 | 已啟用 |
| 第一階段檢閱者 | 使用者檢閱自身存取權 |
| 第二階段檢閱者 | 使用者管理員 |
| 第三階段檢閱者 | 群組擁有者 |
| 向後續階段的檢閱者顯示前幾個階段的決定 | 已停用 |
| 檢閱對象正在前往下一個階段 | 選取 [已核准的檢閱對象] |
| 檢閱者未回應 | 移除存取權 |
來賓使用者檢閱可協助貴組織使用 Microsoft Entra B2B 進行共同作業。 應該定期檢閱這些來賓使用者的存取權,以檢查這些來賓使用者是否仍具有正確的存取權,而且仍需要進行共同作業,因此可以撤銷存取權或清除不再需要的來賓使用者帳戶。
此案例可使用多階段檢閱進行設定,與「減輕後續階段檢閱者負擔」案例的運作方式相似。 首先,請要求來賓使用者自行檢閱和證明持續對共同作業有興趣和需要,包含要求提供業務理由。 只有自我核准的來賓會進入較新的階段,而贊助者或其他員工會核准或拒絕繼續存取或共同作業。
針對來賓使用者評論,也請考慮只利用非使用中使用者 (在租用戶層級上) 設定。 這會將檢閱範圍限定為未在指定天數內登入資源租用戶的非使用中外部使用者。
在來賓使用者的情境下,存取權檢閱支援額外的設定選項:套用至拒絕來賓使用者的動作,這可能會導致下列其中一項:
- 自資源移除使用者會員
- 讓使用者無法登入 30 天,然後從該租用戶移除使用者
視您的檢閱需求而定,不會回應檢閱要求或拒絕進一步共同作業的來賓使用者,可以自動從您的租用戶中移除。 這會導致在刪除帳戶之後,封鎖 B2B 來賓使用者帳戶 30 天。
| 屬性 | 組態 |
|---|---|
| 僅限非使用中使用者 (租用戶層級) | 180 天 |
| 多階段檢閱 | 已啟用 |
| 第一階段檢閱者 | 使用者檢閱自身存取權 |
| 第二階段檢閱者 | 群組擁有者 |
| 向後續階段的檢閱者顯示前幾個階段的決定 | 已停用 |
| 檢閱對象正在前往下一個階段 | 選取 [已核准的檢閱對象] |
| 檢閱者未回應 | 移除存取權 |
| 要套用至已拒絕來賓使用者的動作 | 讓使用者無法登入 30 天,然後從該租用戶移除使用者 |
注意
只有在存取權檢閱範圍設定為來賓使用者時,才會在檢閱建立程序中看到要套用至拒絕來賓使用者的 動作設定。
檢閱系統管理員會定義每個檢閱階段的持續時間,因此,檢閱者在階段中必須記錄決策的時間量。 每個階段都可以設定為擁有自己的持續時間,以迎合檢閱者的可用性和期望。
每個檢閱階段都會保持開啟狀態,供檢閱者針對持續時間的長度新增決策。 檢閱系統管理員可以停止執行階段,並選取 [停止目前階段],在檢閱者概觀頁面上自動將整體檢閱進入下一個檢閱階段。
Microsoft Entra 存取權檢閱可以藉由從資源中移除不再需要的使用者,來套用有關資源的存取權決策。 決策一律會在檢閱期間結束時套用,或在檢閱系統管理員手動結束檢閱時套用。 結果的自動應用程式是由檢閱系統管理員,透過自動將結果套用至資源設定或手動透過檢閱概觀頁面中的 [套用結果] 按鈕予以定義。
檢閱者會針對每個階段收集決策。 移至下一個階段的檢閱者設定定義,檢閱者後續階段檢閱者將會看到並要求記錄決策。 只有在整體檢閱結束時,決策才會套用至資源。
針對所有決策,受檢閱者記錄的最後一個決策會在審查結束時套用。 在審查的第一個階段為 Jane 做出的決定,可以在第二階段和第三階段,由後續階段的檢閱者覆寫。
如果已進行受檢閱者進入下一個階段設定,使得只有一部分受檢閱者進入後續階段,可能是在第一個階段的檢閱結束時做出的決定會予以套用。 如果檢閱系統管理員已設定三階段檢閱,而且只想要「拒絕」和「未檢閱」檢閱者繼續進行下一個階段,如果 Jane 在第一個階段獲得核准,則不會繼續進行後續階段,而且她的「核准」決策會記錄在審查結束時仍適用。
其他資源
文件
-
透過存取權檢閱來管理存取權 - Microsoft Entra ID Governance
了解如何透過 Microsoft Entra 存取權檢閱,以群組成員資格或指派給應用程式的方式管理使用者和來賓存取權。
-
存取權檢閱的檢閱建議 - Microsoft Entra ID Governance
了解如何在 Microsoft Entra 存取權檢閱中檢閱群組成員存取權與檢閱建議。
-
什麼是我的存取權入口網站? - Microsoft Entra - Microsoft Entra ID Governance
我的存取權入口網站的描述,使用者可以在這裡管理 Microsoft Entra 內的存取權。