Microsoft Entra 存取權檢閱最多支援三個檢閱階段,其中多個檢閱者類型會參與判斷誰仍然需要公司資源的存取權。 這些審查可能是針對群組或小組的成員資格、應用程式存取權、指派到特殊權限角色,或存取套件的指派。 當檢閱系統管理員設定檢閱自動套用決策時,在檢閱期間結束時,會撤銷被拒使用者的存取權。
多階段審查的使用案例
多階段存取檢閱可讓您和您的組織啟用複雜的工作流程,以符合需要多位審閱者按特定順序驗證使用者存取權限的重新認證和稽核需求。 它也可藉由減少每個檢閱者負責的決策數目,協助您為資源擁有者和稽核員設計更有效率的檢閱。 此方法允許將原本不相關的、分開的檢閱結合到同一個資源的存取權檢閱中。
以下是一些您可能想要考慮的案例:
- 跨多組檢閱者達成共識:讓兩個檢閱者對象獨立檢閱資源的存取權。 您可以設定檢閱,讓兩個階段的檢閱者必須同意已核准,但不會看到其他人的決定。
- 指派替代檢閱者以權衡未檢視的決定:讓資源擁有者先證明資源的存取權。 然後,未記錄決策的要求將移交給第二階段的檢閱者,如用戶的經理或審計團隊,對未決策的要求進行審查。
- 降低後續階段檢閱者的負擔:您可以設定檢閱,讓較舊階段拒絕的使用者不會在稍後階段檢閱,讓後續階段檢閱者查看篩選的下拉式清單。 使用此案例來依階段篩選使用者進行檢閱。
跨多組審查員達成共識
達到使用者合適的權限法定人數可能很困難。 針對使用者有權存取的資源,或針對需要檢閱的各種使用者群組,任何單一檢閱者都很難為所有檢閱者做出正確的選擇。 讓三個不同的檢閱者群組有機會記錄決策,並顯示先前檢閱者所說的內容,有助於推動共識,瞭解誰應該能夠存取資源。
例如,檢閱包含三個階段,決定擁有資源存取權的群組成員資格。 在檢閱設定中,管理員選擇不顯示較早階段檢閱者的決策。 此設定可讓每個檢閱適用對象 (例如使用者管理員、群組擁有者和安全性人員) 獨立檢閱存取權。 這三個階段依據審閱者群體權重增加的影響進行安排,最後一個審閱者群體的決策可能會覆蓋早期階段審閱者的決策。
此案例的設定如下所示:
| 屬性 | 組態 |
|---|---|
| 多階段檢閱 | 已啟用 |
| 第一階段評審者 | 使用者管理員 |
| 第二階段檢閱者 | 群組擁有者 |
| 第三階段檢閱者 | 選取使用者或群組 –「Contoso 稽核員群組」 |
| 向後續階段的檢閱者顯示前幾個階段的決定 | 已啟用 |
| 被考核者正在進入下一個階段 | 全選 |
| 如果檢閱者未回應 | 移除存取權 |
指派替代檢閱者以權衡未檢閱的決策
如果在某些情況下您需要記錄決策並確保適當人員能夠保留存取權,則多階段審查能讓您將部分受審者進展至下一階段,這可能需要第二個審查群體進行複查或做出決定。 使用此模式,藉由讓這些檢閱者進入另一階段,並讓另一組檢閱者做出決策,以確保降低未檢閱的使用者或標示為「不知道」的使用者。
例如,檢閱包含決定應用程式存取權的兩個階段。 在檢閱設定中,檢閱系統管理員選擇「向後續階段的檢閱者顯示前一階段的決策」。 對於「前往下一個階段的受檢閱者」,應新增需要確認的決定:為了確保對所有受檢閱者做出決策,請選取標示為「不知道」和「未檢閱」的受檢閱者,以便後續階段檢閱者只看到未決定或不確定的受檢閱者,以維持正確的存取權。
| 屬性 | 組態 |
|---|---|
| 多階段檢閱 | 已啟用 |
| 第一階段評審者 | 選取使用者或群組 - 應用程式所有人 |
| 第二階段檢閱者 | 使用者管理員 |
| 向後續階段的檢閱者顯示前幾個階段的決定 | 已停用 |
| 被考核者正在進入下一個階段 | 選取未被檢閱的受檢者和被標示為「不知道」的受檢者 |
| 如果檢閱者未回應 | 核准存取權 |
減輕後續階段檢閱者的負擔
對於可能包含許多受檢閱者或待檢閱和證明使用者的評論,您可以在稍後階段由資源擁有者或其管理員檢閱之前,要求所有用戶進行自我證明。 此模型允許在各個階段篩選受檢閱者,只有經過自我核准的受檢閱者才能進入下一階段。
後續階段檢閱者(例如使用者的管理者或資源擁有者)只會看到已在先前階段核准的被檢閱者的篩選後清單。 每個階段的檢閱者數量會依階段逐漸減少。 只有透過所有三個階段核准的使用者會保留存取權。
例如,某位系統管理員希望定期檢閱一個授予 IT 例外狀況的群組。 由於例外狀況頻繁出現,因此系統會要求使用者先回應,而只有回應仍然需要例外狀況的使用者會經由經理決定,讓其進入第二個階段。 只有當使用者和經理核准後,負責例外申請的 IT 主管才會看到仍需要和想要例外的使用者清單,查看已縮短的受檢閱者名單。
| 屬性 | 組態 |
|---|---|
| 多階段檢閱 | 已啟用 |
| 第一階段評審者 | 使用者檢閱自身存取權 |
| 第二階段檢閱者 | 使用者管理員 |
| 第三階段檢閱者 | 群組擁有者 |
| 向後續階段的檢閱者顯示前幾個階段的決定 | 已停用 |
| 被考核者正在進入下一個階段 | 選取 [已核准的檢閱對象] |
| 如果檢閱者未回應 | 移除存取權 |
訪客使用者評論
來賓使用者評價有助於使用 Microsoft Entra B2B 進行合作的組織。 應該定期檢閱這些來賓使用者的存取權,以檢查這些來賓使用者是否仍具有正確的存取權,而且仍需要進行共同作業,因此可以撤銷存取權或清除不再需要的來賓使用者帳戶。
此案例可使用多階段檢閱進行設定,與「減輕後續階段檢閱者負擔」案例的運作方式相似。 首先,請要求來賓使用者自行檢討並確認其持續對共同合作的興趣和需求,並要求提供業務正當理由。 只有通過自動核准的來賓會進入較後階段,此時贊助者或其他員工會核准或拒絕繼續存取或合作。
請針對來賓用戶的評論考慮使用僅限於非活躍使用者 (在租用戶層級上) 的設定。 這會將檢閱範圍限定為在指定天數內未登入資源租用者的非活躍外部使用者。
在來賓使用者的情境下,存取權檢閱支援額外的設定選項:拒絕來賓使用者後的動作,其結果可能是以下之一:
- 移除使用者在資源中的會員身份
- 阻止使用者登入 30 天,然後將使用者從該租用戶移除。
視您的檢閱需求而定,不會回應檢閱要求或拒絕進一步共同作業的來賓使用者,可以自動從您的租用戶中移除。 這將導致 B2B 來賓使用者帳戶在刪除帳戶後被封鎖 30 天。
| 屬性 | 組態 |
|---|---|
| 僅限在租戶層級上的非活躍使用者 | 180 天 |
| 多階段檢閱 | 已啟用 |
| 第一階段評審者 | 使用者檢閱自身存取權 |
| 第二階段檢閱者 | 群組擁有者 |
| 向後續階段的檢閱者顯示前幾個階段的決定 | 已停用 |
| 被考核者正在進入下一個階段 | 選取 [已核准的檢閱對象] |
| 如果檢閱者未回應 | 移除存取權 |
| 拒絕來賓使用者後要採取的動作 | 阻止使用者登入 30 天,然後將使用者從該租用戶移除。 |
注意
只有在存取權檢閱範圍配置為僅限來賓使用者時,要套用至拒絕來賓使用者的動作設定才會在檢閱建立流程中顯示。
檢閱階段持續時間
檢閱系統管理員會定義每個檢閱階段的持續時間,因此,檢閱者在階段中必須記錄決策的時間量。 每個階段都可以設定為擁有自己的持續時間,以迎合檢閱者的可用性和期望。
每個檢閱階段都會在整個期間保持開啟狀態,供檢閱者新增決策。 檢閱系統管理員可以停止執行階段,並選取 [停止目前階段],在檢閱者概觀頁面上自動將整體檢閱進入下一個檢閱階段。
結果的應用
Microsoft Entra 存取權檢閱可以藉由從資源中移除不再需要的使用者,來套用有關資源的存取權決策。 決策一律會在檢閱期間結束時套用,或在檢閱系統管理員手動結束檢閱時套用。 結果的自動應用程式是由檢閱系統管理員,透過自動將結果套用至資源設定或手動透過檢閱概觀頁面中的 [套用結果] 按鈕予以定義。
審查者會收集每個階段的決策。 移至下一個階段的複審者的設定定義了後續階段的檢閱者將會看到哪些複審者,並需要對其記錄決策。 只有在整體檢閱結束時,決策才會套用至資源。
針對所有決策,審查對象記錄的最後一個決策會在審查結束時應用。 在第一階段為 Jane 做出的決定,在第二階段和第三階段可以被後面階段的審閱者覆寫。
如果受檢閱者進入下一個階段設定已設置為只有部分受檢閱者能進入後續階段,則可能在整個檢閱過程結束時,第一個階段所做的決定會被應用。 如果檢閱系統管理員已設定三階段檢閱,而且只想要「拒絕」和「未檢閱」檢閱者繼續進行下一個階段,如果 Jane 在第一個階段獲得核准,則不會繼續進行後續階段,而且她的「核准」決策會記錄在審查結束時仍適用。