在 Microsoft Entra ID 中建立群組 PIM 的存取權檢閱 (預覽)
本文說明如何為群組的 PIM 建立一或多個存取權檢閱,其中包括群組的作用中成員和合格成員。 檢閱可以針對群組的作用中成員執行,這些成員在建立檢閱時為使用中,以及群組的合格成員。
必要條件
- Microsoft Entra ID 控管 授權。
- 只有全域 管理員 istrator 角色或特殊許可權角色 管理員 istrator 角色中的使用者,才能建立群組 PIM 的評論。 如需詳細資訊,請參閱 使用 Microsoft Entra 群組來管理角色指派。
如需詳細資訊,請參閱 授權需求。
建立群組存取權檢閱的 PIM
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
範圍
以至少身分識別治理 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>存取權檢閱檢閱>歷程記錄]。
選取 [新增存取權檢閱] 來建立新的存取權檢閱。
在 [ 選取要檢閱的內容] 方塊中,選取 [Teams + 群組]。
選取 [Teams + 群組],然後選取 [檢閱範圍] 底下的 [選取 Teams + 群組]。 要從中選擇的群組清單會出現在右側。
注意
選取 [群組的 PIM] 時,正在檢閱群組的使用者將會包含該群組中的所有合格使用者和作用中使用者。
現在您可以選取檢閱的範圍。 您的選項如下:
- 僅限來賓使用者:此選項會將存取權檢閱限制為目錄中只有 Microsoft Entra B2B 來賓使用者。
- 所有人:此選項會將存取權檢閱範圍限定為與資源相關聯的所有用戶物件。
如果您要進行群組成員資格檢閱,您可以只為群組中的非使用中使用者建立存取權檢閱。 在 [用戶範圍] 區段中,核取 [非使用中使用者] 旁的方塊(在租用戶層級上)。 如果您核取此方塊,檢閱的範圍僅著重於非使用中使用者,那些尚未以互動方式或非互動方式登入租用戶的使用者。 然後,指定 [非使用 中的天數],且天數最多為 730 天(兩年)。 群組中的使用者在指定的天數內處於非作用中狀態,是檢閱中唯一的使用者。
注意
設定閑置時間時,最近建立的使用者不會受到影響。 存取權檢閱會檢查是否已在設定的時間範圍內建立使用者,並忽略至少該時間量尚未存在的使用者。 例如,如果您將閑置時間設定為90天,且來賓使用者是在90天前建立或邀請的,則來賓使用者將不會位於存取權檢閱的範圍內。 這可確保使用者在移除之前至少可以登入一次。
- 選取 [ 下一步:評論]。
達到此步驟之後,您可以遵循下一步:建立群組或應用程式存取權檢閱文章中的檢閱中所述的指示來完成存取權檢閱。
注意
群組的 PIM 檢閱只會將作用中擁有者指派為檢閱者。 不包含合格的擁有者。 對於群組檢閱的 PIM,至少需要一個後援檢閱者。 如果檢閱開始時沒有作用中的擁有者,後援檢閱者會指派給檢閱。