在權利管理中建立存取套件的存取權檢閱

若要降低過時存取的風險，您應該定期檢閱在權利管理中對存取套件有作用中存取套件的用戶進行定期檢閱。 您可以在建立新的存取套件或編輯現有的存取套件指派原則時啟用檢閱。 本文說明如何啟用存取套件的存取權檢閱。

必要條件

若要啟用存取套件的檢閱，您必須符合建立存取套件的必要條件：

• Microsoft Entra ID P2 或 Microsoft Entra ID 控管
• 全域 管理員 istrator、Identity Governance 管理員 istrator、目錄擁有者或存取套件管理員

注意

遵循最低許可權存取權，建議您使用 Identity Governance 管理員 istrator、目錄擁有者或存取套件管理員角色。

如需詳細資訊，請參閱授權需求。

建立存取套件的存取權檢閱

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

您可以在建立新的存取套件或編輯現有的存取套件指派原則時啟用存取權檢閱。 如果您有多個原則，針對不同的使用者社群要求存取權，您可以針對每個原則擁有獨立的存取權檢閱排程。 請遵循下列步驟來啟用存取套件指派的存取權檢閱：

1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分識別治理>存取權檢閱>存取套件]。

3. 若要建立新的存取原則，請選取 [ 新增存取 套件]。

4. 若要編輯現有的存取原則，請在左側功能表中選取 [存取套件 ]，然後開啟您要編輯的存取套件。 然後，在左側功能表中，選取 [ 原則]，然後選取具有您要編輯生命週期設定的原則。

5. 開啟存取套件指派原則的 [ 生命週期 ] 索引標籤，以指定使用者指派存取套件到期的時間。 您也可以指定使用者是否可以擴充其指派。

6. 在 [到期] 區段中，將 [存取套件指派到期] 設定為 [日期]、[天數]、[時數] 或 [永不]。

   針對 [ 日期]，選取未來的到期日。

   針對 [ 天數]，指定介於0到3660天之間的數位。

   針對 [時數]，指定時數。

   根據您的選擇，使用者對存取套件的指派會在特定日期、核准或永不核准的特定天數到期。

   

7. 選取 [顯示進階到期設定] 以顯示其他設定。

8. 若要允許使用者擴充其指派，請將 [允許使用者擴充存取權] 設定為 [是]。

   如果原則中允許延伸模組，使用者會收到14天的電子郵件，並在存取套件指派設定為到期前一天收到電子郵件，提示他們延長指派。 用戶必須在要求擴充功能時仍位於原則的範圍內。 此外，如果原則有明確的指派結束日期，且使用者提交要求以延伸存取權，則要求中的延伸日期必須在指派到期時或之前，如用來授與使用者存取套件存取權的原則中所定義。 例如，如果原則指出指派設定為在 6 月 30 日到期，則使用者可以要求的擴充功能上限為 6 月 30 日。

   如果使用者的存取權已擴充，他們將無法在指定的擴充日期之後要求存取套件（在建立原則的使用者時區中設定的日期）。

9. 若要要求核准以授與延伸模組，請將 [需要核准] 設定 為 [ 是]。

   將會使用 [要求] 索引標籤上指定的相同核准設定。

10. 接下來，將 [需要存取權檢閱] 切換為 [ 是]。

    

11. 指定 [開始時間] 旁的檢閱開始日期。

12. 接下來，將 [檢閱頻率] 設定為 [每年]、[每年]、[每季] 或 [每月]。 此設定會決定存取權檢閱發生的頻率。

13. 設定 [ 持續時間 ] 以定義週期性數列的每個檢閱將會開啟多少天，以供檢閱者輸入。 例如，您可能會排程從 1 月 1 日開始的年度檢閱，並開啟檢閱 30 天，讓檢閱者必須等到月底才能回應。

14. 如果您想要讓使用者執行自己的存取權檢閱，請選取 [檢閱者] 旁的 [自我檢閱]，如果您想要指定檢閱者，請選取 [特定檢閱者]。 如果您想要將檢閱者的管理員指定為檢閱者，您也可以選取 [管理員 ]。 如果您選擇此選項，則必須新增 後援 ，以在系統找不到管理員的情況下，將檢閱轉寄至 。

15. 如果您選取 [ 特定檢閱者]，請指定哪些使用者進行存取權檢閱：

    

    1. 選取 [ 新增檢閱者]。
    2. 在 [ 選取檢閱者 ] 窗格中，搜尋並選取您要成為檢閱者的使用者。
    3. 當您選取檢閱者時，請選取 [ 選取] 按鈕。

    

16. 如果您選取 [ 管理員]，請指定後援檢閱者：

    1. 選取 [新增後援檢閱者]。
    2. 在 [選取後援檢閱者] 窗格中，搜尋並選取您要為檢閱者管理員的後援檢閱者。。
    3. 當您選取後援檢閱者時，請選取 [ 選取 ] 按鈕。

    

17. 您可以設定其他進階設定。 若要設定其他進階存取權檢閱設定，請選取 [ 顯示進階存取權檢閱設定]：

    1. 如果您想要指定檢閱者未回應時使用者存取會發生什麼情況，請選取 [檢閱者未回應]，然後選取下列其中一項：

       • 如果您不想決定使用者存取權，則不會有任何變更 。
       • 如果您想要移除使用者的存取權，請移除存取 權。
       • 如果您想要根據 MyAccess 的建議做出決策，請採取建議 。

       

    2. 如果您想要查看系統建議，請選取 [ 顯示檢閱者決策協助程式]。 系統的建議是以用戶的活動為基礎。 檢閱者會看到下列其中一項建議：

       • 如果使用者在過去 30 天內至少登入過一次，請核准 檢閱。
       • 如果使用者在過去 30 天內未登入，則拒絕 檢閱。

    3. 如果您想要檢閱者分享其核准決策的原因，請選取 [ 要求檢閱者理由]。 其他檢閱者和要求者可以看到其理由。

18. 如果您要建立新的存取套件，請 選取 [檢閱 + 建立 ]，或選取 [下一步 ]。 如果您要編輯存取套件，請 選取頁面底部的 [更新 ]。

檢視存取權檢閱的狀態

開始日期之後，存取權檢閱將會列在 [ 存取權檢閱 ] 區段中。 請遵循下列步驟來檢視存取權檢閱的狀態：

1. 在 [ 身分識別控管] 中，選取 [存取套件 ]，然後選取具有您想要檢查存取權檢閱狀態的存取套件。

2. 在存取套件概觀上之後，請選取 左側功能表上的 [存取權檢閱 ]。

   

3. 隨即會出現一個清單，其中包含與它們相關聯的存取權檢閱的所有原則。 選取檢閱以查看其報告。

   

4. 當您檢視報表時，它會顯示檢閱的用戶數目，以及檢閱者對其採取的動作。

   

存取權檢閱電子郵件通知

您可以指定檢閱者，或使用者可以自行檢閱其存取權。 根據預設，Microsoft Entra ID 會在檢閱開始后不久傳送電子郵件給檢閱者或自我檢閱者。

電子郵件包含如何檢閱存取套件的指示。 如果檢閱是讓使用者檢閱其存取權，請向他們顯示如何對其存取套件執行自我檢閱的指示。

如果您已將來賓使用者指派為檢閱者，且他們尚未接受其 Microsoft Entra 來賓邀請，他們就不會收到來自存取權檢閱的電子郵件。 他們必須先接受邀請，並建立具有 Microsoft Entra ID 的帳戶，才能接收電子郵件。

下一步

• 檢閱存取套件的存取權
• 自我檢閱存取套件