你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure AD 访问评审中完成对组和应用程序的访问评审

  • 项目

你以管理员身份创建对组或应用程序的访问评审,审阅者执行访问评审。 本文介绍如何查看访问评审的结果并进行应用。

注意

本文介绍如何删除设备或服务中的个人数据,并且可用于为 GDPR 下的义务提供支持。 有关 GDPR 的常规信息,请参阅 Microsoft 信任中心的 GDPR 部分服务信任门户的 GDPR 部分

先决条件

  • Azure AD Premium P2
  • 全局管理员、用户管理员或标识管理管理员,可管理对组和应用程序的审核访问。 全局管理员和特权角色管理员可管理角色可分配的组的评审,请参阅使用 Azure AD 组来管理角色分配
  • 安全读取者具有读取访问权限。

有关详细信息,请参阅许可证要求

查看访问评审的状态

完成访问评审后,可以跟踪其进度。

  1. 登录到 Azure 门户并打开“标识治理”页

  2. 在左侧菜单中,单击“访问评审”。

  3. 在列表中,单击“访问评审”。

    在“概述”页上,可以查看当前评审实例的进度 。 如果此时没有打开的活动实例,你将看到关于上一个实例的信息。 在评审完成之前,目录中的任何访问权限都不会更改。

    Review of All company group

    “当前”下的所有边栏选项卡仅在每个评审实例的持续时间内可查看。

    注意

    虽然“当前”访问评审仅显示有关活动评审实例的信息,但你可以在“计划的评审”部分下的“系列”中获取有关尚未进行的评审的信息 。

    “结果”页提供了有关实例中每个待评审用户的更多信息,包括停止、重置和下载结果的能力。

    Review guest access across Microsoft 365 groups

    如果正在查看评审跨 Microsoft 365 组来宾访问的访问评审,“概述”边栏选项卡会列出评审中的每个组。

    review guest access across Microsoft 365 groups

    单击某个组可以查看该组上的评审进度,还可以停止、重置、应用和删除。

    review guest access across Microsoft 365 groups in detail

  4. 如果要在某个访问评审达到计划的结束日期之前停止它,请单击“停止”按钮。

    停止评审后,审阅者将无法再提供回复。 停止后将无法重新开始评审。

  5. 如果不再关注此访问评审,可以单击“删除”按钮将其删除。

查看多阶段审核状态(预览)

要查看多阶段访问审查的状态和阶段:

  1. 选择你要检查其状态的多阶段审核或查看它处于哪个阶段。

  2. 在左侧导航菜单的“当前”下单击“结果”。

  3. 进入结果页面后,在“状态”下,它将告诉你多阶段审核处于哪个阶段。 在 access review 设置过程中指定的持续时间过去之前,下一阶段的检查不会处于活动状态。

  4. 如果已做出决定,但此阶段的审核期限尚未到期,你可以在结果页面上选择“停止当前阶段”按钮。 这将触发下一阶段的审核。

检索结果

若要查看评审结果,请单击“结果”页。 若只查看某个用户的访问,请在“搜索”框中键入其访问已进行评审的用户的显示名称或用户主体名称。

Retrieve results for an access review

若要查看已完成的定期访问评审实例的结果,请单击“评审历史记录”,然后根据实例的开始日期和结束日期,从已完成的访问评审实例列表中选择特定实例。 该实例的结果可以从“结果”页面获得。 定期访问评审使你可以对资源的访问有持续不断的了解,这些资源可能需要比一次性访问审查更频繁地更新。

若要检索正在进行或已完成的访问评审结果,请单击“下载”按钮。 可以在 Excel 中或在可打开 UTF-8 编码 CSV 文件的其他程序中查看生成的 CSV 文件。

应用更改

如果“将结果自动应用到资源”选项已启用,并且该选项是基于你在“完成后操作”设置中所做的选择,则自动应用将在审核实例完成后执行,而如果手动停止评审,则会执行得更早 。

如果没有为评审启用“将结果自动应用到资源”,请在评审期限结束或评审提前停止后,导航到“系列”下的“评审历史记录”,然后单击要应用的评审实例 。

Apply access review changes

单击“应用”可手动应用更改。 如果在评审中拒绝了某个用户的访问权限,则当你单击“应用”时,Azure AD 会删除该用户的成员资格或应用程序分配。

Apply access review changes button

评审状态将从“已完成”变为各种中间状态(例如“正在应用”),并最终变为“结果已应用”状态。 几分钟后,应会看到被拒绝的用户(如果有)已从组成员身份或应用程序分配中删除。

手动或自动应用结果不会影响源自本地目录的组。 若要更改源自本地的组,请下载结果,并将这些更改应用到该目录中组的表示形式。

注意

一些被拒绝的用户无法将对其应用结果。 可能出现这种情况的场景包括:

  • 查看已同步本地 Windows AD 组的成员:如果组是从本地 Windows AD 同步的,则该组无法在 Azure AD 中进行管理,因此无法更改成员身份。
  • 查看分配有嵌套组的资源(角色、组、应用程序):对于通过嵌套组具有成员身份的用户,我们不会删除其嵌套组的成员身份,因此将保留对所评审资源的访问权限。
  • 找不到用户/其他错误也可能导致应用结果不受支持。

在访问评审中对拒绝的来宾用户执行的操作

在创建评审时,创建者可以在访问评论中被拒绝的访客用户的两个选项之间进行选择。

  • 被拒绝的来宾用户可以访问已删除的资源。 这是默认值。
  • 被拒绝的来宾用户可以被阻止登录 30 天,然后从租户中删除。 在 30 天内,管理员可以恢复来宾用户对租户的访问权限。 30 天期限结束后,如果来宾用户无法再次访问授予给他们的资源,他们将从租户中永久删除。 此外,使用 Azure Active Directory 门户,全局管理员可以在达到该时间段之前,显式地永久删除最近删除的用户。 某位用户被永久删除后,有关该来宾用户的数据将从活动访问评审中删除。 有关已删除用户的审核信息仍保留在审核日志中。

对被拒绝的 B2B 直连用户执行的操作

被拒绝的 B2B 直连用户和团队将失去对团队中所有共享频道的访问权限。

后续步骤