你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Azure AD 中创建组和应用程序的访问评审

员工和来宾对组和应用程序的访问权限会不断变化。 为了降低与过期访问权限分配相关的风险，管理员可以使用 Azure Active Directory (Azure AD) 针对组成员或应用程序访问权限创建访问评审。

Microsoft 365 和安全组所有者还可以使用 Azure AD 为组成员创建访问评审，前提是全局管理员或用户管理员在“访问评审设置”窗格中启用了该设置（预览版）。 有关这些方案的详细信息，请参阅管理访问评审。

观看有关启用访问评审的简短视频。

本文介绍如何针对组成员或应用程序访问权限创建一个或多个访问评审。

必备条件

• Azure AD Premium P2。
• 全局管理员、用户管理员或标识管理管理员，可创建对组或应用程序的评审。
• 全局管理员和特权角色管理员可对可分配角色的组创建评审。 有关详细信息，请参阅使用 Azure AD 组来管理角色分配。
• （预览版）Microsoft 365 和安全组所有者。

有关详细信息，请参阅许可证要求。

如果要评审对应用程序的访问权限，则在创建评审之前，请参阅有关如何准备对用户对应用程序的访问权限进行访问评审的文章，以确保应用程序与 Azure AD 集成。

创建单阶段访问评审

范围

1. 登录到 Azure 门户并打开标识治理页。

2. 在左侧菜单中，选择“访问评审”。

3. 选择“新建访问评审”来创建新的访问评审。

   

4. 在“选择要评审的内容”框中，选择需要评审的资源。

   

5. 如果选择“团队 + 组”，可看到两个选项：

   • “包含来宾用户的所有 Microsoft 365 组”：如果你要针对组织中所有 Microsoft Teams 和 Microsoft 365 组中的所有来宾用户创建定期评审，请选择此选项。 不包含动态组和可分配角色组。 你还可通过选择“选择要排除的组”来选择排除各个组。

   • “选择团队 + 组”：如果要指定一组有限的团队或组来评审，请选择此选项。 右侧会显示可供选择的组列表。

     

6. 如果你已选择“应用程序”，则现在选择一个或多个应用程序。

   

注意

选择多个组或应用程序会导致创建多个访问评审。 例如，如果选择 5 个组来评审，则结果为 5 个单独的访问评审。

7. 现在，你可以选择要评审的范围。 选项包括：

   • “仅来宾用户”：此选项将访问评审限制为仅目录中的 Azure AD B2B 来宾用户。
   • “每个人”：此选项将访问评审的范围限定为与资源关联的所有用户对象。

   注意

   如果选择了“包含来宾用户的所有 Microsoft 365 组”，则唯一的选项是评审“仅来宾用户” 。

8. 或者，如果要进行组成员身份评审，则只能为组（预览版）中的非活动用户创建访问评审。 在“用户范围”部分，选中“非活动用户”（租户级别）旁边的框。 如果选中对应框，则评审范围将仅关注非活动用户，即那些未以交互方式或非交互方式登录到租户的用户。 然后，指定“非活动天数”，非活动天数最长为 730 天（两年）。 组中处于非活动状态的指定天数的用户将是评审中唯一的用户。

9. 选择“下一步: 评审”。

下一步: 评审

1. 可以创建单阶段或多阶段评审（预览版）。 若要创建单阶段评审，请继续阅读。 若要创建多阶段访问审核（预览版），请按照创建多阶段访问评审（预览版）中的步骤操作

2. 在“指定评审者”部分的“选择评审者”框中，选择一个或多个要在访问评审中做出决定的人员。 可以选择：

   • “组所有者”：仅当你对团队或组进行评审时，此选项才可用。
   • 选定的用户或组
   • “用户评审自己的访问”
   • “用户经理”

   如果选择“用户经理”或“组所有者”，则还可以指定后备审阅者 。 如果用户未在目录中指定任何经理，或者如果该组没有所有者，则要求后备审阅者进行评审。

   

3. 在“指定评审的重复周期”部分中，指定以下选择：

   • “持续时间(天)”：评审开放供审阅者进行评审的时间。

   • “开始日期”：一系列评审的开始的时间。

   • “结束日期”：一系列评审结束的时间。 可以将它指定为“永不”结束。 或者，也可以选择“在特定日期结束”或“在出现特定次数后结束” 。

     

4. 选择“下一步: 设置”。

下一步: 设置

1. 在“完成设置后”部分中，可指定评审完成后会发生的情况。

   

   • “自动将结果应用于资源”：如果希望在评审持续时间结束后自动删除被拒绝用户的访问权限，请选中此复选框。 如果禁用此选项，则必须在评审完成时手动应用结果。 请参阅管理访问评审，了解有关应用评审结果的详细信息。

   • “如果审阅者未答复”：使用此选项，指定对于任何审阅者在评审期限内未评审的用户，将发生什么情况。 此设置不影响审阅者已评审的用户。 下拉列表显示以下选项：

     • “不更改”：使用户访问权限保持不变。
     • “删除访问权限”：删除用户的访问权限。
     • “批准访问权限”：批准用户的访问权限。
     • “采用建议”：根据系统建议拒绝或批准用户的后续访问权限。

   • “对被拒绝的来宾用户应用的操作”：仅当访问评审的范围仅包括来宾用户时，此选项才可用，用于指定当审阅者或“如果审阅者未回应”设置拒绝来宾用户时，来宾用户会发生的情况 。

     • “从资源中删除用户的成员身份”：此选项将删除被拒绝的来宾用户对要评审的组或应用程序的访问权限。 它们仍可登录到租户，并且不会丢失任何其他访问权限。
     • “在 30 天内阻止用户登录，然后从租户中删除用户”：此选项将阻止被拒绝的来宾用户登录租户（无论他们是否可以访问其他资源）。 如果此操作出错，管理员可在来宾用户被禁用后的 30 天内重新启用来宾用户的访问权限。 如果 30 天后没有对禁用的来宾用户采取任何操作，将从租户中删除这些用户。

   若要详细了解有关删除组织中不再拥有资源访问权限的来宾用户的最佳做法，请参阅使用 Azure AD Identity Governance 评审和删除不再拥有资源访问权限的外部用户。

   注意

   对于范围超出来宾用户的评审，无法配置“要对被拒绝的来宾用户应用的操作”。 对于“包含来宾用户的所有 Microsoft 365 组”的评审，此操作也不可配置。无法配置时，将对被拒绝的用户使用默认选项，即从资源中删除用户的成员身份。

2. 使用“评审结束时，将通知发送到”选项，向其他用户或组发送带有完成更新情况的通知。 除评审创建者之外的利益干系人使用此功能可了解最新的评审进度。 若要使用此功能，请选择“选择用户或组”并添加另一个用户或组来接收完成度状态。

3. 在“启用评审决策帮助程序”部分中，选择是否希望审阅者在评审过程中收到建议。 启用后，系统会建议批准曾在之前 30 天内登录的用户。 对于过去 30 天内未登录的用户，建议选择拒绝评审。 此 30 天时间间隔与登录是否为交互式登录无关。 指定的用户的上次登录日期也将与建议一起显示。

   注意

   如果要基于应用程序创建访问评审，则你的建议将基于 30 天间隔期，该间隔期从用户上次登录到应用程序（而不是租户）的时间算起。

   

4. 在“高级设置”部分中，可选择以下选项：

   • “必须提供理由”：选中此复选框，要求审阅者提供批准或拒绝的理由。

   • “邮件通知”：选中此复选框，以便在访问评审开始时让 Azure AD 向审阅者发送电子邮件通知，并在评审完成时向管理员发送电子邮件通知。

   • “提醒”：选中此复选框，让 Azure AD 向所有审阅者发送访问评审正在进行的提醒。 无论审阅者是否完成评审，他们都可在评审期间收到提醒。

   • “审阅者电子邮件的其他内容”：发送给审阅者的电子邮件的内容根据审阅细节（如审阅名称、资源名称和截止日期）自动生成。 如果需要传达详细信息，可以在框中指定详细信息，如说明或联系信息。 你输入的信息将包含在邀请中，并且提醒电子邮件将发送到分配的审阅者。 下图中突出显示的部分显示此信息出现的位置。

     

5. 在完成时选择“下一步:查看 + 创建”。

   

下一步: 查看 + 创建

1. 命名访问评审。 可选择为评审提供说明。 名称和说明向评审者显示。

2. 查看信息，然后选择“创建”。

创建多阶段访问评审（预览版）

多阶段评审允许管理员定义两组或三组评审者来先后完成评审。 在单阶段评审中，所有评审者在同一时段内做出决定，以最后一名评审者做出的决定为准。 在多阶段评审中，两组或三组独立评审者在各自的阶段内做出决定，只有在前一个阶段做出了决定之后，下一个阶段才会发生。 多阶段评审可用于减轻后期阶段评审者的负担，允许评审者职权升级，或者让独立的评审组就决定达成一致。

警告

包含在多阶段访问评审中的用户数据是审核开始时审核记录的一部分。 管理员可以通过删除多阶段访问评审系列来随时删除数据。 有关 GDPR 和保护用户数据的常规信息，请参阅 Microsoft 信任中心的 GDPR 部分和服务信任门户的 GDPR 部分。

1. 选择评审的资源和范围后，转到“评审”选项卡。

2. 单击“(预览版)多阶段评审”旁边的复选框。

3. 在“第一阶段评审”下，从“选择评审者”旁边的下拉菜单中选择评审者。

4. 如果选择了“组所有者”或“用户管理者”，可以使用相应的选项添加后备评审者。 若要添加后备评审者，请单击“选择后备评审者”并添加要指派为后备评审者的用户。

   

5. 添加第一阶段的持续时间。 若要添加持续时间，请在“阶段持续时间(天)”旁边的字段中输入一个数字。 这是你希望向第一阶段评审者开放第一阶段，让其做出决定的天数。

6. 在“第二阶段评审”下，从“选择评审者”旁边的下拉菜单中选择评审者。 在第一阶段评审结束后，将要求这些评审者进行评审。

7. 根据需要添加任何后备评审者。

8. 添加第二阶段的持续时间。

9. 默认情况下，在创建多阶段评审时你会看到两个阶段。 但是，最多可以添加三个阶段。 若要添加第三个阶段，请单击“+ 添加阶段”并填写必填字段。

10. 可以允许第二和第三阶段评审者查看上一阶段做出的决定。若要允许他们查看先前所做的决定，请单击“显示评审结果”下的“向后期阶段评审者显示先前阶段的决定”旁边的框。 如果你希望评审者独立进行评审，请不要选中该框以禁用此设置。

    

11. 每个重复周期的持续时间将设置为在每个阶段指定的持续时间（天）的总和。

12. 指定评审的“评审重复周期”、“开始日期”和“结束日期”。 重复周期类型的时长必须至少为该重复周期的总持续时间（例如，每周评审重复周期的最长持续时间为 7 天）。

13. 若要指定哪些被评审者可以在完成一个阶段后继续处理下一个阶段，请在“指定可进入下一阶段的被评审者”旁边选择以下一个或多个选项：。

    1. 已获批准的被评审者 - 只有已获批准的被评审者才能进入下一阶段。
    2. 已遭拒绝的被评审者 - 只有已遭拒绝的被评审者才能进入下一阶段。
    3. 未评审的被评审者 - 只有尚未评审的被评审者才能进入下一阶段。
    4. 标记为“未知”的被评审者 - 只有标记为“未知”的被评审者才能进入下一阶段。
    5. 全部：如果你希望所有阶段的评审者都做出决定，则每个人都可以进入下一阶段。

14. 转到设置选项卡，完成其余的设置并创建评审。 按照“下一步: 设置”中的说明操作。

在访问评审（预览版）中包括访问 Teams 共享通道的 B2B 直连用户和团队

可以通过 Microsoft Teams 中的共享通道为 B2B 直连用户创建访问评审。 进行外部协作时，可以使用 Azure AD 访问评审来确保对共享通道保持最新的外部访问。 若要详细了解 Teams 共享通道和 B2B 直连用户，请参阅 B2B 直连一文。

当对具有共享通道的团队创建访问评审时，审阅者可以评审共享通道中这些外部用户和团队的持续访问需求。 共享通道中的外部用户称为 B2B 直连用户。 可以在同一评审中评审 B2B 连接用户及其他受支持的 B2B 协作用户和非 B2B 内部用户的访问权限。

注意

目前，仅单阶段评审中包括 B2B 直连用户和团队。 如果启用了多阶段评审，则访问评审中不会包括直连用户和团队。

具有共享通道且已启用 Teams 的 Microsoft 365 组的访问评审中可包括 B2B 直连用户和团队。 若要创建评审，你必须是：

• 全局管理员
• 用户管理员
• Identity Governance 管理员

请按照以下说明对具有共享通道的团队创建访问评审：

1. 以全局管理员、用户管理员或标识治理管理员身份登录到 Azure 门户。

2. 打开“标识治理”页。

3. 在左侧菜单中，选择“访问评审”。

4. 选择“+ 新建访问评审”。

5. 选择“团队 + 组”，然后单击“选择团队 + 组”以设置“评审范围”。 具有来宾用户的所有 Microsoft 365 组的评审中不包括 B2B 直连用户和团队。

6. 选择具有共享通道（与 1 个或多个 B2B 直连用户或团队共享）的团队。

7. 设置“范围”。

   

   • 选择“所有用户”以包括：
     • 所有内部用户
     • 属于团队成员的 B2B 协作用户
     • B2B 直连用户
     • 访问共享通道的团队
   • 或者，选择“仅来宾用户”以仅包括 B2B 直连用户和团队以及 B2B 协作用户。

8. 继续“评审”选项卡。选择审阅者以完成评审，然后指定“持续时间”和“审阅重复周期”。

   注意

   • 如果将“选择审阅者”设置为“用户评审自己的访问”或“用户经理”，则 B2B 直连用户和团队将无法评审自己在你租户中的访问。 正在评审的团队的所有者会收到一封电子邮件，要求该所有者评审 B2B 直连用户和团队。
   • 如果选择“用户经理”，则所选的后备审阅者将评审在主租户中无经理的任何用户。 这包括无经理的 B2B 直连用户和团队。

9. 转到“设置”选项卡，并配置其他设置。 然后转到“查看并创建”选项卡，开始访问评审。 有关创建评审和配置设置的更多详细信息，请参阅创建单阶段访问评审。

允许组所有者创建和管理其组的访问评审（预览版）

必备角色是全局管理员或用户管理员。

1. 登录到 Azure 门户并打开“标识治理”页。

2. 在左侧菜单中的“访问评审”下，选择“设置” 。

3. 在“可创建和管理访问评审的委托人”页面上，将“(预览版)组所有者可以创建和管理其拥有的组的访问评审”设置为“是” 。

   

   注意

   默认情况下，此设置设为“否”。 允许组所有者创建和管理访问评审，并将设置更改为“是”。

启动访问评审

指定访问评审的设置后，选择“启动”。 访问评审将显示在列表中，并带有其状态指示符。

默认情况下，在评审开始后不久，Azure AD 会向评审者发送一封电子邮件。 如果选择不让 Azure AD 发送电子邮件，请务必通知评审者有一个访问评审任务等待他们完成。 可以向他们显示有关如何评审对组或应用程序的访问权限的说明。 如果评审工作是让来宾评审他们自己的访问权限，则可以显示有关如何评审自己对组或应用程序的访问权限的说明。

如果已分配来宾作为审阅者，而他们尚未接受针对租户的邀请，他们将不会收到访问评审的电子邮件。 他们必须先接受邀请，然后才能开始评审。

更新访问评审

开始一个或多个访问评审后，建议修改或更新现有访问评审的设置。 下面是一些需要考虑的常见方案：

• 更新设置或审阅者：如果访问评审是重复的，则可在“当前”和“系列”下单独进行设置 。 更新“当前”下的设置或审阅者只会将更改应用到当前访问评审。 更新“系列”下的设置将更新所有未来重复的设置。

  

• 添加和删除审阅者：更新访问评审时，可选择添加除主审阅者之外的后备审阅者。 更新访问评审时，可能会删除主审阅者。 根据设计，无法删除后备审阅者。

  注意

  只能在审阅者类型为管理员或组所有者时才能添加后备审阅者。 当审阅者类型为所选用户时，可以添加主审阅者。

• 提醒审阅者：更新访问评审时，可选择在“高级设置”下启用“提醒”选项 。 启用后，用户将在评审过程中收到电子邮件通知，无论他们当时是否已完成评审。

  

后续步骤

• 评审组或应用程序的访问权限
• 评审自己对组或应用程序的访问权限
• 完成组或应用程序的访问评审