您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

在 Azure AD 访问评审中评审对组和应用程序的访问权限

Azure Active Directory (Azure AD) 借助称为“Azure AD 访问评审”的功能,简化了企业对 Azure AD 及其他 Microsoft Online Services 中的组和应用程序访问权限的管理方式。 本文介绍指定的审阅者如何对有权访问应用程序的组成员或用户执行访问评审。 如果想要评审对包的访问权限,请阅读在 Azure AD 权利管理中评审访问包的访问权限

使用“我的应用”执行访问评审

可以从通知电子邮件开始访问评审过程,也可以直接转到站点来开始。

  • 电子邮件

重要

接收电子邮件可能存在延迟,在某些情况下,可能需要长达 24 小时来接收。 将 azure-noreply@microsoft.com 添加到安全收件人列表以确保收到所有电子邮件。

  1. 查找要求你执行访问评审的 Microsoft 电子邮件。 以下示例电子邮件要求评审对某个组的访问权限。

    显示要求评审对某个组的访问权限的 Microsoft 示例电子邮件的屏幕截图。

  2. 单击“开始评审”链接打开访问评审。

  • 如果未收到该电子邮件,可按照以下步骤找到待处理的访问评审。

    1. 登录到“我的应用”门户 (https://myapps.microsoft.com)。

      “我的应用”门户,其中列出了你有权访问的应用

    2. 在页面右上角,单击你的名称和默认组织旁边的用户。 如果列出多个组织,请选择已请求访问评审的组织。

    3. 单击“访问评审”磁贴,查看待处理的访问评审列表。

      备注

      如果“访问评审”磁贴不可见,则表明该组织没有要执行的访问评审,此时不需要执行任何操作。

      显示应用和组的待处理访问评审列表的屏幕截图。

    4. 单击你要执行的访问评审对应的“开始评审”链接。

打开访问评审后,你会看到需要访问评审的用户的名称。

如果请求是评审你自己的访问权限,则页面内容会有所不同。 有关详细信息,请参阅评审自己对组或应用程序的访问权限

打开访问评审,其中会列出要评审的用户

可通过两种方式批准或拒绝访问权限:

  • 可以针对每个用户请求选择适当的操作,通过这种方式“手动”批准或拒绝一个或多个用户的访问。
  • 可以接受系统建议。

批准或拒绝一个或多个用户的访问权限

  1. 评审用户列表并确定是批准还是拒绝其继续访问。

    • 若要批准或拒绝单个用户的访问权限,请单击相应的行打开一个窗口,以指定要执行的操作。
    • 若要批准或拒绝多个用户的访问权限,请勾选这些用户,然后单击“评审 X 个用户”按钮打开一个窗口,以指定要执行的操作。
  2. 单击“批准”或“拒绝”。

    包括“批准”、“拒绝”和“不知道”选项的操作窗口

    备注

    如果不确定,可以单击“不知道”。 用户可以保留其访问权限,而你的选择将记录在审核日志中。

  3. 访问评审的管理员可能会要求你在“原因”框中提供做出决定的理由。 即使不需要提供理由, 你也可以为决策提供理由,而你提供的信息将可供其他审阅者使用。

  4. 指定要执行的操作后,单击“保存”。

    备注

    在访问评审结束之前,随时可以更改响应。 若要更改响应,请选择相应的行并更新响应。 例如,可以批准以前已拒绝的用户,或者拒绝以前已批准的用户。

    重要

    • 如果拒绝了某个用户的访问权限,不会立即删除该用户。 如果已启用自动应用,则在评审期结束或管理员停止评审时,这些用户将被删除。
    • 如果有多个评审者,将记录最后提交的响应。 例如,假设管理员指定了两名审阅者 - Alice 和 Bob。 Alice 首先打开访问评审并批准了用户的访问请求。 在评审期结束之前,Bob 打开访问评审,拒绝了 Alice 之前批准的同一请求中的访问权限。 最后决定(即拒绝访问)是系统记录的响应。

根据建议批准或拒绝访问权限

为了让你更轻松、更快捷地评审访问权限,我们还会提供建议,单击一下鼠标就能接受这些建议。 建议是根据用户的登录活动生成的。

  1. 在页面底部的蓝色栏中,单击“接受建议”。

    显示带有已选中“接受建议”按钮的打开访问评审列表的屏幕截图。

    你将看到建议操作的摘要。

    显示建议操作摘要的窗口

  2. 单击“确定”接受建议。

使用“我的访问权限”(新)执行访问评审

可通过以下几种不同的方式,使用更新的“我的访问权限”用户界面来获取新的审阅者体验:

“我的应用”门户

  1. https://myapps.microsoft.com 登录“我的应用”。

    “我的应用”门户,其中列出了你有权访问的应用

  2. 单击“访问评审”磁贴,查看待处理的访问评审列表。

    备注

    如果“访问评审”磁贴不可见,则表明该组织没有要执行的访问评审,此时不需要执行任何操作。

应用和组的待处理访问评审列表,其中显示预览版期间“新体验现在可用”横幅

  1. 单击页面顶部横幅中的“试用!” 。 这会将你转到新的“我的访问权限”体验。

电子邮件

重要

接收电子邮件可能存在延迟,在某些情况下,可能需要长达 24 小时来接收。 将 azure-noreply@microsoft.com 添加到安全收件人列表以确保收到所有电子邮件。

  1. 查找要求你执行访问评审的 Microsoft 电子邮件。 可以看到如下所示的示例电子邮件:

要求评审对某个组的访问权限的 Microsoft 示例电子邮件

  1. 单击“开始评审”链接打开访问评审。

备注

如果单击“开始评审”后转到“我的应用”,请按照上面标题为“我的应用门户”部分列出的步骤进行操作 。

还可使用浏览器打开“我的访问权限”来查看待处理的访问评审。

  1. https://myaccess.microsoft.com/ 登录到“我的访问权限”

  2. 选择左侧栏菜单中的“访问评审”,查看分配给你的待处理访问评审的列表。

    菜单中的访问评审

批准或拒绝一个或多个用户的访问权限

在“组和应用”下打开“我的访问权限”后,可以看到:

  • 名称 访问评审的名称。
  • 截止日期 评审的截止日期。 在此日期后,可能会从正在评审的组或应用中删除被拒绝的用户。
  • 资源 正在评审的资源的名称。
  • 进度 此访问评审的用户总数中已评审的用户数。

单击访问评审的名称即可开始使用。

应用和组的待处理访问评审列表

打开后,你将看到访问评审范围内的用户列表。 如果请求是评审你自己的访问权限,则页面内容会有所不同。 有关详细信息,请参阅评审自己对组或应用程序的访问权限

可通过两种方式批准或拒绝访问权限:

  • 可手动批准或拒绝一名或多名用户的访问权限。
  • 可以接受系统建议。

手动批准或拒绝一个或多个用户的访问权限

  1. 评审用户列表并确定是批准还是拒绝其继续访问。

  2. 单击用户姓名旁边的圆圈,选择一名或多名用户。

  3. 在上方的栏中选择“批准”或“拒绝” 。

    • 如果不确定,可以单击“不知道”。 用户会保留其访问权限,而你的选择将记录在审核日志中。 请务必记住,你提供的任何信息都将提供给其他审阅者。 他们可阅读你的注释,并在其评审请求时将其考虑在内。

    打开访问评审,其中会列出需要评审的用户

  4. 访问评审的管理员可能会要求你在“原因”框中提供做出决定的理由。 即使不需要提供理由, 你仍可提供决策理由,而其他审批者将可使用你提供的信息来进行评审。

  5. 单击“提交” 。

    • 在访问评审结束之前,随时可以更改响应。 若要更改响应,请选择相应的行并更新响应。 例如,可以批准以前已拒绝的用户,或者拒绝以前已批准的用户。

重要

  • 如果拒绝了某个用户的访问权限,不会立即删除该用户。 在评审期结束或管理员停止评审时,这些用户将被删除。
  • 如果有多个评审者,将记录最后提交的响应。 例如,假设管理员指定了两名审阅者 - Alice 和 Bob。 Alice 首先打开访问评审并批准了用户的访问请求。 在评审期结束之前,Bob 打开访问评审,拒绝了 Alice 之前批准的同一请求中的访问权限。 最后决定(即拒绝访问)是系统记录的响应。

根据建议批准或拒绝访问权限

为了让你更轻松、更快捷地评审访问权限,我们还会提供建议,单击一下鼠标就能接受这些建议。 建议是根据用户的登录活动生成的。

  1. 选择一名或多名用户,然后单击“接受建议”。

    打开访问评审列表,其中会显示“接受建议”按钮

  2. 单击“提交”接受建议。

若要对所有用户都接受建议,请确保未选择任何人,并单击顶部栏上的“接受建议”按钮。

备注

接受建议后,之前的决策将保持不变。

后续步骤