在 Microsoft Entra ID 中建立群組與應用程式的存取權檢閱

  • 發行項

員工和來賓的群組及應用程式存取權,可能會隨著時間而改變。 為了降低過時存取權指派的相關風險,系統管理員可以使用 Microsoft Entra ID 建立群組成員或應用程式存取的存取權檢閱。

只要全域 管理員 istrator 或 Identity Governance 管理員 istrator 角色中的使用者透過 [存取權檢閱 設定] 窗格啟用設定,Microsoft 365 和安全組擁有者也可以使用 Microsoft Entra ID 來建立群組成員的存取權檢閱。 如需這些案例的詳細資訊,請參閱 管理存取權檢閱

觀看簡短的影片,討論如何啟用存取權檢閱。

本文說明如何建立一或多個群組成員或應用程式存取權的存取權檢閱。

  • 若要檢閱存取套件指派,請參閱 在權利管理中設定存取權檢閱。
  • 若要檢閱 Azure 資源或 Microsoft Entra 角色,請參閱 在 PIM 中建立存取權檢閱。
  • 如需群組 PIM 的檢閱,請參閱 建立群組 PIM 的存取權檢閱。

必要條件

  • Microsoft Entra ID P2 或 Microsoft Entra ID 控管 授權。
  • 在非使用中使用者或具有使用者對群組關聯性建議的檢閱時,需要 Microsoft Entra ID 控管 授權。
  • 全域管理員或身分識別治理系統管理員,以在群組或應用程式上建立檢閱。
  • 用戶必須是全域管理員角色或特殊許可權角色管理員角色,才能在可指派角色的群組上建立檢閱。 如需詳細資訊,請參閱 使用 Microsoft Entra 群組來管理角色指派
  • Microsoft 365 和安全組擁有者。

如需詳細資訊,請參閱授權需求

如果您要檢閱應用程式的存取權,則在建立檢閱之前,請參閱如何 準備存取權檢閱使用者對應用程式的 存取權,以確保應用程式與租使用者中的 Microsoft Entra ID 整合。

注意

存取權檢閱會擷取每個檢閱實例開頭的存取快照集。 在檢閱程式期間所做的任何變更都會反映在後續的檢閱週期中。 基本上,隨著每個新周期的開始,擷取有關使用者、正在檢閱的資源及其個別檢閱者的相關數據。

建立單一階段存取權檢閱

範圍

  1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別治理>存取權檢閱]。

  3. 選取 [新增存取權檢閱] 來建立新的存取權檢閱。

    顯示 [身分識別治理] 中 [存取權檢閱] 窗格的螢幕快照。

  4. 在 [ 選取要檢閱的內容] 方塊中,選取您要檢閱 的資源。

    顯示建立存取權檢閱的螢幕快照。

  5. 如果您選取 [ Teams + 群組],您有兩個選項:

    • 所有具有來賓使用者的 Microsoft 365 群組:如果您想要在組織中所有 Microsoft Teams 和 Microsoft 365 群組的所有來賓使用者上建立週期性評論,請選取此選項。 不包含動態群組和可指派角色的群組。 您也可以選取 [ 選取要排除的群組] 來選擇排除個別群組。

    • 選取 [Teams + 群組]:如果您想要指定要檢閱的一組有限小組或群組,請選取此選項。 可選擇的群組清單會出現在右側。

      顯示選取 Teams + 群組的螢幕快照。

  6. 如果您選取 [ 應用程式],請選取一或多個應用程式。

    顯示您選取應用程式而非群組時所顯示介面的螢幕快照。

注意

選取多個群組或應用程式會導致建立多個存取權檢閱。 例如,如果您選取五個要檢閱的群組,結果會是五個不同的存取權檢閱。

  1. 現在您可以選取要檢閱的範圍。 您的選項如下:

    • 僅限來賓使用者:此選項會將存取權檢閱限制為目錄中只有 Microsoft Entra B2B 來賓使用者。
    • 所有人:此選項會將存取權檢閱的範圍設為與資源相關聯的所有使用者物件。

    注意

    如果您選取 [所有具有來賓使用者的 Microsoft 365 群組],則唯一的選項是只檢閱來賓使用者。

  2. 或者,如果您正在進行群組成員資格檢閱,您可以只為群組中的非使用中使用者建立存取權檢閱。 在 [使用者範圍] 區段中,核取 [非作用中使用者 (租用戶層級)] 旁的方塊。 如果您核取此方塊,檢閱的範圍僅著重於非使用中使用者,那些尚未以互動方式或非互動方式登入租用戶的使用者。 然後,指定 [非使用 中的天數],且天數最多為 730 天(兩年)。 群組中的使用者在指定的天數內處於非作用中狀態,是檢閱中唯一的使用者。

    注意

    設定閒置時間時,最近建立的使用者不會受到影響。 存取權檢閱會檢查使用者是否在設定的時間範圍內建立,並忽略至少在該時間段內不存在的使用者。 例如,如果您將非使用中狀態時間設定為 90 天,且來賓使用者的建立或邀請時間不到 90 天,則該來賓使用者將不在存取權檢閱的範圍內。 這可確保使用者在遭到移除之前至少可登入一次。

  3. 選取 [下一步:檢閱]

下一步:評論

  1. 您可以建立單一階段或多階段檢閱。 如需單一階段檢閱,請在這裡繼續進行。 若要建立多階段存取權檢閱,請遵循建立多階段存取權檢閱中的 步驟

  2. 在 [指定檢閱者]段中的 [選取檢閱者] 方塊中,選取一或多個人員,以在存取權檢閱中做出決策。 您可以自下列內容中選擇:

    • 群組擁有者(s):只有在對小組或群組進行檢閱時,才能使用此選項。
    • 已選取的使用者或群組
    • 用戶檢閱自己的存取權
    • 使用者的管理員

    如果您選擇使用者管理員或群組擁有者,您也可以指定後援檢閱者。 當使用者未在目錄中指定管理員,或群組沒有擁有者時,系統會要求後援檢閱者進行檢閱。

    注意

    在小組或群組存取權檢閱中,只有群組擁有者(在檢閱開始時)才會被視為檢閱者。 在檢閱過程中,如果群組擁有者清單更新,新的群組擁有者將不會被視為檢閱者,而且舊的群組擁有者仍會被視為檢閱者。 不過,在週期性檢閱的情況下,群組擁有者清單上的任何變更都會在該檢閱的下一個實例中考慮。

    重要

    針對群組的 PIM(預覽),您必須選取 [群組擁有者]。 必須至少將一個後援檢閱者指派給檢閱。 檢閱只會將作用中擁有者(s) 指派為檢閱者。 不包含合格的擁有者。 如果檢閱開始時沒有作用中的擁有者,後援檢閱者會指派給檢閱。

    顯示 [新增存取權檢閱] 的螢幕快照。

  3. 在 [ 指定檢閱 週期] 區段中,指定下列選取專案:

    • 持續時間(以天數為單位):檢閱的開啟時間長度,以供檢閱者輸入。

    • 開始日期:當一系列評論開始時。

    • 結束日期:檢閱系列結束時。 您可以指定它 永不 結束。 或者,您可以選取 [在特定日期結束] 或 [在發生次數之後結束]。

      顯示選擇檢閱頻率的螢幕快照。

  4. 選取 [下一步]:設定

下一步:設定

  1. 在 [ 完成設定 ] 區段中,您可以指定檢閱完成之後會發生什麼情況。

    顯示 [完成時] 設定的螢幕快照。

    • 自動將結果套用至資源:如果您想要在檢閱期間結束後自動移除拒絕使用者的存取權,請選取此複選框。 如果選項已停用,您必須在檢閱完成時手動套用結果。 若要深入瞭解如何套用檢閱的結果,請參閱 管理存取權檢閱

    • 如果檢閱者沒有回應:請使用此選項來指定檢閱期間內任何檢閱者未檢閱的用戶會發生什麼情況。 此設定不會影響檢閱者檢閱的使用者。 下拉式清單會顯示下列選項:

      • 沒有變更:讓使用者的存取權保持不變。
      • 拿掉存取:移除使用者的存取權。
      • 核准存取:核准使用者的存取權。
      • 採取建議:採用系統的建議來拒絕或核准用戶的繼續存取權。

      警告

      如果檢閱者未回應設定為 [移除存取權] 或 [採取建議],並啟用 [自動套用結果至資源],則檢閱者無法回應時,可能會撤銷此資源的所有存取權。

    • 對拒絕的來賓使用者套用的動作:只有在存取權檢閱限定為只包含來賓用戶的情況下,才能使用此選項,以指定檢閱者拒絕或檢 閱者未回應 設定時,來賓用戶會發生什麼情況。

      • 從資源中移除使用者的成員資格:此選項會移除拒絕來賓使用者的群組或應用程式存取權。 他們仍然可以登入租使用者,而且不會遺失任何其他存取權。
      • 封鎖使用者登入 30 天,然後從租使用者中移除使用者:此選項會封鎖拒絕的來賓使用者登入租使用者,無論他們是否有權存取其他資源。 如果發生此動作發生錯誤,系統管理員可以在來賓使用者停用后的 30 天內重新啟用來賓使用者的存取權。 如果在 30 天后未對已停用的來賓用戶採取任何動作,則會從租用戶中刪除。

    若要深入瞭解移除組織中無法存取資源的來賓使用者的最佳作法,請參閱使用 Microsoft Entra ID 控管 來檢閱和移除不再具有資源存取權的外部使用者。

    注意

    對拒絕來賓使用者 套用的動作,無法在範圍超過來賓用戶的評論上設定。 也無法設定所有 Microsoft 365 群組與來賓用戶的評論 若無法設定,則會在拒絕的使用者上使用移除使用者成員資格的預設選項。

  2. 使用 [ 檢閱結束時,將通知傳送至 選項],將通知傳送給具有完成更新的其他使用者或群組。 這項功能可讓檢閱建立者以外的專案關係人更新檢閱進度。 若要使用此功能,請選擇 [ 選取使用者] 或 [群組], 然後新增您想要接收完成狀態的另一個使用者或群組。

  3. 在 [ 啟用檢閱決策協助程式] 區段中,選擇您是否希望檢閱者在檢閱程式期間收到建議:

    1. 如果您在 30 天內選取 [無登入],建議在前 30 天期間登入的使用者核准。 建議在過去 30 天內未登入的用戶拒絕。 這個 30 天的間隔,不論登入是否為互動式。 指定用戶的最後一次登入日期也會隨著建議一起顯示。
    2. 如果您選取 [使用者對群組關係],檢閱者會根據組織報告結構中使用者的平均距離,取得核准或拒絕使用者存取的建議。 與群組內所有其他使用者相距較遠的使用者會被視為「低關聯性」,且會在群組存取權檢閱中取得拒絕建議。

    注意

    如果您根據應用程式建立存取權檢閱,則建議是根據使用者上次登入應用程式而不是租使用者的 30 天間隔期間而定。

    顯示 [啟用檢閱者決策協助程式] 選項的螢幕快照。

  4. 在 [ 進階設定 ] 區段中,您可以選擇下列專案:

    • 必要理由:選取此複選框,要求檢閱者提供核准或拒絕的原因。

    • 電子郵件通知:選取此複選框,讓 Microsoft Entra ID 在存取權檢閱開始時傳送電子郵件通知給檢閱者,以及在檢閱完成時傳送給系統管理員。

    • 提醒:選取此複選框,讓 Microsoft Entra ID 將存取權檢閱的提醒傳送給所有檢閱者。 檢閱者會在檢閱中途收到提醒,無論他們是否已完成檢閱。

    • 檢閱者電子郵件的其他內容:傳送給檢閱者的電子郵件內容會根據檢閱詳細數據自動產生,例如檢閱名稱、資源名稱和到期日。 如果您需要傳達詳細資訊,您可以在方塊中指定相關詳細數據,例如指示或連絡資訊。 您輸入的資訊會包含在邀請中,而提醒電子郵件會傳送給指派的檢閱者。 下圖中反白顯示的區段會顯示此信息的顯示位置。

      顯示檢閱者其他內容的螢幕快照。

  5. 完成時,選取下一步:檢閱 + 建立

    顯示 [檢閱 + 建立] 索引標籤的螢幕快照。

下一步:檢閱 + 建立

  1. 命名存取權檢閱。 您可以選擇性地提供檢閱描述。 會向檢閱者顯示名稱和描述。

  2. 檢閱資訊並選取 [建立]

建立多階段存取權檢閱

多階段檢閱可讓系統管理員定義兩組或三組檢閱者,以逐一完成檢閱。 在單一階段檢閱中,所有檢閱者都會在相同期間內做出決定,而最後一個檢閱者要做出決策,其決策已套用。 在多階段檢閱中,兩三組獨立檢閱者各自在自己的階段內做出決定。 階段是循序的,而且在下一個階段中記錄決策之前,不會發生下一個階段。 多階段檢閱可用來減輕後續階段檢閱者的負擔、允許檢閱者呈報,或讓獨立檢閱者群組就決策達成一致。

注意

多階段存取權檢閱中包含的用戶數據,是檢閱開始時稽核記錄的一部分。 管理員 istrators 可以隨時刪除多階段存取權檢閱系列來刪除數據。 如需GDPR和保護用戶數據的一般資訊,請參閱服務信任入口網站的 Microsoft 信任中心和GDPR 區段的 GDPR 一節。

  1. 選取檢閱的資源和範圍之後,請移至 [ 檢閱] 索引標籤。

  2. 選取 [多階段檢閱] 旁的複選框。

  3. [第一階段檢閱] 下,從 [選取檢閱者] 旁 的下拉菜單中選取檢閱者

  4. 如果您選取 [ 群組擁有者][使用者管理員],您可以選擇新增後援檢閱者。 若要新增後援,請選取 [ 選取後援檢閱者 ],然後新增您想要成為後援檢閱者的使用者。

    顯示已啟用多階段檢閱和多階段檢閱設定的螢幕快照。

  5. 新增第一個階段的持續時間。 若要新增持續時間,請在 [階段工期] 旁的欄位中輸入數位(以天為單位)。 這是您希望第一個階段開放給第一階段檢閱者做出決策的天數。

  6. [第二階段檢閱] 下,從 [選取檢閱者] 旁 的下拉菜單中選取檢閱者。 在第一階段檢閱結束時,系統會要求這些檢閱者檢閱。

  7. 視需要新增任何後援檢閱者。

  8. 新增第二個階段的持續時間。

  9. 根據預設,您會在建立多階段檢閱時看到兩個階段。 不過,您最多可以新增三個階段。 如果您想要新增第三個階段,請選取 [+ 新增階段 ],然後完成必要的字段。

  10. 您可以決定允許第 2 和第 3 階段檢閱者查看在上一個階段中做出的決策。 如果您想要允許他們查看先前所做的決策,請在 [顯色檢閱結果] 底下選取 [顯示先前階段(s) 決策] 旁的方塊。 如果您希望檢閱者獨立檢閱,請取消核取方塊以停用此設定。

    顯示持續時間並顯示針對多階段檢閱啟用先前階段設定的螢幕快照。

  11. 每個週期的持續時間會設定為您在每個階段中指定的持續時間日總和。

  12. 指定檢閱週期開始日期檢閱的結束日期。 週期類型必須至少只要週期的總持續時間(也就是每周檢閱週期的最大持續時間為7天)。

  13. 若要指定哪些檢閱者會從階段到階段繼續,請在 [指定檢閱者] 旁 選取下列一或多個選項,以移至下一個階段顯示指定檢閱者設定和多重階段檢閱選項的螢幕快照。

    1. 已核准的審查者 - 只有已核准的審查者才能進入下一個階段。
    2. 被拒絕的評論者 - 只有被拒絕進入下一階段的評論者。
    3. 未審查的評論者 - 只有尚未審查的評論者才會進入下一個階段。
    4. 標示為「不知道」 的評論者 - 只有標示為「不知道」的評論者才能進入下一個階段。
    5. 全部:如果您希望檢閱者的所有階段都做出決定,每個人都會進入下一個階段。

  14. 繼續前往 [ 設定] 索引標籤 ,並完成其餘的設定並建立檢閱。 依照下一步:設定 中的指示操作。

在存取權檢閱中包含 B2B 直接連線使用者和 Teams 存取 Teams 共用頻道

您可以透過 Microsoft Teams 中的共用頻道建立 B2B 直接連線使用者的存取權檢閱。 當您在外部共同作業時,可以使用 Microsoft Entra 存取權檢閱來確保共用通道的外部存取保持最新狀態。 共用通道中的外部用戶稱為 B2B 直接連線使用者。 若要深入瞭解 Teams 共用頻道和 B2B 直接連線使用者,請閱讀 B2B 直接連線 一文。

當您在具有共用頻道的 Team 上建立存取權檢閱時,檢閱者可以檢閱這些外部使用者和共用頻道中 Teams 存取的繼續需求。 您可以在相同的檢閱中檢閱 B2B 連線使用者和其他支援的 B2B 共同作業使用者和非 B2B 內部使用者存取權。

注意

目前,B2B 直接連線使用者和小組只會包含在單一階段檢閱中。 如果已啟用多階段檢閱,B2B 直接連線使用者和小組將不會包含在存取權檢閱中。

B2B 直接連線使用者和小組包含在共用頻道所屬 Teams 已啟用 Microsoft 365 群組的存取權檢閱中。 若要建立檢閱,您必須是:

  • 全域管理員
  • 使用者管理員
  • 身分識別控管系統管理員

使用下列指示,在具有共用頻道的團隊上建立存取權檢閱:

  1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別治理>存取權檢閱]。

  3. 選取 [+ 新增存取權檢閱]。

  4. 選取 [Teams + 群組 ],然後選取 [ 選取小組 + 群組 ] 來設定 [ 檢閱範圍]。 B2B 直接連線使用者和小組不會包含在所有 Microsoft 365 群組與來賓用戶的評論中。

  5. 選取已與 1 或多個 B2B 直接連線使用者或 Teams 共用的頻道共用的小組。

  6. 設定範圍

    顯示將共用頻道檢閱的檢閱範圍設定為的螢幕快照。

    • 選擇 [所有使用者 ] 以包含:
      • 所有內部使用者
      • 屬於小組成員的 B2B 共同作業使用者
      • B2B 直接連線使用者
      • 存取共用頻道的團隊
    • 或者,選擇 [來賓使用者僅 包含 B2B 直接連線使用者] 和 [Teams] 和 [B2B 共同作業使用者]。

  7. 繼續前往 [檢閱] 索引卷標。選取檢閱者以完成檢閱,然後指定 [持續時間] 和 [檢閱週期]。

    注意

    • 如果您將 [選取檢閱者] 設定[使用者檢閱自己的存取權] 或 [使用者管理員],B2B 直接連線使用者和 Teams 將無法在租使用者中檢閱自己的存取權。 正在檢閱的小組擁有者會收到一封電子郵件,要求擁有者檢閱 B2B 直接連線使用者和 Teams。
    • 如果您選取 使用者的管理員,選取的後援檢閱者將會檢閱任何沒有主租用戶中經理的使用者。 這包括 B2B 直接連線用戶和沒有管理員的 Teams。

  8. 移至 [設定] 索引標籤並設定其他設定。 然後移至 [ 檢閱和建立] 索引標籤,以開始您的存取權檢閱。 如需建立檢閱和組態設定的詳細資訊,請參閱建立 單一階段存取權檢閱

允許群組擁有者建立和管理其群組的存取權檢閱

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

必要角色是全域 管理員 istrator 或 Identity Governance 管理員 istrator。

  1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心

  2. 流覽至身分識別治理>存取權檢閱> 設定。

  3. 在 [委派誰可以建立和管理存取權檢閱] 頁面上,將 [群組擁有者] 設定[是] 可建立及管理其擁有群組的存取權檢閱。

    顯示可讓群組擁有者檢閱的螢幕快照。

    注意

    根據預設,此設定會設定為 [否]。 若要允許群組擁有者建立和管理存取權檢閱,請將設定變更為 [是]。

以程序設計方式建立存取權檢閱

您也可以使用 Microsoft Graph 或 PowerShell 建立存取權檢閱。

若要使用 Graph 建立存取權檢閱,請呼叫 Graph API 以 建立存取權檢閱排程定義。 呼叫端必須是具有委派 AccessReview.ReadWrite.All 許可權之應用程式或具有應用程式許可權之應用程式的適當角色使用者 AccessReview.ReadWrite.All 。 如需詳細資訊,請參閱 存取權檢閱 API 概觀和教學課程,以 瞭解如何檢閱安全組 的成員或 檢閱 Microsoft 365 群組中的來賓。

您也可以使用New-MgIdentityGovernanceAccessReviewDefinition適用於身分識別治理模組的 Microsoft Graph PowerShell Cmdlet Cmdlet,在 PowerShell 中建立存取權檢閱。 如需詳細資訊,請參閱 範例

存取權檢閱啟動時

指定存取權檢閱的設定並加以建立之後,存取權檢閱會出現在您的清單中,其中包含其狀態指標。

顯示存取權檢閱清單及其狀態的螢幕快照。

根據預設,Microsoft Entra ID 會在一次性檢閱后不久傳送電子郵件給檢閱者,或週期性檢閱的週期性檢閱開始。 如果選擇不讓 Microsoft Entra ID 傳送電子郵件,請務必通知檢閱者,正在等候他們完成存取權檢閱。 您可以向他們顯示如何 檢閱群組或應用程式的存取權的指示。 如果您的檢閱是讓來賓檢閱自己的存取權,請向他們顯示如何 檢閱群組或應用程式的存取權的指示。

如果您已將來賓指派為檢閱者,且他們尚未接受其邀請給租用戶,他們就不會收到來自存取權檢閱的電子郵件。 他們必須先接受邀請,才能開始檢閱。

更新存取權檢閱

啟動一或多個存取權檢閱之後,您可能會想要修改或更新現有存取權檢閱的設定。 以下是一些需要考慮的常見案例:

  • 更新設定或檢閱者:如果存取權檢閱是週期性,則 [目前] 和 [數列] 底下有個別的設定。 更新 [目前] 底下的設定或檢閱者,只會將變更套用至目前的存取權檢閱。 更新 [數列] 底下的設定會更新所有未來周期的設定。

    顯示更新存取權檢閱設定的螢幕快照。

  • 新增和移除檢閱者: 當您更新存取權檢閱時,除了主要檢閱者之外,您也可以選擇新增後援檢閱者。 當您更新存取權檢閱時,可能會移除主要檢閱者。 後援檢閱者的設計並非可移動檢閱者。

    注意

    只有在檢閱者類型是管理員或群組擁有者時,才能新增後援檢閱者。 當檢閱者類型是選取的使用者時,可以新增主要檢閱者。

  • 提醒檢閱者:當您更新存取權檢閱時,您可以選擇在 [進階設定] 下啟用 [提醒] 選項。 用戶接著會在檢閱期間中間點收到電子郵件通知,無論他們是否已完成檢閱。

    顯示提醒檢閱者的螢幕快照。

下一步