使用存取權檢閱管理來賓存取權

  • 發行項

透過存取權檢閱,您可以使用 Microsoft Entra B2B 功能,輕鬆地跨組織界限啟用共同作業。 來自其他租用戶的來賓使用者可以由系統管理員邀請其他使用者邀請。 此功能也適用社交身分識別,例如 Microsoft 帳戶。

您可以輕易確保來賓使用者有適當的存取權。 您可以要求來賓本人或決策者參與存取權檢閱,並重新認證(或證明)來賓的存取權。 檢閱者可以根據來自 Microsoft Entra 識別碼的建議,對需要持續存取的每個使用者提供其意見。 存取權檢閱完成時,您可以接著進行變更,並為不再需要存取的來賓移除存取權。

注意

本檔著重於檢閱來賓使用者的存取權。 如果您想檢閱所有使用者的存取權 (不只來賓),請參閱使用存取權檢閱管理使用者存取權。 若您想要檢閱使用者的系統管理角色 (例如全域系統管理員) 成員資格,請參閱在 Microsoft Entra Privileged Identity Management 中開始存取權檢閱

必要條件

  • Microsoft Entra ID P2 或 Microsoft Entra ID 控管

如需詳細資訊, 請參閱授權需求

建立和執行來賓的存取權檢閱

首先,您必須獲指派下列其中一個角色:

  • 全域管理員
  • 使用者管理員
  • (預覽)要檢閱之群組的 Microsoft 365 或 Microsoft Entra 安全組擁有者

然後,移至 [ 身分識別治理] 頁面 ,以確保存取權檢閱已準備好供貴組織使用。

Microsoft Entra ID 可啟用數個檢閱來賓使用者的案例。

您可以檢閱任一:

  • Microsoft Entra 標識符中的群組,具有一或多個來賓作為成員。
  • 線上到 Microsoft Entra 識別碼的應用程式,該標識碼已指派一或多個來賓使用者。

檢閱 Microsoft 365 群組的來賓使用者存取權時,您可以個別建立每個群組的檢閱,或開啟所有 Microsoft 365 群組中來賓使用者的自動週期性存取權檢閱。 下列影片提供有關來賓用戶的週期性存取權檢閱詳細資訊:

然後您可以決定是否要要求每個來賓檢閱其自己的存取權,或要求一或多個使用者檢閱邁個來賓的存取權。

下列各節涵蓋這些案例。

要求來賓在群組中檢閱自己的成員資格

您可以使用存取權檢閱來確保受邀並新增至群組的使用者仍需要存取權。 您可以輕鬆要求來賓檢閱其在該群組中的成員資格。

  1. 若要建立群組的存取權檢閱,請選取檢閱以僅包含來賓用戶成員,且該成員自行檢閱。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱

  2. 要求每位來賓檢閱自己的成員資格。 根據預設,每個接受邀請的來賓會收到來自 Microsoft Entra ID 的電子郵件,其中包含存取權檢閱的連結。 Microsoft Entra ID 有來賓如何 檢閱群組或應用程式的存取權的指示。

  3. 檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱

  4. 除了拒絕自己需要繼續存取的使用者之外,您也可以移除未回應的使用者。 未回應的使用者可能不再收到電子郵件。

  5. 如果群組未用於存取管理,您也可以移除未選取參與檢閱的用戶,因為他們不接受其邀請。 不接受可能表示受邀使用者的電子郵件地址有錯字。 如果使用群組做為通訊組清單,可能是某些來賓使用者未選取參與,因為它們是聯繫人物件。

要求授權的使用者檢閱群組中的來賓成員資格

您可以要求授權的使用者,例如群組的擁有者,以檢閱來賓在群組中持續成員資格的需求。

  1. 若要建立群組的存取權檢閱,請選取檢閱以僅包含來賓用戶成員。 然後指定一或多個檢閱者。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱

  2. 要求檢閱者提供輸入。 根據預設,他們都會收到來自 Microsoft Entra ID 的電子郵件,其中包含存取面板的連結,其中會 檢閱群組或應用程式的存取權。

  3. 檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱

要求來賓檢閱自己對應用程式的存取權

您可以使用存取權檢閱來確保受邀加入特定應用程式的使用者仍需要存取權。 您可以輕鬆要求來賓檢閱其自己的存取權需求。

  1. 若要建立應用程式的存取權檢閱,請選取檢閱以僅包含來賓,且使用者檢閱自己的存取權。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱

  2. 要求每個來賓檢閱自己對應用程式的存取權。 根據預設,每個接受邀請的來賓會收到來自 Microsoft Entra ID 的電子郵件。 該電子郵件具有貴組織存取面板中存取權檢閱的連結。 Microsoft Entra ID 有來賓如何 檢閱群組或應用程式的存取權的指示。

  3. 檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱

  4. 除了拒絕自己需要繼續存取的使用者之外,您也可以移除未回應的來賓使用者。 未回應的使用者可能不再收到電子郵件。 您也可以移除未選取參與的來賓使用者,特別是如果使用者最近未受邀的話。 這些使用者不接受其邀請,因此無法存取應用程式。

要求授權的使用者檢閱來賓對應用程式的存取權

您可以要求授權的使用者,例如應用程式的擁有者,以檢閱來賓持續存取應用程式的需求。

  1. 若要建立應用程式的存取權檢閱,請選取檢閱以僅包含來賓。 然後,將一或多個使用者指定為檢閱者。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱

  2. 要求檢閱者提供輸入。 根據預設,他們都會收到來自 Microsoft Entra ID 的電子郵件,其中包含存取面板的連結,其中會 檢閱群組或應用程式的存取權。

  3. 檢閱者提供意見後,請停止存取權檢閱並套用變更。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱

一般而言,要求來賓檢閱其存取需求

在某些組織中,來賓可能不知道其群組成員資格。

注意

舊版入口網站不允許具有UserType的來賓用戶進行系統管理存取。 在某些情況下,目錄中的系統管理員可能已使用 PowerShell 將來賓的 UserType 值變更為 Member。 如果先前在您的目錄中發生這項變更,先前的查詢可能不會包含過去具有系統管理訪問許可權的所有來賓使用者。 在此情況下,您必須變更來賓的UserType,或手動在群組成員資格中包含來賓。

  1. 如果適當的群組不存在,請在 Microsoft Entra 標識碼中建立安全組,並將來賓作為成員。 例如,您可以使用手動維護的來賓成員資格來建立群組。 或者,您可以為 Contoso 租使用者中具有 UserType 屬性值的 UserType 屬性值的使用者建立名為 “Guest of Contoso” 的動態群組。 為了提高效率,請確定群組是優先來賓 - 不要選取具有成員使用者的群組,因為成員使用者不需要檢閱。 此外,請記住,屬於群組成員的來賓使用者可以看到群組的其他成員。

  2. 若要建立該群組的存取權檢閱,請選取檢閱者成為成員本身。 如需詳細資訊,請參閱建立群組或應用程式的存取權檢閱

  3. 要求每位來賓檢閱自己的成員資格。 根據預設,每個接受邀請的來賓會收到來自 Microsoft Entra ID 的電子郵件,其中包含貴組織存取面板中存取權檢閱的連結。 Microsoft Entra ID 有來賓如何 檢閱群組或應用程式的存取權的指示。 未接受邀請的來賓會出現在評論結果中顯示為「未通知」。

  4. 檢閱者提供輸入之後,請停止存取權檢閱。 如需詳細資訊,請參閱完成群組或應用程式的存取權檢閱

  5. 當您設定 [選取小組 + 群組] 的存取權檢閱時,您可以自動刪除來賓使用者 Microsoft Entra B2B 帳戶作為存取權檢閱的一部分。 此選項不適用於 具有來賓使用者的所有 Microsoft 365 群組。

Screenshot showing page to create access review.

若要這樣做,請選取 [ 自動將結果套用至資源],因為這樣會自動從資源 中移除使用者。 如果檢閱者未回應 應設定為 [移除存取 權] 和 [對拒絕的來賓使用者 套用的動作],也應該設定為 [ 封鎖登入 30 天],然後從租使用者中移除使用者。

這會立即封鎖登入來賓用戶帳戶,然後在 30 天后自動刪除其 Microsoft Entra B2B 帳戶。

下一步