什麼是存取權檢閱?

Microsoft Entra ID 中的存取權檢閱 (Microsoft Entra 的一部分) 可讓組織有效率地管理群組成員資格、對企業應用程式的存取權,以及角色指派。 您可以定期檢閱使用者的存取權,以確定只有適合的人員才能繼續存取。

以下是提供存取權檢閱快速概觀的影片:

存取權檢閱為何重要?

Microsoft Entra ID 可讓您與組織內部與外部使用者共同作業。 使用者可以加入群組、邀請來賓、連線至雲端應用程式,以及從他們的工作或個人裝置遠端工作。 由於能夠方便地使用自助服務,因此需要更好的存取管理功能。

  • 您該如何確保新進員工有工作所需的存取權?
  • 當人員調換小組或離職時,你該如何確保移除其過去的存取?
  • 多餘的存取權限可能會導致入侵。
  • 多餘的存取權限可能也會導致稽核後果,因為這表示公司對於存取權的控制不夠嚴謹。
  • 您必須主動與資源擁有者合作,以確保他們會定期檢閱可存取其資源的使用者。

何時應該使用存取權檢閱?

  • 太多使用者具有特殊權限角色:您最好檢查有多少使用者擁有系統管理存取權、其中有多少人是全域管理員,以及是否有任何受邀來賓或合作夥伴未在獲指派執行系統管理工作之後移除。 您可以在 Microsoft Entra Privileged Identity Management (PIM) 體驗中重新認證 Microsoft Entra 角色中的角色指派使用者,例如 Global 管理員 istrators 或 Azure 資源角色例如 Microsoft Entra Privileged Identity Management (PIM) 體驗中的使用者存取 管理員 istrator。
  • 無法自動化時:您可以在安全性群組或 Microsoft 365 群組上建立動態成員資格的規則,但如果 HR 資料未放在 Microsoft Entra ID 中,或者,如果使用者在離開群組之後依然需要存取權來訓練其接替者呢? 這時,您就可以在該群組上建立檢閱,以確保仍需要存取權的人員應該會具有持續存取權。
  • 當群組用於新的用途時:如果您有要同步至 Microsoft Entra ID 的群組,或者,如果您計劃讓銷售小組群組中的每個人都能使用應用程式 Salesforce,則要求群組擁有者先檢閱群組成員資格,再將群組用於不同風險內容中的做法會很有用。
  • 業務關鍵性數據存取: 對於某些資源,例如 業務關鍵應用程式,可能需要作為合規性程式的一部分,要求人員定期重新確認,並提供理由說明他們為何需要持續存取。
  • 為了維護原則的例外狀況清單:在理想的世界中,所有使用者都會遵循存取原則來安全地存取您組織的資源。 不過,有時候會有需要您視為例外狀況的商務案例。 身為 IT 系統管理員,您可以管理這項工作、免於監督原則例外狀況,並向稽核人員證明您有定期檢閱這些例外狀況。
  • 要求群組擁有者確認他們仍然需要其群組中的來賓: 員工存取可能會以其他身分識別和存取管理功能自動化,例如根據 HR 來源的數據,而非受邀來賓的生命週期工作流程。 如果有群組賦予來賓存取商務機密內容的權限,該群組的擁有者就有責任確認其來賓仍有合理獲得存取權的商務需求。
  • 定期檢 閱:您可以設定用戶的週期性存取權檢閱,例如每周、每月、每季或每年,檢閱者會在每次檢閱開始時收到通知。 檢閱者可以透過容易使用的介面與智慧建議的協助,來核准或拒絕存取權。

注意

如果您已準備好嘗試存取權檢閱, 請參閱建立群組或應用程式的存取權檢閱

您要在何處建立評論?

根據您想要檢閱的內容,您會在存取權檢閱、Microsoft Entra 企業應用程式、PIM 或權利管理中建立存取權檢閱。

使用者的存取權限 檢閱者可以是 檢閱建立於 檢閱者體驗
安全性群組成員
Office 群組成員
指定的檢閱者
群組擁有者
自我檢閱
存取權檢閱
Microsoft Entra 群組
存取面板
指派至已連線的應用程式 指定的檢閱者
自我檢閱
存取權檢閱
Microsoft Entra 企業應用程式
存取面板
Microsoft Entra 角色 指定的檢閱者
自我檢閱
Pim Microsoft Entra 系統管理中心
Azure 資源角色 指定的檢閱者
自我檢閱
Pim Microsoft Entra 系統管理中心
存取套件指派 指定的檢閱者
群組成員
自我檢閱
權利管理 存取面板

授權需求

使用此功能需要您組織的使用者 Microsoft Entra ID 控管 訂用帳戶。 這項功能中的某些功能可能會使用 Microsoft Entra ID P2 訂用帳戶運作,如需詳細資訊,請參閱每項功能的文章。 若要尋找您需求的正確授權,請參閱 Microsoft Entra ID 控管 授權基本概念

注意

在非使用中使用者上建立檢閱,以及具有使用者對群組關聯性建議的檢閱需要 Microsoft Entra ID 控管 授權。

下一步