随着时间的推移,员工和访客对群组和应用程序的访问权限会发生变化。为了降低与过时访问分配相关的风险,管理员可以使用 Azure Active Directory (Azure AD) 为组成员或应用程序访问创建访问审查。
Azure Active Directory (Azure AD) 访问审查使组织能够有效地管理组成员身份,而无需进行管理监督。您可以确保用户和来宾具有适当的访问权限。使用 Access Reviews,您可以:
- 安排定期审查或执行临时审查以查看谁有权访问特定资源,例如应用程序和组
- 跟踪评论以获得洞察力、合规性或政策原因
- 将审核委托给可以自我证明需要继续访问的特定管理员、企业主或最终用户
- 使用洞察有效地确定用户是否应继续拥有访问权限
- 自动审核结果,例如删除用户对资源的访问权限
主要优势 启用访问审查的主要好处是:
- 控制协作 – 访问审查允许组织管理对其用户所需的所有资源的访问。当他们的用户共享和协作时,组织可以确保信息仅在授权用户之间。
- 管理风险 – 访问审查为组织提供了一种审查对数据和应用程序的访问的方法,从而降低了数据泄漏和数据泄漏的风险。这包括定期审查外部合作伙伴对公司资源的访问的能力。
- 解决合规性和治理问题 – 通过访问审查,您可以治理和重新认证对组、应用程序和站点的访问生命周期。您可以控制特定于您的组织的合规性或风险敏感应用程序的跟踪审查。
- 降低成本 – Access Reviews 内置于云中,并与云资源(如组、应用程序和 Access Packages)原生配合使用。使用 Access Reviews 比构建自己的工具成本更低 或以其他方式升级您的本地工具集。
为群组成员创建访问审核
先决条件
- Azure AD Premium P2
- Global administrator or User administrator
- Microsoft 365 and Security group owner (Preview)
创建一个或多个access reviews
1.登录到 Azure 门户并打开身份治理页面。
2.选择创建访问审查以创建新的访问审查。
3.在 Step 1: Select what to review 部分,选择 Teams + Groups。
4.在 Step 1:选择哪个团队 + 组部分,选择以下两个选项之一:
- 具有来宾用户的所有 Microsoft 365 组 – 如果您希望在组织中的所有 Microsoft Teams 和 Microsoft 365 组中对所有来宾创建定期审核,请选择此选项。您可以通过选择“选择要排除的组”来选择排除某些组。
- 选择Teams + 组 – 如果您想指定一组有限的团队和/或组来查看,请选择此选项。选择此选项后,您将在右侧看到可供选择的组列表。
5.接下来,在第 3 步中,您可以选择审核范围。你的选择是
- 仅限来宾用户 – 选择此选项会将访问审核限制为仅限目录中的 Azure AD B2B 来宾。
- 每个人 – 选择此选项 将访问审查范围限定为与资源关联的所有用户对象。
如果您在步骤 2 中选择了所有带有来宾的 Microsoft 365 组,则您唯一的选择是在步骤 3 中查看来宾。
6.选择下一步: 审阅
7.在选择审阅者部分,选择一个或多个人来执行访问审阅。您可以选择:
- 组所有者(仅在对团队或组进行审查时可用)
- 选定的用户或组
- 用户查看自己的访问权限
- 用户经理。如果您选择用户经理或组所有者,您还可以选择指定后备审阅者。当用户在目录中没有指定经理或组没有所有者时,会要求后备审阅者进行审阅。
8.在指定复审周期部分,您可以指定频率,例如每周、每月、每季度、每半年、每年。然后您指定一个持续时间,它定义了审查将开放多长时间以供审查者输入。例如,您可以为每月审核设置的最长持续时间为 27 天,以避免重复审核。您可能希望缩短持续时间以确保更早地应用您的审阅者输入。接下来,您可以选择开始日期,然后 结束日期。
选择页面下端的下一步:设置按钮。
10.在完成后设置中,您可以指定审查完成后发生的情况。 如果要自动删除被拒绝用户的访问权限,请将自动应用结果到资源设置为启用。如果要在审核完成时手动应用结果,请将开关设置为禁用。 使用“如果审阅者不响应”列表来指定对于在审阅期间内未被审阅者审阅的用户会发生什么情况。此设置不会影响已被审阅者手动审阅的用户。如果最终审阅者的决定是拒绝,则用户的访问权限将被删除。
- 无变化 – 保持用户的访问权限不变
- 删除访问权限 – 删除用户的访问权限
- 批准访问 – 批准用户的访问
- 接受建议 – 接受系统关于拒绝或批准用户继续访问的建议
使用 Action to apply on denied 来宾用户来指定如果来宾被拒绝会发生什么。
- 从资源中删除用户的成员资格将删除被拒绝的用户对正在审查的组或应用程序的访问权限,他们仍然可以登录到租户。
- 阻止用户登录 30 天,然后从租户中删除用户将阻止被拒绝的用户登录到租户,无论他们是否有权访问其他资源。如果出现错误或管理员决定重新启用某个用户的访问权限,他们可以在用户被禁用后的 30 天内执行此操作。如果没有对被禁用的用户采取任何措施,他们将从租户中删除。
11.您可以向其他用户或组(预览)发送通知以接收审阅完成更新。此功能允许除审核创建者之外的利益相关者更新审核进度。
12.要使用此功能,请选择“选择用户”或“组”并添加您希望接收完成状态的额外用户或组。 在启用审阅决策助手中,选择您是否希望审阅者在审阅过程中接收建议。
13.在高级设置部分,您可以选择以下内容:
- 将需要理由设置为启用以要求审阅者提供批准理由。
- 将电子邮件通知设置为启用以让 Azure AD 在访问审查开始时向审查者发送电子邮件通知,并在审查完成时向管理员发送电子邮件通知。
- 将提醒设置为启用以使 Azure AD 向尚未完成审核的审核者发送正在进行的访问审核的提醒。这些提醒将在审核过程中途发送。
- 发送给审阅者的电子邮件内容是根据审阅详细信息自动生成的,例如审阅名称、资源名称、截止日期和其他详细信息。如果您需要一种传达其他信息(例如其他说明或联系信息)的方式,您可以在审阅者电子邮件的附加内容部分中指定这些详细信息。您输入的信息包含在发送给指定审阅者的邀请和提醒电子邮件中。下图中突出显示的部分显示了此信息的位置 显示。
14.选择 Next: Review + Create 移至下一页。
15.命名访问审查。 (可选)为评论提供描述。名称和描述会显示给审阅者。
16.查看信息并选择创建。
允许群组所有者创建和管理访问审核(预览版)
先决角色:全局或用户管理员
- 登录到 Azure 门户并打开身份治理页面。
- 在左侧菜单中,在访问审查下>>设置(Access reviews, settings)。
- 在可以创建和管理访问评论的委托人页面上,将(预览)组所有者可以创建和管理他们拥有的组的访问评论设置为”是Yes”。
审阅关于组内成员的审阅权限
指定访问审查的设置后,选择开始。访问审查将显示在您的列表中,并带有其状态指示符。
默认情况下,Azure AD 在审阅开始后不久会向审阅者发送一封电子邮件。如果您选择不让 Azure AD 发送电子邮件,请务必通知审核者访问审核正在等待他们完成。
您可以从通知电子邮件或直接访问站点 https://myapps.microsoft.com 开始访问审查过程。您可以通过两种方式批准或拒绝访问:
- 您可以通过为每个用户请求选择适当的操作来“手动”批准或拒绝一个或多个用户的访问。
- 您可以接受系统建议。
