使用 Azure Active Directory 存取檢閱來管理使用者存取
存取員工和來賓的群組和應用程式會隨著時間而變更。 若要降低與過時存取指派相關聯的風險,系統管理員可以使用 Azure Active Directory (Azure AD) 建立群組成員或應用程式存取的存取權檢閱。 以下是使用存取權檢閱的一些狀況:
- 特殊權限角色中的使用者太多
- 當自動化不可行時
- 當群組用於新用途時
- 業務關鍵資料存取
- 維持原則的例外清單
- 請群組擁有者確認其群組中仍然需要來賓
- 定期進行檢閲
Azure Active Directory (Azure AD) 存取權檢閱可讓組織有效率地管理群組成員資格,而不需要系統管理監督。 您可以確保使用者和來賓具有適當的存取權。 使用存取權檢閱,您可以:
- 排程定期檢閱或執行臨時檢閱,以查看誰可以存取特定資源,例如應用程式和群組
- 追蹤深入解析、合規性或原則原因的檢閱
- 委派檢閱給特定系統管理員、企業擁有者,或可以自我證明需要持續存取權的使用者
- 使用深入解析有效率地判斷使用者是否應繼續擁有存取權
- 自動化檢閱結果,例如移除使用者對資源的存取權
- 自動檢閱 Azure AD 中有一個或多個來賓作為成員的群組。
- 自動檢閲連線至 Azure AD 的、被指派了一個或多個來賓使用者之應用程式。
主要權益
啟用存取權檢閱的主要優點包括:
控制共同作業 - 存取權檢閱允許組織管理使用者需要的所有資源的存取權。 當使用者共用和共同合作時,組織可以保證資訊只會在授權使用者之間使用。
管理風險 - 存取權檢閱提供組織一種檢閱資料和應用程式的存取權,以降低資料外泄和資料外泄的風險的方式。 這包括定期檢閱外部合作夥伴對公司資源存取權的功能。
位址合規性與控管 - 使用 [存取權檢閱],您可以管理和重新認證群組、應用程式和網站的存取權生命週期。 您可以控制貴組織特定合規性或風險敏感性應用程式的追蹤檢閱。
降低成本 - [存取權檢閱] 內建于雲端,並原生地與雲端資源 (例如群組、應用程式和存取套件) 一同使用。 使用 [存取權檢閱] 比建立您自己的工具或升級您的內部部署工具集更便宜。
為群組成員建立存取權檢閱
必要條件
- Azure AD Premium P2
- 全域系統管理員或使用者管理員
- Microsoft 365 和安全性群組擁有者 (預覽)
建立一或多個存取權檢閱
登入 Azure 入口網站,並開啟 Identity Governance 頁面。
選取 [存取權檢閱 > + 新增存取權檢閱] 以建立新存取權檢閱。
在 [選取要檢閲的內容] 區段中,選取 [團隊 + 群組]。
在 [檢閲範圍] 區段中,選取以下兩個選項之一:
具有來賓使用者的所有 Microsoft 365 群組 - 如果您想要在組織中所有 Microsoft Teams 和 Microsoft 365 群組的所有來賓上建立週期性檢閱,請選取此選項。 您可以選擇選取 [選取要排除的群組] 以排除特定群組。
選取團隊 + 群組 - 如果您想要指定一組有限的團隊和/或群組以進行檢閱,請選取此選項。 選取此選項之後,您將在右側看到一份群組清單供您選擇。
在 [範圍] 區段中,您可以選取檢閱的範圍。 您的選項包括
- 僅限來賓使用者 - 選取此選項會限制只有您目錄中的 Azure AD B2B 來賓才能進行存取權檢閱。
- 所有使用者 - 選取此選項會將存取權檢閱的範圍設為與資源相關聯的所有使用者物件。
如果您選取了所有包含來賓的 Microsoft 365 群組,則您唯一的選項是僅檢閱來賓使用者。
選取 [下一步: 檢閱]。
在 [選取檢閱者] 區段中,選取一個或多個人員來執行存取權檢閱。 您可以自下列內容中選擇:
- 群組擁有者 (僅適用于在團隊或群組上執行檢閱時)
- 選取的使用者或群組
- 使用者檢閱其自己的存取權
- 使用者的管理員。 如果您選擇 [使用者的管理員] 或 [群組擁有者],您也可以選擇指定後續檢閱者。 當使用者在目錄中未指定管理員,或群組沒有擁有者時,會要求後續檢閱者執行檢閱。
在 [指定檢閱週期] 區段中,您可以指定頻率,例如 每周、每月、每季、半年、每年。 然後,您可以指定 [持續時間],定義要開啟檢閱,以供檢閱者輸入的時間長度。 例如,您可以為每月檢閱設定的最大持續時間為 27 天,以避免重迭檢閱。 您可能會想要縮短持續時間,以確保您的檢閱者輸入可較早套用。 接下來,您可以選取 [開始日期] 及 [結束日期]。
![[新增存取權檢閱]](../../wwl/monitor-your-microsoft-teams-environment/media/new-access-review.png)
選取該頁面底部的 [下一步: 設定] 按鈕。
在完成時的設定中,您可以指定在檢閱完成之後會發生什麼事。
如果您想要自動移除遭拒絕的使用者的存取權,請 [自動將結果套用至資源] 設為 [啟用]。 如果您想要在檢閱完成時,手動套用結果,請將設定切換為 [停用]。
使用 [如果檢閱者沒有回應] 清單,指定在檢閱期間未由檢閱者檢閱的使用者會發生什麼情況。 此設定不會影響已由檢閱者手動檢閱的使用者。 如果最後一個檢閱者的決定為 [拒絕],則將會移除使用者的存取權。
- 沒有變更 - 保留使用者的存取權不變
- 移除存取權 - 移除使用者的存取權
- 核准存取權 - 核准使用者的存取權
- 接受建議 - 接受系統對於拒絕或核准使用者繼續存取權的建議
使用 [動作] 以套用在遭拒絕的 [來賓] 使用者,以指定來賓遭到拒絕時會發生什麼事。
- [從資源移除使用者的成員資格] 將會移除遭拒絕的使用者存取所檢閱的群組或應用程式,他們仍然可以登錄租使用者。
- 封鎖使用者 30 天不可登錄,然後從租使用者移除使用者將會封鎖遭拒絕的使用者不得登錄租使用者,無論他們是否可存取其他資源。 如果發生錯誤或系統管理員決定重新啟動某人的存取權,他們可以在使用者遭停用後的 30 天內執行此操作。 如果未對已停用的使用者採取動作,將會從租使用者中刪除這些使用者。
您可以傳送通知給其他使用者或群組,以接收檢閱完成更新。 此功能可讓檢閱創作者外的其他專案關係人更新檢閱的進度。 若要使用此功能,請選取 [選取使用者或群組] 並新增您想要接收完成狀態的額外使用者或群組。
在 [啟用檢閱決策協助者],選擇您是否希望您的檢閱者在檢閱流程期間收到建議。
在 [進階] 設定區段,您可以選擇下列項目:
- 設定 [需要理由] 為 [啟用],以要求檢閱者提供核准原因。
- 將 [電子郵件通知] 設定為 [啟用],讓 Azure AD 在存取權檢閱開始時,傳送電子郵件通知給檢閱者,以及當檢閱完成時,傳送電子郵件通知給系統管理員。
- 將 [提醒] 設定為 [啟用],讓 Azure AD 將進行中的存取權檢閱提醒傳送給尚未完成檢閱的檢閱者。 這些提醒將在檢閱期間中間送出。
- 寄給檢閱者的電子郵件內容會依據檢閱詳細資料自動生成,例如檢閱名稱、資源名稱、到期日及其他詳細資料。 如果您需要一種交流其他資訊的方式,例如其他指示或連絡人資訊,您可以在 [檢閱者電子郵件的額外內容] 區段中,指定這些詳細資料。 您輸入的資訊會包含在邀請和提醒電子郵件中,以傳送給指派的檢閱者。 下圖中強調顯示的區段會顯示此資訊的顯示位置。
選取 [下一步: 檢閱 + 建立] 以移至下一頁。
命名存取權檢閱。 提供檢閱描述 (選用)。 名稱及描述會顯示給檢閱者。
請檢閱資訊,然後選取 [建立]。
允許群組擁有者建立及管理存取檢閱 (預覽)
必要條件角色: 全域或使用者管理員
登入 Azure 入口網站,並開啟 Identity Governance 頁面。
在左邊的功能表的 [存取權檢閱] 底下,[設定]。
在 [可建立及管理存取權檢閱的代理人] 頁面上,將 [(預覽) 群組擁有者可以建立及管理其擁有之群組的存取權檢閱] 設定為 [是]。
檢閱群組存取權
指定存取權檢閱的設定之後,請選取 [開始]。 存取權檢閱會在您的清單中搭配其狀態的指示器顯示。
根據預設,Azure AD 在檢閱開始後不久,便會傳送電子郵件給檢閱者。 如果您選擇不讓 Azure AD 傳送電子郵件,請務必通知檢閱者存取權檢閱正在等待他們完成。
您可以直接從通知電子郵件啟動存取權檢閱流程,或直接前往網站https://myapps.microsoft.com。 有兩種方式可核准或拒絕存取權:
您可以針對每個使用者要求選擇適當的動作,以手動方式核准或拒絕一個或多個使用者的存取權。
您可以接受系統建議。
Azure Active Directory 中的稽核記錄
除了存取權檢閱外,系統管理員還可以使用稽核記錄來檢閱系統活動的記錄,以確保合規性,包括:
以使用者為中心的檢視
- 哪些類型的更新已套用至使用者?
- 變更了多少個使用者?
- 變更了多少密碼?
- 系統管理員在目錄中執行了什麼作業?
以群組為中心的檢視
- 新增了哪些群組?
- 是否有成員資格變更的群組?
- 群組的擁有者是否已變更?
- 向群組或使用者指派了哪些授權?
以應用程式為中心的檢視
- 新增或更新了哪些應用程式?
- 已移除哪些應用程式?
- 應用程式的服務主體是否已變更?
- 應用程式的名稱是否已變更?
- 誰同意了應用程式?
可以從 Azure Active Directory 管理中心的 [監視] 區段存取稽核記錄,並使用篩選尋找資訊。
如需詳細資訊,請參閱 Azure Active Directory 中的稽核記錄。