计划 Microsoft Entra 访问评审部署

Microsoft Entra 访问评审可帮助你的组织通过管理其资源访问生命周期,使企业更安全。 通过访问评审,你可以:

  • 安排定期评审或执行临时评审,以发现哪些用户有权访问特定资源,如应用程序和组。

  • 跟踪见解、合规性或策略原因的评审。

  • 将评审委托给特定管理员、企业所有者或能够自行证明是否需要继续访问的用户。

  • 使用见解来有效确定用户是否应继续具有访问权限。

  • 自动执行评审结果,如删除用户对资源的访问权限。

    显示访问评审流的关系图。

访问评审是一项 Microsoft Entra ID 治理功能。 其他功能包括权利管理Privileged Identity Management (PIM)、生命周期工作流、预配和使用条款。 它们共同帮助你解决这四个问题:

  • 哪些用户应该有权访问哪些资源?
  • 这些用户使用该访问权限做些什么?
  • 是否存在用于管理访问权限的有效组织控制措施?
  • 审核员是否可以验证控制措施是否正常实施?

规划访问评审部署至关重要,可确保为组织中的用户实现所需的治理策略。

主要优点

启用访问评审的主要优点是:

  • 控制协作:访问评审允许管理对用户所需的全部资源的访问权限。 当用户共享和协作时,你可以确保信息仅在授权用户之间传递。
  • 管理风险:通过访问评审,可以查看对数据和应用程序的访问权限,从而降低数据泄露和数据溢出的风险。 你能够定期查看外部合作伙伴对公司资源的访问。
  • 解决合规性和治理:通过访问评审,你可以治理和再次验证对组、应用和站点的访问生命周期。 你可以控制和跟踪特定于你的组织的合规性或风险敏感的应用程序的评审。
  • 降低成本:访问评审内置于云中,并原生适用于云资源(如组、应用程序和访问包)。 使用访问审查比构建自己的工具或以其他方式升级本地工具集的成本更低。

培训资源

以下视频可帮助你了解访问评审:

许可证

此功能要求提供组织用户的 Microsoft Entra ID 治理或 Microsoft Entra 套件订阅。 此功能中的某些功能可能需要使用 Microsoft Entra ID P2 订阅进行操作。 有关详细信息,请参阅每项功能的相关文章。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。

注意

若要创建对非活动用户的审查并使用用户到组隶属关系建议,需要具有 Microsoft Entra ID 治理许可证。

规划访问评审部署项目

请考虑组织的需求,确定用于在环境中部署访问评审的策略。

让合适的利益干系人参与

如果技术项目失败,它们通常是由于在影响、结果和责任方面不符合预期而导致的。 为避免这些缺陷,请确保你正在吸引正确的利益干系人,并确保项目角色明确。

对于访问评审,你可能会在你的组织内包含以下团队的代表:

  • IT 管理,管理 IT 基础结构,还管理云投资和软件即服务 (SaaS) 应用。 此团队:

    • 审查对基础结构和应用的特权访问,包括 Microsoft 365 和 Microsoft Entra ID。
    • 计划并运行用于维护异常列表或 IT 试验项目的组的访问评审,以维护最新的访问列表。
    • 确保通过服务主体对资源的编程(脚本)访问受到治理和评审。
    • 自动执行用户加入和卸载、访问请求和访问认证等流程。
  • 安全团队确保计划满足组织的安全要求并强制实施零信任。 此团队:

    • 降低风险并增强安全性
    • 强制对资源和应用程序进行最低特权访问
    • 使用工具查看集中的权威源、谁有权访问哪些内容以及访问时间。
  • 开发团队:为组织构建和维护应用程序。 此团队:

    • 控制能够访问和管理构成已开发解决方案的 SaaS、平台即服务 (PaaS) 和基础结构即服务 (IaaS) 资源中的组件的人员。
    • 管理可以访问用于内部应用程序开发的应用程序和工具的组。
    • 需要有权访问为客户托管的生产软件或解决方案的特权标识。
  • 业务单位:管理项目和自己的应用程序。 此团队:

    • 评审并批准或拒绝内外部用户对组和应用程序的访问。
    • 计划并进行评审,以证明对员工和外部标识(如业务合作伙伴)的持续访问。
    • 需要员工有权访问其工作所需的应用。
    • 允许部门管理其用户的访问权限。
  • 企业治理,确保组织遵守内部策略和法规。 此团队:

    • 请求或计划新的访问评审。
    • 评估评审访问权限的过程和程序,其中包括为合规性保留的文档和记录。
    • 查看大多数关键资源过去的评审结果。
    • 验证适当的控制措施是否符合强制性安全和隐私策略。
    • 需要易于审核和报告的可重复访问过程。

注意

对于需要手动评估的评审,请规划足够的评审者和评审周期,以满足策略和合规性需求。 如果评审周期过于频繁,或评审者太少,则质量可能会下降,并且太多或太少人员可能具有访问权限。 建议为参与访问评审的各个利益干系人和部门制定明确的责任。 参加的所有团队和个人都应了解他们各自的角色和义务,以维护最低特权原则。

规划沟通

沟通对于任何新业务流程的成功至关重要。 主动与用户沟通他们的体验将如何以及何时发生变化。 告诉他们在遇到问题时如何获得支持。

交流责任变化情况

访问评审支持将评审和处理持续访问的责任转移给业务所有者。 从 IT 部门分离访问决策,推动更准确的访问决策。 这种转变是资源所有者问责制和责任的文化变化。 主动告知此变化,确保资源所有者经过培训并能够根据见解做出合理的决策。

IT 部门需要始终控制所有与基础结构相关的访问决策和特权角色分配。

自定义电子邮件通信

当你计划评审时,将提名进行此评审的用户。 然后,这些评审者会在分配给他们的评审过期之前,接收到新评审的电子邮件通知和提醒。

可以自定义发送给评审者的电子邮件,使其包含一条短信,鼓励他们进行评审。 使用额外文本执行以下操作:

  • 向评审者提供个人消息,使其了解这是由合规性或 IT 部门发送的。

  • 包括有关评审预期的内部信息的引用,以及额外的参考或培训材料。

    显示评审者电子邮件的屏幕截图。

选择 " 开始审阅" 后,审阅者将定向到 " 我的访问门户 进行组和应用程序访问评审"。 审阅者可在该门户中概要了解有权访问他们正在评审的资源的所有用户,以及基于上次登录和访问信息提供的系统建议。

规划试点

我们鼓励客户在一开始使用小型组试验访问评审,并以非关键资源为目标。 试验可帮助你根据需要调整流程和通信。 它可帮助你提高用户和评审者的能力,满足安全和合规性要求。

在试点中,我们建议:

  • 从未自动应用结果的评审开始,你可以控制其影响。
  • 确保所有用户都具有 Microsoft Entra ID 中列出的有效电子邮件地址。 确认他们收到电子邮件通信以执行相应的操作。
  • 记录在试点过程中删除的任何访问权限,以备快速还原之需。
  • 监视审核日志,确保所有事件都经过适当的审核。

有关详细信息,请参阅试点的最佳做法

访问评审简介

本部分介绍在规划评审之前应该了解的访问评审概念。

可以评审哪些资源类型?

将组织的资源与 Microsoft Entra ID(例如用户、应用程序和组)集成后,即可对其进行管理和评审。

典型的评审目标包括:

谁将创建和管理访问评审?

创建、管理或读取访问评审所需的管理角色取决于正在审查其成员资格的资源类型。 下表指明了每种资源类型所需的角色。

资源类型 创建和管理访问评审(创建者) 读取访问评审结果
组或应用程序 全局管理员

用户管理员

Identity Governance 管理员

特权角色管理员(仅对 Microsoft Entra 角色可分配的组进行评审)

组所有者(如果管理员已启用

全局管理员

全局读取者

用户管理员

Identity Governance 管理员

特权角色管理员

安全读取者

组所有者(如果管理员已启用

Microsoft Entra 角色 全局管理员

特权角色管理员

全局管理员

全局读取者

用户管理员

特权角色管理员

安全读取者

Azure 资源角色 用户访问管理员(适用于资源)

资源所有者

具有 Microsoft.Authorization/* 权限的自定义角色。

用户访问管理员(适用于资源)

资源所有者

读取者(适用于资源)

具有 Microsoft.Authorization/*/read 权限的自定义角色。

访问包 全局管理员

Identity Governance 管理员

目录所有者(适用于访问包)

访问包管理器(适用于访问包)

全局管理员

全局读取者

用户管理员

Identity Governance 管理员

目录所有者(适用于访问包)

访问包管理器(适用于访问包)

安全读取者

有关详细信息,请参阅 Microsoft Entra ID 中的管理员角色权限

谁将评审对资源的访问权限?

访问评审的创建者在创建时决定由谁进行评审。 评审开始之后便无法更改此设置。 评审者代表:

  • 资源所有者,即资源的业务所有者。
  • 由访问评审管理员单独选择的委托人。
  • 自行证明其需要继续访问的用户。
  • 管理人员查看其直接下属对资源的访问权限。

注意

选择“资源所有者”或“经理”时,管理员可以指定回退审阅者,如果主要联系人不可用’,则与他们联系。

创建访问评审时,管理员可以选择一个或多个评审者。 所有评审者都可以通过选择继续访问资源的用户或将其删除来开始和执行评审。

访问评审的组成部分

在实现访问评审之前,请计划与组织相关的评审类型。 要执行此操作,需要对想要评审的内容和根据这些评审采取的措施做出业务决策。

若要创建访问评审策略,必须具有以下信息:

  • 要评审的资源有哪些?

  • 要评审谁的访问权限?

  • 应该多久评审一次?

  • 谁将进行评审?

    • 如何通知他们进行评审?
    • 要强制执行哪些评审时间线?
  • 应根据评审强制执行哪些自动操作?

    • 如果审阅者没有及时响应,会发生什么情况?
  • 将会根据评审情况采取哪些手动操作?

  • 根据采取的措施应发送哪些通信?

示例访问评审计划

组件 “值”
要评审的资源 访问 Microsoft Dynamics。
评审频率 每月。
谁执行评审 Dynamics 业务组计划管理员。
通知 在开始评审时,会将电子邮件发送到别名 Dynamics-Pms。

向评审者提供鼓励的自定义消息,以保护其购买。

时间线 收到通知后 48 小时。
自动操作 通过从安全组 dynamics-access 中删除用户,删除在 90 天内没有交互式登录的任何帐户的访问权限。

如果未在时间线内进行评审,则执行相关操作。

手动操作 如果需要,评审者可以在自动操作之前执行删除审批。

基于访问评审自动执行操作

通过将“自动将结果应用到资源”选项设置为“启用”,可以选择自动删除访问 。

显示规划访问评审的屏幕截图。

评审结束后,系统会自动将评审者未批准的用户从资源中删除,或保留用户的持续访问权限。 选项可能意味着删除其组成员身份或应用程序分配,或者撤消将其提升为特权角色的权限。

采用建议

建议将作为评审者体验的一部分显示给评审者,并指示用户上次登录到租户或上次访问应用程序的时间。 此信息有助于审阅者做出正确的访问决策。 选择“采取建议”将遵循访问评审的建议。 访问评审结束时,系统会自动将这些建议应用到评审者未响应的用户。

建议基于访问评审中的条件。 例如,如果将评审配置为在 90 天内未使用交互式登录时删除访问权限,则建议删除符合该条件的所有用户。 Microsoft 始终致力于改进建议。

评审来宾用户访问权限

使用访问评审可评审和清理来自外部组织的协作伙伴的标识。 每个合作伙伴评审的配置可能满足合规性要求。

可以向外部标识授予对公司资源的访问权限。 可以是:

  • 添加到组。
  • 邀请加入 Teams。
  • 分配到企业应用程序或访问包。
  • 在 Microsoft Entra ID 或 Azure 订阅中分配一个特权角色。

有关详细信息,请参阅示例脚本。 此脚本显示了在何处使用受邀加入租户的外部标识。 可以在 Microsoft Entra ID 中查看外部用户的组成员身份、角色分配和应用程序分配。 此脚本不会显示 Microsoft Entra ID 之外的任何分配,例如无需使用组即可针对 SharePoint 资源完成的直接权限分配。

当你为组或应用程序创建访问评审时,可以选择让评审者关注所有用户或者仅来宾用户。 如果选择“仅来宾用户”,则会向评审者提供一个集中的外部标识列表,其中包含对资源具有访问权限的 Microsoft Entra 企业对企业 (B2B) 标识。

显示评审来宾用户的屏幕截图。

重要

此列表不包括 userType 为 member 的外部成员 。 此列表也不包括在 Microsoft Entra B2B 协作之外受邀的用户。 例如,通过 SharePoint 直接访问共享内容的用户。

为访问包规划访问评审

访问包可以极大地简化治理和访问评审策略。 访问包是包含用户在处理项目或执行其任务时所需的访问权限的所有资源的捆绑包。 例如,你可能想要创建一个访问包,其中包含组织中的开发人员所需的所有应用程序,或外部用户应该有权访问的所有应用程序。 管理员或受委托的访问包管理员对资源(组或应用)以及用户需要用于这些资源的角色进行分组。

创建访问包时,可以创建一个或多个访问包策略,用于设置用户可请求访问包的条件、审批流程,以及用户需要重新请求访问或审查其访问权限的频率。 在创建或编辑这些访问包策略时,将配置访问评审。

选择“生命周期”选项卡并向下滚动到“访问评审”。

显示生命周期选项卡的屏幕截图。

为组规划访问评审

除访问包外,评审组成员身份是管理访问权限的最有效方法。 通过安全组或 Microsoft 365 组分配对资源的访问权限。 向这些组添加用户以获得访问权限。

可以为单个组授予对所有相应资源的访问权限。 可以将组访问权限分配给单个资源,或分配给对应用程序和其他资源进行分组的访问包。 使用此方法,你可以评审对组的访问权限,而不是单个用户对每个应用程序的访问权限。

可由以下人员评审组成员身份:

  • 管理员。
  • 组所有者。
  • 创建评审时,被委派了评审权限的选定用户。
  • 证明自己身份的组的成员。
  • 评审其直接下属访问权限的管理员。

组所有权

组所有者评审成员身份,因为他们最有资格了解谁需要访问权限。 组的所有权因组的类型而异:

  • 在 Microsoft 365 和 Microsoft Entra ID 中创建的组有一个或多个已明确定义的所有者。 大多数情况下,这些所有者是他们自己的组的理想的审阅者,因为他们知道谁应该有访问权限。

    例如,Microsoft Teams 使用 Microsoft 365 组作为基础授权模型,为用户授予对 SharePoint、Exchange、OneNote 或其他 Microsoft 365 服务中的资源的访问权限。 团队的创建者自动成为所有者,并应负责证明该组的成员身份。

  • 在 Microsoft Entra 管理中心内手动创建的组或通过使用 Microsoft Graph 来编写脚本创建的组可能不一定定义了所有者。 可以通过 Microsoft Entra 管理中心在组的“所有者”部分定义它们,也可以通过 Microsoft Graph 来这样做。

  • 从本地 Active Directory 同步的组在 Microsoft Entra ID 中不能有所有者。 为他们创建访问评审时,请选择最适合决定其成员身份的个人。

注意

定义用于定义如何创建组以确保组成员身份和定期评审成员责任明确的业务策略。

评审条件访问策略中排除组的成员身份

若要了解如何评审排除组的成员资格,请参阅使用 Microsoft Entra 访问评审来管理条件访问策略排除的用户

评审来宾用户的组成员身份

若要了解如何评审来宾用户对组成员身份的访问权限,请参阅使用 Microsoft Entra 访问评审管理来宾访问权限

评审对本地组的访问权限

访问评审无法更改通过 Microsoft Entra Connect 从本地 AD 同步的组成员资格。 此限制是因为源自 AD 的组的授权来源是本地 AD。 要控制对 AD 基于组的应用的访问,请使用 Microsoft Entra 云同步组写回

在使用组写回迁移到 Microsoft Entra 组之前,你仍然可以使用访问评审来计划和维护现有本地组的定期评审。 在这种情况下,管理员将在每次评审完成后在本地组中执行操作。 此策略始终将访问评审作为所有评审的工具。

可以使用对本地组的访问评审结果,并通过以下方式进一步处理它们:

例如,要检索 Windows Server AD 托管组的结果,请使用此 PowerShell 示例脚本。 此脚本概述了所需的 Microsoft Graph 调用,并导出了 Windows Server AD PowerShell 命令以执行更改。

为应用程序规划访问评审

查看分配给应用程序的每个人时,你将查看可以使用 Microsoft Entra 标识向该应用程序进行身份验证的用户,包括员工和外部标识。 如果需要知道谁有权访问特定的应用程序,而不是访问包或组,请选择评审应用程序。

在以下情况下,计划对应用程序进行评审:

  • 向用户授予对应用程序的直接访问权限(在组或访问包之外)。
  • 应用程序公开了关键或敏感信息。
  • 应用程序具有特定的合规性要求,对于是否符合该要求,你必须进行证明。
  • 你怀疑存在访问权限不当的问题。

在为应用程序创建访问评审之前,应用程序需要与 Microsoft Entra ID 集成为租户中的应用程序,并将用户分配给应用角色,以及将应用程序上的“需要用户分配?”选项设置为“”。 如果设置为“否”,则目录中的所有用户(包括外部标识)都可以访问应用程序,并且无法评审对应用程序的访问。

显示计划应用分配的屏幕截图。

然后分配要查看其访问权限的用户和组

详细了解有关如何准备对用户对应用程序的访问权限进行访问评审

应用程序的审阅者

访问评审的对象可以是组成员,或者是已分配到应用程序的用户。 Microsoft Entra ID 中的应用程序不一定具有所有者,这就是无法选择应用程序所有者作为审阅者的原因。 可进一步限定评审范围,来仅评审分配到应用程序的来宾用户,而不是评审所有访问权限。

计划 Microsoft Entra ID 和 Azure 资源角色评审

Privileged Identity Management 简化了企业对 Microsoft Entra ID 中的资源的特权访问管理。 使用 PIM 可以使 Microsoft Entra IDAzure 资源中的特权角色列表更小。 它还增加了目录的总体安全性。

审阅者可通过访问评审来证明用户是否仍需要具备某一角色。 与访问包的访问评审一样,对 Microsoft Entra 角色和 Azure 资源的评审都已集成到 PIM 管理员用户体验中。

定期评审以下角色分配:

  • 全局管理员
  • 用户管理员
  • 特权身份验证管理员
  • 条件访问管理员
  • 安全管理员
  • 所有 Microsoft 365 和 Dynamics 服务管理角色

评审的角色包括永久和合格分配。

在“审阅者”部分选择一人或多人来评审所有用户。 或者,你可以选择“经理”,让经理评审他们管理的人员的访问权限,也可以选择“成员(自我)”,让成员评审自己的访问权限。

显示正在选择评审者的屏幕截图。

部署访问评审

准备好策略和计划来评审与 Microsoft Entra ID 集成的资源的访问权限后,可以使用以下资源部署和管理评审。

评审访问包

为了降低访问权限过时的风险,管理员可以为那些针对访问包进行了有效分配的用户启用定期评审。 按照表中列出的文章中的说明进行操作。

操作方法文章 描述
创建访问评审 启用访问包的评审。
执行访问评审 对分配到访问包的其他用户执行访问评审。
自我评审分配的访问包 对分配的访问包进行自我评审。

注意

那些自我评审并表示不再需要访问权限的用户不会立即从访问包中删除。 评审结束或管理员停止评审时,它们将从访问包中删除。

评审组和应用

员工和来宾对组和应用程序的访问需求可能会随时间而变化。 为了降低与过期访问权限分配相关的风险,管理员可以针对组成员或应用程序访问权限创建访问评审。 按照表中列出的文章中的说明进行操作。

操作方法文章 描述
创建访问评审 针对组成员或应用程序访问权限创建一个或多个访问评审。
执行访问评审 针对有权访问应用程序的组成员或用户执行访问评审。
自我评审你的访问权限 允许成员评审自己对组或应用程序的访问权限。
完成访问评审 查看访问评审并应用结果。
对本地组执行操作 使用示例 PowerShell 脚本处理本地组的访问评审。

评审 Microsoft Entra 角色

若要降低与过时角色分配相关的风险,请定期评审 Microsoft Entra 特权角色的访问权限。

此屏幕截图显示了 Microsoft Entra 角色的“审阅成员身份”列表。

按照表中列出的文章中的说明进行操作。

操作方法文章 描述
创建访问评审 在 PIM 中创建特权 Microsoft Entra 角色的访问评审。
自我评审你的访问权限 如果你被分配到管理角色,请批准或拒绝对你角色的访问。
完成访问评审 查看访问评审并应用结果。

评审 Azure 资源角色

若要降低与过时角色分配相关的风险,请定期评审 Azure 特权资源角色的访问权限。

此屏幕截图显示了如何评审 Microsoft Entra 角色。

按照表中列出的文章中的说明进行操作。

操作方法文章 描述
创建访问评审 在 PIM 中为特权 Azure 资源角色创建访问评审。
自我评审你的访问权限 如果你被分配到管理角色,请批准或拒绝对你角色的访问。
完成访问评审 查看访问评审并应用结果。

使用访问评审 API

若要与可评审资源进交互并管理它们,请参阅 Microsoft Graph API 方法以及角色和应用程序权限授权检查。 Microsoft Graph API 中的访问评审方法既可用于应用程序上下文,也可用于用户上下文。 在应用程序上下文中运行脚本时,用于运行 API 的帐户(服务主体)必须被授予 AccessReview.Read.All 权限以查询访问评审信息。

使用 Microsoft Graph API 进行自动访问评审的常用访问评审任务包括:

  • 创建并启动访问评审。
  • 在计划结束之前手动结束访问评审。
  • 列出所有正在运行的访问评审及其状态。
  • 查看评审系列的历史记录,以及在每项评审中执行的决策和操作。
  • 从访问评审中收集决策。
  • 从已完成的评审(其中评审者做出的决策与系统建议的决策不同)中收集决策。

为自动化创建新的 Microsoft Graph API 查询时,请使用 Graph Explorer 构建和探索 Microsoft Graph 查询,然后再将这些查询放入脚本和代码中。 此步骤可帮助你快速迭代查询,以便准确获取要查找的结果,而无需更改脚本的代码。

监视访问评审

访问评审活动会记录下来,并在 Microsoft Entra 审核日志中提供。 可以按类别、活动类型和日期范围筛选审核数据。 下面是一个示例查询。

类别 策略
活动类型 创建访问评审
更新访问评审
访问评审结束
删除访问评审
批准决策
拒绝决策
重置决策
应用决策
日期范围 七天

要对访问评审进行更高级的查询和分析,并跟踪评审的更改和完成情况,请将 Microsoft Entra 审核日志导出到 Azure Log Analytics 或 Azure 事件中心。 审核日志存储在 Azure Log Analytics 中时,可以使用功能强大的分析语言并构建你自己的仪表板。

后续步骤

了解以下相关技术: