通过

在 Microsoft Entra ID 中创建对组 PIM 的访问评审(预览版)

本文介绍如何为组 PIM 创建一个或多个访问评审,其中将包括组中活动状态的成员以及符合条件的成员。 可以对组的活动成员(在创建评审时处于活动状态)和组中符合条件的成员执行评审。

先决条件

使用此功能需要Microsoft Entra ID Governance 或 Microsoft Entra Suite 许可证。 若要查找符合要求的正确许可证,请参阅 Microsoft Entra ID Governance 许可基础知识

创建组 PIM 访问评审

作用域

  1. 以至少身份治理管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到 ID 治理>访问评审>评审历史

  3. 选择“新建访问评审”来创建新的访问评审。

    显示“标识治理”中的“访问评审”窗格的屏幕截图。

  4. 在“选择要评审的内容”框中,选择“团队 + 组”。

    关于创建访问评审的屏幕截图。

  5. 选择“团队 + 组”,然后选择“评审范围”下的“选择团队 + 组”。 屏幕上会显示可供选择的组列表。

    屏幕截图显示选择 Teams + 群组。

注意

选择组的 PIM 时,正在审查该组的用户包括该组中所有符合条件的用户和活动用户。

  1. 现在,你可以选择要评审的范围。 选项包括:

    • 仅来宾用户:此选项将访问审核限制为目录中的 Microsoft Entra B2B 来宾用户。
    • “每个人”:此选项将访问评审的范围限定为与资源关联的所有用户对象。

  2. 如果要进行组成员资格评审,可以只为组中的非活动用户创建访问评审。 在“用户范围”部分,选中“非活动用户”(租户级别)旁边的框。 如果选中此框,则评审范围仅聚焦于非活动用户,即那些未以交互方式或非交互方式登录到租户的用户。 然后,指定 “非活动天数 ”,天数处于非活动状态,最长为 730 天(两年)。 组中处于非活动状态的指定天数的用户是评审中唯一的用户。

注意

配置非活动时间时,最近创建的用户不会受到影响。 “访问评审”检查是否已在配置的时间范围内创建用户,并忽略至少该时间段内不存在的用户。 例如,如果将非活动时间设置为 90 天,并且来宾用户创建或邀请的时间少于 90 天前,则来宾用户不会在访问评审的范围内。 这可确保用户在被删除之前至少可以登录一次。

  1. 选择“下一步: 评审”。

完成此步骤后,您可以按照《创建组或应用程序访问评审》文章中的“下一步:评审”部分的说明来完成您的访问评审。

注意

对于 Groups 功能中的 PIM 访问评审(预览版),当选择组所有者作为审核者时,必须至少指定一个备用审核者。 评审将仅将活动所有者分配为审阅者。 不包括符合条件的所有者。 如果在评审开始时没有活动所有者,则会将回叫审阅者分配给评审。

后续步骤