如何为群组所有者创建和管理访问审核

Microsoft Entra 中的访问审核提供了一种持续审核对租户中资源的访问权限的方法。更重要的是，作为租户的所有者，您可以让资源所有者（组或团队）自行管理外部用户对所述资源的访问，从而减少您的工作量并转移责任。

许多组织依靠 Microsoft 365 中提供的协作功能（例如 Microsoft Teams）与外部组织合作处理项目。实现此目的的一种便捷方法是邀请外部用户作为您组织的访客，这会带来治理挑战，而 Access 审查将解决这些挑战。

使群组所有者能够管理访问审核

默认情况下禁用群组所有者的访问审核。要启用此功能，请以全局管理员身份登录到 Microsoft Entra 租户，并按照以下步骤操作：

1. 展开身份治理并选择访问评论。

2. 选择设置，然后启用群组所有者可以为其拥有的群组创建和管理访问审核。

使用 Microsoft Graph PowerShell 启用组所有者访问审核

您还可以使用 Microsoft Graph PowerShell 启用此功能。

（有关安装 Microsoft Graph PowerShell SDK 的步骤，请查看我的帖子。）

Connect-MgGraph -scopes Policy.ReadWrite.AccessReview

$params = @{
	isGroupOwnerManagementEnabled = $true
}

Update-MgBetaPolicyAccessReviewPolicy -BodyParameter $params

以群组所有者身份创建新的访问审核

任何群组所有者的用户现在都可以通过 Microsoft Entra 管理中心为其拥有的群组创建访问审核。请按照以下步骤创建新的访问审核。

1. 登录到标准用户帐户（无任何角色）后，打开“身份管理访问审核”边栏选项卡。

2. 单击新访问审核。

3. 在审核类型页面上，您只能选择将审核范围设置为选择团队+群组。点击选择群组，您将仅看到您拥有的群组，选择您的目标群组并点击选择。

4. 在我们的场景中，我将创建一个单阶段审核供群组所有者进行。在评论页面上，您可以选择特定的评论者。

我建议您选择群组所有者作为审核者。然后创建一个由指定用户组成的后备审核者组。如果群组所有者不再存在（例如，他们离开组织），后备审核者将收到审核提醒，并可以继续维护对该群组的治理。

您还应该选择审核的持续时间、重复周期和结束日期，以下是我的建议：

• 持续时间：2天
• 审核周期：每月
• 结束日期：从不

在管理来宾用户时，他们对您数据的访问绝对不应该受到监管或审查。当然，您可以根据自己的喜好更改这些设置，但在审核来宾用户时，请确保将结束日期设置为从不。

5. 完成后设置允许您定义有关自动修复的重要设置。

• 自动将结果应用到资源：如果用户的访问被拒绝，审核完成后将自动删除其对资源的访问权限，否则需要手动修复。

• 如果审阅者没有回复：我已选择无更改，但是，为了实现最佳治理，我建议选择删除访问权限。所有选项包括：

  • 不用找了
• 删除访问权限
• 批准访问
• 接受推荐

6. 对于设置页面上的其余选项，虽然它们不会影响结果，但它们使您能够查看通知和审核提醒，并提供有用的信息，例如访客用户的上次登录日期。这将帮助您决定是否删除访问权限。

7. 单击审核 + 创建，然后定义审核名称并单击创建。

完成访问审核

当访问审核开始时（由审核设置中的开始日期定义），该组的审核者将收到一封通知电子邮件，其中包含开始审核的链接。

该链接会将他们带到 https://myaccess.microsoft.com/ 内的“访问评论”边栏选项卡。您还可以直接导航到该链接，然后选择您要开始的访问审核的名称。

正如您所看到的，Entra 建议，由于用户在租户中处于非活动状态的时间超过 30 天，因此应拒绝其访问资源。

一旦访问被拒绝，它将在列表中显示为被拒绝。如果做出错误决定，可以撤销此操作。

在访问审核中拒绝访问的影响

审核者执行审核并拒绝访客访问资源后，审核完成后，访客访问权限将从资源中删除。

这仅在持续时间结束后发生，而不是立即发生。例如，如果审核持续时间为 2 天，并且您在第一天拒绝访问，则访客在另一天仍具有访问权限，然后他们的访问权限将被删除。

包起来

访问审核是一个强大的工具，可确保租户中的来宾用户保留对资源的访问权限的时间不会超过他们所需的时间。在这篇文章中，我演示了如何将创建访问审核的权限委派给群组所有者，从而委派给租户中的协作资源。

这可以确保来宾用户在较大的组织中受到管理，而单个团队不可能管理他们并承担对他们的责任。