Sdílet prostřednictvím

Monitorování a vyčištění zastaralých účtů hostů pomocí kontrol přístupu

  • Článek

Když uživatelé spolupracují s externími partnery, je možné, že se v tenantech Microsoft Entra v průběhu času vytvoří mnoho účtů hostů. Když spolupráce skončí a uživatelé už nebudou mít přístup k vašemu tenantovi, můžou se účty hostů stát zastaralou. Správci můžou monitorovat účty hostů ve velkém měřítku pomocí neaktivních přehledů hostů. Správci můžou také pomocí kontrol přístupu automaticky zkontrolovat neaktivní uživatele typu host, zablokovat jim přihlášení a odstranit je z adresáře.

Přečtěte si další informace o správě neaktivních uživatelských účtů v Microsoft Entra ID.

Existuje několik doporučených vzorů, které jsou efektivní při monitorování a čištění zastaralých účtů hostů:

  1. Monitorujte účty hostů ve velkém měřítku pomocí inteligentních přehledů o neaktivních hostech ve vaší organizaci pomocí neaktivní sestavy hostů. Přizpůsobit prahovou hodnotu nečinnosti v závislosti na potřebách vaší organizace, zúžit rozsah uživatelů typu host, které chcete monitorovat, a identifikovat uživatele typu host, kteří můžou být neaktivní.

  2. Vytvořte vícefázovou kontrolu, kde hosté sami otestují, jestli stále potřebují přístup. Kontrolor druhé fáze vyhodnotí výsledky a provede konečné rozhodnutí. Hosté s odepřeným přístupem jsou zakázáni a později odstraněni.

  3. Vytvořte recenzi pro odebrání neaktivních externích hostů. Správci definují neaktivní jako období dnů. Zakáže a později odstraní hosty, kteří se v daném časovém rámci nepřihlásí k tenantovi. Ve výchozím nastavení to nemá vliv na nedávno vytvořené uživatele. Přečtěte si další informace o tom, jak identifikovat neaktivní účty.

Pomocí následujících pokynů se dozvíte, jak vylepšit monitorování neaktivních účtů hostů ve velkém měřítku a vytvořit kontroly přístupu, které se řídí těmito vzory. Zvažte doporučení konfigurace a proveďte potřebné změny, které vyhovují vašemu prostředí.

Požadavky na licenci

Použití této funkce vyžaduje zásady správného řízení Microsoft Entra ID nebo licence sady Microsoft Entra Suite. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu Základy licencování zásad správného řízení microsoftu Entra ID.

Monitorování účtů hostů ve velkém měřítku pomocí neaktivních přehledů hostů

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Přejděte na řídicí panel zásad správného řízení>identit.

  3. Přejděte do sestavy neaktivního účtu hosta tak, že přejdete na kartu zásad správného řízení přístupu hosta a pak vyberete Zobrazit neaktivní hosty.

  4. Zobrazí se neaktivní sestava hosta, která bude poskytovat přehled o neaktivních uživatelích typu host na základě 90 dnů nečinnosti. Prahová hodnota je ve výchozím nastavení nastavená na 90 dnů, ale dá se nakonfigurovat pomocí prahové hodnoty upravit nečinnosti na základě potřeb vaší organizace.

  5. V rámci této sestavy jsou k dispozici následující přehledy:

    • Přehled účtu hosta (celkový počet hostů a neaktivních hostů s další kategorizací hostů, kteří se aspoň jednou nepřihlásili nebo se přihlásili)
    • Distribuce nečinnosti hosta (procento distribuce uživatelů typu host na základě dnů od posledního přihlášení)
    • Přehled nečinnosti hosta (pokyny pro nečinnost hosta ke konfiguraci prahové hodnoty nečinnosti)
    • Souhrn účtů hostů (exportovatelné tabulkové zobrazení s podrobnostmi o všech účtech hostů s přehledy o stavu jejich aktivity. Stav aktivity může být aktivní nebo neaktivní na základě nakonfigurované prahové hodnoty nečinnosti.

  6. Neaktivní dny se počítají na základě data posledního přihlášení, pokud se uživatel přihlásil alespoň jednou. Pro uživatele, kteří se nikdy nepřihlásili, se neaktivní dny počítají na základě data vytvoření.

Poznámka:

Sestavu s přehledy hostů si můžete stáhnout pomocí možnosti Stáhnout všechna data. Stažení každé akce může nějakou dobu trvat v závislosti na počtu uživatelů typu host a umožňuje stahování až pro 1 milion uživatelů typu host.

Vytvoření vícefázové kontroly pro hosty, aby si mohli sami otestovat trvalý přístup

  1. Vytvořte dynamickou skupinu pro uživatele typu host, které chcete zkontrolovat. Příklad:

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Pokud chcete vytvořit kontrolu přístupu pro dynamickou skupinu, přejděte na > přístupu k identitě v Microsoft Entra ID>.

  3. Vyberte Možnost Nová kontrola přístupu.

  4. Nakonfigurujte typ kontroly.

    Vlastnost Hodnota
    Vyberte, co chcete zkontrolovat. Teams + Skupiny
    Kontrola rozsahu Vyberte Teams a skupiny.
    Seskupit Výběr dynamické skupiny
    Obor Pouze uživatelé typu host
    (Volitelné) Hodnocení neaktivních hostů Zaškrtněte políčko pouze pro neaktivní uživatele (na úrovni tenanta).
    Zadejte počet dnů, které představují nečinnost.

    Snímek obrazovky s dialogovým oknem typu kontroly pro vícefázovou kontrolu pro hosty, kteří chtějí sami otestovat trvalý přístup

  5. Vyberte Další: Recenze.

  6. Konfigurovat recenze:

    Vlastnost Hodnota
    První fáze revize
    Vícefázová kontrola Zaškrtávací políčko
    Výběr revidujících Uživatelé kontrolují svůj vlastní přístup
    Doba trvání fáze (ve dnech) Zadejte počet dnů.
    Druhá fáze hodnocení
    Výběr revidujících Vlastníci skupin nebo vybraní uživatelé nebo skupiny
    Doba trvání fáze (ve dnech) Zadejte počet dní.
    (Volitelné) Zadejte záložní revidujícím.
    Zadání opakování recenze
    Kontrola opakování V rozevíracím seznamu vyberte svoji předvolbu.
    Počáteční datum Vyberte datum
    End Vyberte svoji předvolbu.
    Určení kontrol, které se mají přejít do další fáze
    Revize, které se budou chystají do další fáze Vyberte revize. Vyberte například uživatele, kteří jsou sami schváleni nebo odpověděli , že je neznáte.

    Snímek obrazovky znázorňující první fázi kontroly vícefázové kontroly pro hosty, kteří si chtějí sami otestovat trvalý přístup

  7. Vyberte Další: Nastavení.

  8. Konfigurovat nastavení:

    Vlastnost Hodnota
    Po dokončení nastavení
    Automatické použití výsledků na prostředek Zaškrtávací políčko
    Pokud revidujícím neodpoví Odebrání přístupu
    Akce, která se má použít u odepřených uživatelů typu host Blokování přihlášení uživatele po dobu 30 dnů a odebrání uživatele z tenanta
    (Volitelné) Na konci kontroly odešlete oznámení na adresu Zadejte další uživatele nebo skupiny, které mají být upozorněny.
    Povolení pomocných rutin pro rozhodování revidujícího
    Další obsah pro e-mail revidujících Přidání vlastní zprávy pro revidujícím
    Všechna ostatní pole U zbývajících možností ponechte výchozí hodnoty.

    Snímek obrazovky s dialogovým oknem nastavení pro vícefázovou kontrolu hostů, aby mohli pokračovat v přístupu k vlastnímu otestování

  9. Vybrat Další: Zkontrolovat a vytvořit

  10. Zadejte název kontroly accessu. (Volitelné) zadejte popis.

  11. Vyberte Vytvořit.

Vytvoření recenze pro odebrání neaktivních externích hostů

  1. Vytvořte dynamickou skupinu pro uživatele typu host, které chcete zkontrolovat. Příklad:

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Pokud chcete vytvořit kontrolu přístupu pro dynamickou skupinu, přejděte na > přístupu k identitě Microsoft Entra ID > Identity Governance.

  3. Vyberte Možnost Nová kontrola přístupu.

  4. Konfigurovat typ kontroly:

    Vlastnost Hodnota
    Vyberte, co chcete zkontrolovat. Teams + Skupiny
    Kontrola rozsahu Vyberte Teams a skupiny.
    Seskupit Výběr dynamické skupiny
    Obor Pouze uživatelé typu host
    Pouze neaktivní uživatelé (na úrovni tenanta) Zaškrtávací políčko
    Neaktivní dny Zadejte počet dnů, které představují nečinnost.

    Poznámka:

    Doba nečinnosti, kterou nakonfigurujete, nebude mít vliv na nedávno vytvořené uživatele. Kontrola přístupu zkontroluje, jestli byl uživatel vytvořen v časovém rámci, který nakonfigurujete, a ignoruje uživatele, kteří alespoň tuto dobu neexistovali. Pokud například nastavíte dobu nečinnosti na 90 dní a uživatel typu host byl vytvořen nebo pozván před méně než 90 dny, nebude uživatel typu host v oboru kontroly přístupu. Tím zajistíte, aby se hosté mohli před odebráním přihlásit jednou.

    Snímek obrazovky s dialogovým oknem typ kontroly pro odebrání neaktivních externích hostů

  5. Vyberte Další: Recenze.

  6. Konfigurovat recenze:

    Vlastnost Hodnota
    Určení revidujících
    Výběr revidujících Vyberte vlastníky skupin nebo uživatele nebo skupinu.
    (Volitelné) Pokud chcete povolit, aby proces zůstal automatizovaný, vyberte kontrolora, který nebude provádět žádnou akci.
    Zadání opakování recenze
    Doba trvání (ve dnech) Zadejte nebo vyberte hodnotu na základě vašich preferencí.
    Kontrola opakování V rozevíracím seznamu vyberte svoji předvolbu.
    Počáteční datum Vyberte datum
    End Vyberte jednu možnost

  7. Vyberte Další: Nastavení.

    Snímek obrazovky s dialogem Recenze pro odebrání neaktivních externích hostů

  8. Konfigurovat nastavení:

    Vlastnost Hodnota
    Po dokončení nastavení
    Automatické použití výsledků na prostředek Zaškrtávací políčko
    Pokud recenze nereagují Odebrání přístupu
    Akce, která se má použít u odepřených uživatelů typu host Blokování přihlášení uživatele po dobu 30 dnů a odebrání uživatele z tenanta
    Povolení pomocných rutin pro rozhodování revidujícího
    Žádné přihlášení do 30 dnů Zaškrtávací políčko
    Všechna ostatní pole Zaškrtněte nebo zrušte zaškrtnutí políček podle vašich preferencí.

    Snímek obrazovky s dialogovým oknem Nastavení pro odebrání neaktivních externích hostů

  9. Vyberte Další: Zkontrolovat + vytvořit.

  10. Zadejte název kontroly accessu. (Volitelné) zadejte popis.

  11. Vyberte Vytvořit.

Uživatelé typu host, kteří se nepřihlašují k tenantovi po dobu 30 dnů, které jste nakonfigurovali, jsou zakázané a pak se odstraní. Po odstranění můžete hosty obnovit až po dobu 30 dnů, po které je potřeba nová pozvánka.

Poznámka:

Pokud se rozhodnutí kontroly přístupu ještě nepoužijí, můžete k zastavení aktivního použití rozhodnutí použít rozhraní API accessReviewInstance: stopApplyDecisions .