Überwachen und Bereinigen veralteter Gastkonten mithilfe von Zugriffsüberprüfungen
Wenn Benutzer*innen mit externen Partnern zusammenarbeiten, ist es möglich, dass im Lauf der Zeit zahlreiche Gastkonten in Microsoft Entra-Mandanten erstellt werden. Wenn die Zusammenarbeit endet und die Benutzer nicht mehr auf Ihren Mandanten zugreifen, veralten die Gastkonten möglicherweise. Administratoren können Gastkonten mithilfe von Erkenntnissen zu inaktiven Gästen im großen Stil überwachen. Administratoren können auch mithilfe von Zugriffsüberprüfungen inaktive Gastbenutzer automatisch überprüfen, ihre Anmeldung blockieren und sie aus dem Verzeichnis löschen.
Erfahren Sie mehr darüber, wie Sie inaktive Benutzerkonten in Microsoft Entra ID verwalten.
Es gibt einige empfohlene Muster, die bei der Überwachung und Bereinigung von veralteten Gastkonten wirksam sind:
Überwachen Sie Gastkonten im großen Stil mit intelligenten Einblicken in inaktive Gäste in Ihrer Organisation mithilfe des Berichts zu inaktiven Gästen. Passen Sie den Inaktivitätsschwellenwert je nach den Anforderungen Ihrer Organisation an, schränken Sie den Bereich der Gastbenutzer ein, die Sie überwachen möchten, und identifizieren Sie die Gastbenutzer, die möglicherweise inaktiv sind.
Erstellen Sie eine Überprüfung in mehreren Phasen, bei der Gäste selbst nachweisen, dass sie weiterhin Zugriff benötigen. Ein Prüfer der zweiten Phase bewertet Ergebnisse und trifft eine endgültige Entscheidung. Gäste mit verweigertem Zugriff werden deaktiviert und später gelöscht.
Erstellen Sie eine Überprüfung, um inaktive externe Gäste zu entfernen. Administratoren definieren Inaktivität als einen Zeitraum von Tagen. Sie deaktivieren und löschen später Gäste, die sich innerhalb dieses Zeitrahmens nicht bei dem Mandanten anmelden. Standardmäßig wirkt sich dies nicht auf kürzlich erstellte Benutzer aus. Erfahren Sie mehr darüber, wie Sie inaktive Konten ermitteln.
Erfahren Sie anhand der folgenden Anleitungen, wie Sie die Überwachung von inaktiven Gastkonten im großen Stil verbessern und Zugriffsüberprüfungen erstellen können, die diesen Mustern folgen. Berücksichtigen Sie die Konfigurationsempfehlungen, und nehmen Sie dann die erforderlichen Änderungen für Ihre Umgebung vor.
Lizenzanforderungen
Für die Verwendung dieses Features sind Microsoft Entra ID Governance- oder Microsoft Entra Suite-Lizenzen erforderlich. Die richtige Lizenz für Ihre Anforderungen finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.
Überwachen von Gastkonten im großen Stil mit Erkenntnissen zu inaktiven Gästen
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu Identity Governance>Dashboard.
Greifen Sie auf den Bericht zu inaktiven Gästen zu, indem Sie zur Karte Gastzugriff-Governance navigieren und Inaktive Gäste anzeigen auswählen.
Sie sehen den Bericht zu inaktiven Gästen, der basierend auf 90 Tagen Inaktivität Erkenntnisse zu inaktiven Gastbenutzern liefert. Der Schwellenwert ist standardmäßig auf 90 Tage festgelegt, kann aber basierend auf den Anforderungen Ihrer Organisation mithilfe von „Inaktivitätsschwellenwert bearbeiten“ konfiguriert werden.
Im Rahmen dieses Berichts werden die folgenden Erkenntnisse bereitgestellt:
- Übersicht über das Gastkonto (Gesamtanzahl von Gästen und inaktiven Gästen mit weiterer Kategorisierung von Gästen, die sich noch nie angemeldet oder mindestens einmal angemeldet haben)
- Verteilung der Gastinaktivität (prozentuale Verteilung der Gastbenutzer basierend auf Tagen seit der letzten Anmeldung)
- Übersicht über Gastinaktivität (Leitfaden zur Gastinaktivität zum Konfigurieren des Inaktivitätsschwellenwerts)
- Zusammenfassung von Gastkonten (Eine exportierbare tabellarische Ansicht mit Details aller Gastkonten mit Einblicken in ihren Aktivitätsstatus. Der Aktivitätsstatus kann basierend auf dem konfigurierten Inaktivitätsschwellenwert „aktiv“ oder „inaktiv“ sein)
Die inaktiven Tage werden basierend auf dem Datum der letzten Anmeldung berechnet, wenn der Benutzer sich mindestens einmal angemeldet hat. Bei Benutzern, die sich noch nie angemeldet haben, werden die inaktiven Tage basierend auf dem Erstellungsdatum berechnet.
Hinweis
Der Bericht mit Erkenntnissen zu Gästen kann mit „Alle Daten herunterladen“ heruntergeladen werden. Jede Downloadaktion kann je nach Anzahl der Gastbenutzer einige Zeit in Anspruch nehmen und ermöglicht den Download für bis zu 1 Millionen Gastbenutzer.
Erstellen einer Überprüfung in mehreren Phasen, damit Gäste nachweisen können, dass sie weiterhin Zugriff benötigen
Erstellen Sie eine dynamische Gruppe für die Gastbenutzer, die Sie überprüfen möchten. Ein auf ein Objekt angewendeter
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)
Zum Erstellen einer Zugriffsüberprüfung für die dynamische Gruppe navigieren Sie zu Microsoft Entra ID > Identity Governance > Zugriffsüberprüfungen.
Wählen Sie Neue Zugriffsüberprüfung aus.
Konfigurieren Sie den Überprüfungstyp.
Eigenschaft Wert Wählen Sie aus, was zu überprüfen ist. Teams und Gruppen Überprüfungsbereich Teams und Gruppen auswählen Group Auswählen der dynamischen Gruppe Bereich Nur Gastbenutzer (Optional) Überprüfen inaktiver Gäste Aktivieren Sie das Kontrollkästchen Nur inaktive Benutzer (auf Mandantenebene).
Geben Sie die Anzahl der Tage ein, die Inaktivität darstellen.Wählen Sie Weiter: Überprüfungen aus.
Konfigurieren von Überprüfungen:
Eigenschaft Wert Erste Überprüfungsphase Mehrstufige Überprüfung Aktivieren Sie das Kontrollkästchen. Prüfer auswählen Benutzer überprüfen ihren eigenen Zugriff Dauer der Phase (in Tagen) Geben Sie die Anzahl der Tage ein. Zweite Überprüfungsphase Prüfer auswählen Gruppenbesitzer oder Ausgewählte Benutzer oder Gruppen Dauer der Phase (in Tagen) Geben Sie die Anzahl der Tage ein.
(Optional) Geben Sie einen alternativen Prüfer an.Wiederholung der Überprüfung angeben Wiederholung der Überprüfung Wählen Sie im Dropdownmenü die gewünschte Einstellung aus. Startdatum Auswählen eines Datums Ende Einstellung auswählen Geben Sie zu Überprüfende an, die zur nächsten Phase wechseln sollen. Zu Überprüfende, die zur nächsten Phase wechseln Wählen Sie zu Überprüfende aus. Wählen Sie beispielsweise Benutzer aus, die sich selbst genehmigt oder mit Ich weiß es nicht reagiert haben. Wählen Sie Weiter: Einstellungen aus.
Konfigurieren Sie Einstellungen:
Eigenschaft Wert Einstellungen nach Abschluss Ergebnisse automatisch auf Ressource anwenden Aktivieren Sie das Kontrollkästchen. Wenn Prüfer nicht reagieren Zugriff entfernen Auf abgelehnte Gastbenutzer anzuwendende Aktion Anmeldung des Benutzers für 30 Tage blockieren und den Benutzer anschließend vom Mandanten entfernen (Optional) Bei Abschluss der Überprüfung Benachrichtigung senden an Geben Sie andere Benutzer oder Gruppen an, die benachrichtigt werden sollen. Entscheidungshilfen für Prüfer aktivieren Zusätzlicher Inhalt für E-Mail an Prüfer Hinzufügen einer benutzerdefinierten Nachricht für Prüfer Alle anderen Felder Behalten Sie für die übrigen Optionen die Standardwerte bei. Klicken Sie auf Weiter: Überprüfen und erstellen.
Geben Sie einen Namen für die Zugriffsüberprüfung ein. (Optional) Geben Sie eine Beschreibung an.
Klicken Sie auf Erstellen.
Erstellen Sie eine Überprüfung, um inaktive externe Gäste zu entfernen.
Erstellen Sie eine dynamische Gruppe für die Gastbenutzer, die Sie überprüfen möchten. Ein auf ein Objekt angewendeter
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)
Zum Erstellen einer Zugriffsüberprüfung für die dynamische Gruppe navigieren Sie zu Microsoft Entra ID > Identity Governance > Zugriffsüberprüfungen.
Wählen Sie Neue Zugriffsüberprüfung aus.
Konfigurieren Sie den Überprüfungstyp:
Eigenschaft Wert Wählen Sie aus, was zu überprüfen ist. Teams und Gruppen Überprüfungsbereich Teams und Gruppen auswählen Group Auswählen der dynamischen Gruppe Bereich Nur Gastbenutzer Nur inaktive Benutzer (auf Mandantenebene) Aktivieren Sie das Kontrollkästchen. Tage der Inaktivität Geben Sie die Anzahl der Tage ein, die Inaktivität darstellen. Hinweis
Die von Ihnen konfigurierte Zeit ohne Aktivität wirkt sich nicht auf kürzlich erstellte Benutzer aus. Bei der Zugriffsüberprüfung wird überprüft, ob der Benutzer innerhalb des konfigurierten zeitlichen Rahmens erstellt wurde. Benutzer, die zumindest während dieser Zeit nicht vorhanden waren, werden ignoriert. Wenn Sie die Inaktivitätszeit beispielsweise auf 90 Tage festgelegt haben und ein Gastbenutzer vor weniger als 90 Tagen erstellt oder eingeladen wurde, ist der Gastbenutzer nicht im Bereich der Zugriffsüberprüfung enthalten. Dadurch wird sichergestellt, dass sich Gäste einmal anmelden können, bevor Sie entfernt werden.
Wählen Sie Weiter: Überprüfungen aus.
Konfigurieren von Überprüfungen:
Eigenschaft Wert Prüfer angeben Prüfer auswählen Wählen Sie Gruppenbesitzer oder einen Benutzer oder eine Gruppe aus.
(Optional) Damit der Prozess weiterhin automatisiert bleibt, wählen Sie einen Prüfer aus, der keine Aktion ausführen wird.Wiederholung der Überprüfung angeben Dauer (in Tagen) Eingeben oder Auswählen eines Werts basierend auf Ihrer Einstellung Wiederholung der Überprüfung Wählen Sie im Dropdownmenü die gewünschte Einstellung aus. Startdatum Auswählen eines Datums Ende Option wählen Wählen Sie Weiter: Einstellungen aus.
Konfigurieren Sie Einstellungen:
Eigenschaft Wert Einstellungen nach Abschluss Ergebnisse automatisch auf Ressource anwenden Aktivieren Sie das Kontrollkästchen. Wenn Prüfer nicht reagieren Zugriff entfernen Auf abgelehnte Gastbenutzer anzuwendende Aktion Anmeldung des Benutzers für 30 Tage blockieren und den Benutzer anschließend vom Mandanten entfernen Entscheidungshilfen für Prüfer aktivieren Keine Anmeldung innerhalb von 30 Tagen Aktivieren Sie das Kontrollkästchen. Alle anderen Felder Aktivieren/deaktivieren Sie die Kontrollkästchen basierend auf Ihren Einstellungen. Klicken Sie auf Weiter: Überprüfen + erstellen.
Geben Sie einen Namen für die Zugriffsüberprüfung ein. (Optional) Geben Sie eine Beschreibung an.
Klicken Sie auf Erstellen.
Gastbenutzer, die sich während der von Ihnen festgelegten Anzahl von Tagen nicht beim Mandanten anmelden, werden für 30 Tage deaktiviert und dann gelöscht. Nach dem Löschen können Sie Gäste bis zu 30 Tage lang wiederherstellen. Anschließend ist eine neue Einladung erforderlich.
Hinweis
Wenn die Entscheidungen zur Zugriffsüberprüfung noch nicht angewendet wurden, kann die API accessReviewInstance: stopApplyDecisions verwendet werden, um die aktive Anwendung von Entscheidungen zu stoppen.