Compartir vía


Supervisión y limpieza de cuentas de invitado obsoletas mediante revisiones de acceso

Cuando los usuarios colaboran con partners externos, con el tiempo se crean muchas cuentas de invitado en los inquilinos de Microsoft Entra. Cuando finaliza la colaboración y los usuarios ya no tienen acceso al inquilino, las cuentas de invitado quedan obsoletas. Los administradores pueden supervisar cuentas de invitado a gran escala mediante información sobre invitados inactivos. Los administradores también pueden usar revisiones de acceso para revisar automáticamente qué usuarios invitados están inactivos, impedir que inicien sesión y eliminarlos del directorio.

Más información sobre cómo administrar las cuentas de usuario inactivas en Microsoft Entra.

Hay algunos patrones recomendados eficaces para supervisar y limpiar las cuentas de invitado obsoletas:

  1. Supervise las cuentas de invitado a gran escala mediante información inteligente sobre los invitados inactivos de la organización con el informe de invitados inactivos. Personalice el umbral de inactividad en función de las necesidades de la organización, limite el ámbito de los usuarios invitados que desea supervisar e identifique a los usuarios invitados que podrían estar inactivos.

  2. Cree una revisión de varias fases en la que los invitados indiquen automáticamente si siguen necesitando acceso. Un revisor evalúa los resultados en una segunda fase y toma la decisión final. Se deshabilitarán los invitados con acceso denegado para eliminarse después.

  3. Cree una revisión para quitar los invitados externos inactivos. Los administradores definen "inactivo" en días. Deshabilitan y después eliminan los invitados que no inician sesión en el inquilino en ese período de tiempo. De forma predeterminada, esto no afecta a los usuarios de creación reciente. Más información sobre cómo identificar las cuentas inactivas.

Siga las instrucciones a continuación para aprender cómo mejorar la supervisión de cuentas de invitado inactivas a gran escala y crear revisiones de acceso que sigan estos patrones. Tenga en cuenta las recomendaciones de configuración y realice los cambios necesarios para su entorno.

Requisitos de licencia

El uso de esta característica requiere licencias de Gobierno de Microsoft Entra ID o Microsoft Entra Suite. Para encontrar la licencia adecuada para sus requisitos, consulte Aspectos básicos de las licencias gubernamentales de id. de Microsoft Entra.

Supervisión de cuentas de invitado a gran escala mediante información sobre invitados inactivos

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Vaya aGobernanza de identidades>Panel.

  3. Acceda al informe de cuentas de invitados inactivos navegando hasta la tarjeta Gobernanza de acceso de invitados y después seleccione Ver invitados inactivos.

  4. Verá el informe de los invitados inactivos que le proporcionará información sobre los usuarios invitados inactivos en función de 90 días de inactividad. El umbral se establece en 90 días de forma predeterminada, pero se puede configurar mediante "Editar umbral de inactividad" en función de las necesidades de la organización.

  5. La información siguiente se proporciona como parte de este informe:

    • Información general sobre las cuentas de invitado (total de invitados e invitados inactivos con una categorización adicional de invitados que nunca han iniciado sesión o han iniciado sesión al menos una vez)
    • Distribución de inactividad de invitados (distribución porcentual de usuarios invitados en función de los días desde el último inicio de sesión)
    • Información general de la inactividad de los invitados (guía de inactividad de los invitados para configurar el umbral de inactividad)
    • Resumen de las cuentas de invitado (vista tabular exportable con detalles de todas las cuentas de invitado con información sobre su estado de actividad. El estado actividad podría estar activo o inactivo en función del umbral de inactividad configurado)
  6. Los días inactivos se calculan en función de la fecha del último inicio de sesión si el usuario ha iniciado sesión al menos una vez. Para los usuarios que nunca han iniciado sesión, los días inactivos se calculan en función de la fecha de creación.

Nota:

El informe con información de invitado se puede descargar mediante "Descargar todos los datos". Cada acción para descargar puede tardar algún tiempo en función del recuento de usuarios invitados y habilitar la descarga de hasta 1 millón de usuarios invitados.

Creación de una revisión en varias fases para que los invitados indiquen el acceso continuado

  1. Cree un grupo dinámico para los usuarios invitados que desee revisar. Por ejemplo,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Para crear una revisión de acceso para el grupo dinámico, vaya a Microsoft Entra ID > Identity Governance > Revisiones de acceso.

  3. Seleccione Nueva revisión de acceso.

  4. Configure el tipo de revisión.

    Propiedad Value
    Selección de los elementos que se deben revisar Equipos y grupos
    Revisión del ámbito Seleccionar equipos y grupos
    Grupo Selección del grupo dinámico
    Ámbito Solo usuarios invitados
    (Opcional) Revisión de invitados inactivos Active la casilla Solo usuarios inactivos (en el nivel de inquilino).
    Escriba el número de días que definen la inactividad.

    Captura de pantalla en la que se muestra el diálogo de tipo de revisión para la revisión de varias fases para que los invitados indiquen el acceso continuado.

  5. Seleccione Siguiente: Revisiones.

  6. Configure las revisiones:

    Propiedad Value
    Primera fase de la revisión
    Revisión de varias fases Active la casilla.
    Selección de los revisores Revisión del propio acceso por parte de los usuarios
    Duración de la fase (en días) Escriba el número de días.
    Segunda fase de la revisión
    Selección de los revisores Propietarios del grupo o Grupos o usuarios seleccionados
    Duración de la fase (en días) Escriba el número de días.
    (Opcional) Especifique un revisor de reserva.
    Especificar la periodicidad de la revisión
    Periodicidad de la revisión Seleccione su elección en el menú desplegable.
    Fecha de inicio Seleccionar una fecha
    End Seleccione lo que prefiera.
    Indicar a los revisores de que pasen a la siguiente fase
    Revisores a la siguiente fase Seleccione los revisores. Por ejemplo, seleccione los usuarios que afirmaron o que respondieron No sé.

    Captura de pantalla en la que se muestra la primera fase de la revisión de varias fases para que los invitados indiquen el acceso continuado.

  7. Seleccione Siguiente: Configuración.

  8. Configuración de las opciones:

    Propiedad Value
    Configuración de finalización
    Aplicar automáticamente los resultados al recurso Active la casilla.
    Si los revisores no responden. Eliminación de acceso
    Acción que se aplicará a los usuarios invitados denegados Bloquear el inicio de sesión del usuario durante 30 días y después quitar el usuario del inquilino.
    (Opcional) Al final de la revisión, enviar una notificación a Especifique otros usuarios o grupos a quienes notificar.
    Habilitar asistentes para la toma de decisiones de revisión
    Contenido adicional para el correo electrónico del revisor Agrega un mensaje personalizado para los revisores.
    Demás campos Deje los valores predeterminados para las opciones restantes.

    Captura de pantalla en la que se muestra el diálogo de configuración de la revisión en varias fases para que los invitados indiquen su acceso continuado.

  9. Seleccione Siguiente: Revisar y crear.

  10. Escriba un nombre de revisión de acceso. (Opcional) proporcione la descripción.

  11. Seleccione Crear.

Creación de una revisión para quitar los invitados externos inactivos

  1. Cree un grupo dinámico para los usuarios invitados que desee revisar. Por ejemplo,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Para crear una revisión de acceso para el grupo dinámico, vaya a Microsoft Entra ID > Identity Governance > Revisiones de acceso.

  3. Seleccione Nueva revisión de acceso.

  4. Configure Tipo de revisión:

    Propiedad Value
    Selección de los elementos que se deben revisar Equipos y grupos
    Revisión del ámbito Seleccionar equipos y grupos
    Grupo Selección del grupo dinámico
    Ámbito Solo usuarios invitados
    Solo usuarios inactivos (en el nivel de inquilino) Active la casilla.
    Días sin actividad Escriba el número de días que define la inactividad.

    Nota

    El tiempo de inactividad que configure no afectará a los usuarios de creación reciente. La revisión de acceso comprobará si el usuario se ha creado en el período de tiempo configurado y omite los que no han existido durante al menos ese tiempo. Por ejemplo, si establece el tiempo de inactividad en 90 días y se creó el usuario invitado o se le invitó hace menos de 90 días, no se le incluirá en la revisión de acceso. Esto garantiza que los invitados puedan iniciar sesión una vez antes de que se les elimine.

    Captura de pantalla en la que se muestra el diálogo del tipo de revisión para eliminar invitados externos inactivos.

  5. Seleccione Siguiente: Revisiones.

  6. Configure las revisiones:

    Propiedad Value
    Especificar revisores
    Selección de los revisores Seleccione Propietarios del grupo o un usuario o grupo.
    (Opcional) Para permitir que el proceso permanezca automatizado, seleccione un revisor que no realice ninguna acción.
    Especificar la periodicidad de la revisión
    Duración (en días) Escriba o seleccione un valor en función de sus preferencias.
    Periodicidad de la revisión Seleccione su elección en el menú desplegable.
    Fecha de inicio Seleccionar una fecha
    End Elegir una opción.
  7. Seleccione Siguiente: Configuración.

    Captura de pantalla en la que se muestra el diálogo Revisiones para eliminar los usuarios externos inactivos.

  8. Configuración de las opciones:

    Propiedad Value
    Configuración de finalización
    Aplicar automáticamente los resultados al recurso Active la casilla.
    Si no se responden las revisiones Eliminación de acceso
    Acción que se aplicará a los usuarios invitados denegados Bloquear el inicio de sesión del usuario durante 30 días y después quitar el usuario del inquilino.
    Habilitar asistentes para la toma de decisiones de revisión
    No hay ningún inicio de sesión en 30 días Active la casilla.
    Demás campos Active o desactive las casillas según sus preferencias.

    Captura de pantalla en la que se muestra el diálogo Configuración para eliminar los usuarios externos inactivos.

  9. Seleccione Siguiente: Revisar y crear.

  10. Escriba un nombre de revisión de acceso. (Opcional) proporcione la descripción.

  11. Seleccione Crear.

Los usuarios invitados que no inicien sesión en el inquilino durante el número de días configurado se deshabilitarán durante 30 días y, a continuación, se eliminarán. Después de la eliminación, puede restaurar los invitados durante un máximo de 30 días, tiempo tras el cual se necesitará una invitación nueva.

Nota:

Si las decisiones de revisión de acceso aún no se aplican, se puede usar el acceso a la API accessReviewInstance: stopApplyDecisions para detener las decisiones activas de aplicación.