Zarządzanie dostępem gości za pomocą przeglądów dostępu
Dzięki przeglądom dostępu można łatwo włączyć współpracę w granicach organizacji przy użyciu funkcji Microsoft Entra B2B. Użytkownicy-goście z innych dzierżaw mogą być zapraszani przez administratorów lub innych użytkowników. Ta funkcja dotyczy również tożsamości społecznościowych, takich jak konta Microsoft.
Możesz również łatwo zagwarantować, że użytkownicy-goście mają odpowiedni dostęp. Możesz poprosić gości lub osoby podejmujące decyzje o uczestnictwie w przeglądzie dostępu i ponownym certyfikowaniu (lub zaświadczeniu) o dostęp gości. Recenzenci mogą przekazać swoje dane wejściowe na potrzeby ciągłego dostępu każdego użytkownika na podstawie sugestii z witryny Microsoft Entra ID. Po zakończeniu przeglądu dostępu możesz wprowadzić zmiany i usunąć dostęp dla gości, którzy nie będą już jej potrzebować.
Uwaga
Ten dokument koncentruje się na przeglądaniu dostępu użytkowników-gości. Jeśli chcesz przejrzeć dostęp wszystkich użytkowników, a nie tylko gości, zobacz Zarządzanie dostępem użytkowników za pomocą przeglądów dostępu. Jeśli chcesz przejrzeć członkostwo użytkowników w rolach administracyjnych, takich jak administrator globalny, zobacz Rozpoczynanie przeglądu dostępu w usłudze Microsoft Entra Privileged Identity Management.
Wymagania wstępne
- Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra
Aby uzyskać więcej informacji, wymagania licencyjne.
Tworzenie i przeprowadzanie przeglądu dostępu dla gości
Najpierw należy przypisać jedną z następujących ról:
- Globalny administrator usługi
- Administrator użytkowników
- (Wersja zapoznawcza) Właściciel grupy microsoft 365 lub Microsoft Entra Security Group do przejrzenia
Uwaga
Po najniższym dostępie do uprawnień zalecamy użycie administratora użytkowników lub właściciela grupy zabezpieczeń dla tego zadania.
Następnie przejdź do strony Zarządzanie tożsamościami, aby upewnić się, że przeglądy dostępu są gotowe dla organizacji.
Identyfikator Entra firmy Microsoft umożliwia przeglądanie użytkowników-gości w kilku scenariuszach.
Możesz przejrzeć jedną z następujących czynności:
- Grupa w identyfikatorze Entra firmy Microsoft, która ma co najmniej jednego gościa jako członków.
- Aplikacja połączona z identyfikatorem Entra firmy Microsoft, która ma przypisanych co najmniej jednego użytkownika-gościa.
Podczas przeglądania dostępu użytkowników-gości do grup platformy Microsoft 365 można utworzyć przegląd dla każdej grupy indywidualnie lub włączyć automatyczne, cykliczne przeglądy dostępu użytkowników-gości we wszystkich grupach platformy Microsoft 365. Poniższy film wideo zawiera więcej informacji na temat cyklicznych przeglądów dostępu użytkowników-gości:
Następnie możesz zdecydować, czy każdy gość ma przejrzeć własny dostęp, czy poprosić jednego lub więcej użytkowników o przejrzenie dostępu każdego gościa.
Te scenariusze opisano w poniższych sekcjach.
Poproś gości o przejrzenie własnego członkostwa w grupie
Możesz użyć przeglądów dostępu, aby upewnić się, że użytkownicy, którzy zostali zaproszeni i dodani do grupy, będą nadal potrzebować dostępu. Możesz łatwo poprosić gości o przejrzenie własnego członkostwa w tej grupie.
Aby utworzyć przegląd dostępu dla grupy, wybierz recenzję, aby uwzględnić tylko członków użytkowników-gości, a członkowie sami się przeglądają. Aby uzyskać więcej informacji, zobacz Tworzenie przeglądu dostępu grup lub aplikacji.
Poproś każdego gościa o przejrzenie własnego członkostwa. Domyślnie każdy gość, który zaakceptował zaproszenie, otrzymuje wiadomość e-mail od microsoft Entra ID z linkiem do przeglądu dostępu. Identyfikator Entra firmy Microsoft zawiera instrukcje dla gości dotyczące przeglądania dostępu do grup lub aplikacji.
Po otrzymaniu opinii recenzentów zakończ przegląd dostępu i zastosuj zmiany. Aby uzyskać więcej informacji, zobacz Complete an access review of groups or applications (Ukończ przegląd dostępu grup lub aplikacji).
Oprócz tych użytkowników, którzy odmówili własnego zapotrzebowania na stały dostęp, możesz również usunąć użytkowników, którzy nie odpowiedzieli. Użytkownicy, którzy nie odpowiadają, potencjalnie nie otrzymują już wiadomości e-mail.
Jeśli grupa nie jest używana do zarządzania dostępem, możesz również usunąć użytkowników, którzy nie zostali wybrani do udziału w przeglądzie, ponieważ nie zaakceptują zaproszenia. Nieakceptowanie może wskazywać, że adres e-mail zaproszonego użytkownika miał literówkę. Jeśli grupa jest używana jako lista dystrybucyjna, być może niektórzy użytkownicy-goście nie zostali wybrani do udziału, ponieważ są to obiekty kontaktowe.
Poproś autoryzowanego użytkownika o przejrzenie członkostwa gościa w grupie
Możesz poprosić autoryzowanego użytkownika, takiego jak właściciel grupy, o sprawdzenie potrzeby dalszego członkostwa gościa w grupie.
Aby utworzyć przegląd dostępu dla grupy, wybierz recenzję, aby uwzględnić tylko członków użytkowników-gości. Następnie określ co najmniej jednego recenzenta. Aby uzyskać więcej informacji, zobacz Tworzenie przeglądu dostępu grup lub aplikacji.
Poproś recenzentów o wyrażenie opinii. Domyślnie każda z nich otrzymuje wiadomość e-mail od firmy Microsoft Entra ID z linkiem do panelu dostępu, w którym przegląda dostęp do grup lub aplikacji.
Po otrzymaniu opinii recenzentów zakończ przegląd dostępu i zastosuj zmiany. Aby uzyskać więcej informacji, zobacz Complete an access review of groups or applications (Ukończ przegląd dostępu grup lub aplikacji).
Poproś gości o przejrzenie własnego dostępu do aplikacji
Możesz użyć przeglądów dostępu, aby upewnić się, że użytkownicy, którzy zostali zaproszeni do określonej aplikacji, będą nadal potrzebować dostępu. Możesz łatwo poprosić gości o zapoznanie się z własną potrzebą dostępu.
Aby utworzyć przegląd dostępu dla aplikacji, wybierz recenzję, aby uwzględnić tylko gości i że użytkownicy będą przeglądać własny dostęp. Aby uzyskać więcej informacji, zobacz Tworzenie przeglądu dostępu grup lub aplikacji.
Poproś każdego gościa o przejrzenie własnego dostępu do aplikacji. Domyślnie każdy gość, który zaakceptował zaproszenie, otrzymuje wiadomość e-mail od microsoft Entra ID. Ta wiadomość e-mail zawiera link do przeglądu dostępu w panelu dostępu organizacji. Identyfikator Entra firmy Microsoft zawiera instrukcje dla gości dotyczące przeglądania dostępu do grup lub aplikacji.
Po otrzymaniu opinii recenzentów zakończ przegląd dostępu i zastosuj zmiany. Aby uzyskać więcej informacji, zobacz Complete an access review of groups or applications (Ukończ przegląd dostępu grup lub aplikacji).
Oprócz użytkowników, którzy nie potrzebują własnego dostępu, możesz również usunąć użytkowników-gości, którzy nie odpowiedzieli. Użytkownicy, którzy nie odpowiadają, potencjalnie nie otrzymują już wiadomości e-mail. Możesz również usunąć użytkowników-gości, którzy nie zostali wybrani do udziału, zwłaszcza jeśli nie zostali niedawno zaproszeni. Ci użytkownicy nie przyjęli zaproszenia i nie mieli dostępu do aplikacji.
Poproś autoryzowanego użytkownika o przejrzenie dostępu gościa do aplikacji
Możesz poprosić autoryzowanego użytkownika, takiego jak właściciel aplikacji, o sprawdzenie, czy gość potrzebuje dalszego dostępu do aplikacji.
Aby utworzyć przegląd dostępu dla aplikacji, wybierz recenzję, aby uwzględnić tylko gości. Następnie określ co najmniej jednego użytkownika jako recenzentów. Aby uzyskać więcej informacji, zobacz Tworzenie przeglądu dostępu grup lub aplikacji.
Poproś recenzentów o wyrażenie opinii. Domyślnie każda z nich otrzymuje wiadomość e-mail od firmy Microsoft Entra ID z linkiem do panelu dostępu, w którym przegląda dostęp do grup lub aplikacji.
Po otrzymaniu opinii recenzentów zakończ przegląd dostępu i zastosuj zmiany. Aby uzyskać więcej informacji, zobacz Complete an access review of groups or applications (Ukończ przegląd dostępu grup lub aplikacji).
Poproś gości, aby przejrzeli potrzebę uzyskania dostępu, ogólnie rzecz biorąc
W niektórych organizacjach goście mogą nie wiedzieć o członkostwie w grupach.
Uwaga
Wcześniejsze wersje portalu nie zezwalały użytkownikom na dostęp administracyjny z atrybutem UserType of Guest. W niektórych przypadkach administrator w katalogu mógł zmienić wartość UserType gościa na Member przy użyciu programu PowerShell. Jeśli ta zmiana miała miejsce wcześniej w katalogu, poprzednie zapytanie może nie zawierać wszystkich użytkowników-gości, którzy historycznie mieli uprawnienia dostępu administracyjnego. W takim przypadku należy zmienić typ użytkownika gościa lub ręcznie dołączyć gościa do członkostwa w grupie.
Utwórz grupę zabezpieczeń w identyfikatorze Entra firmy Microsoft z gośćmi jako członkami, jeśli odpowiednia grupa jeszcze nie istnieje. Na przykład można utworzyć grupę z ręcznie utrzymywanym członkostwem gości. Możesz też utworzyć grupę dynamiczną o nazwie takiej jak "Goście firmy Contoso" dla użytkowników w dzierżawie firmy Contoso, którzy mają wartość atrybutu UserType gościa. W celu zapewnienia wydajności upewnij się, że grupa jest głównie gośćmi — nie wybieraj grupy, która ma użytkowników będących członkami, ponieważ użytkownicy będący członkami nie muszą być przeglądani. Należy również pamiętać, że użytkownik-gość, który jest członkiem grupy, może zobaczyć innych członków grupy.
Aby utworzyć przegląd dostępu dla tej grupy, wybierz recenzentów, którzy będą sami członkami. Aby uzyskać więcej informacji, zobacz Tworzenie przeglądu dostępu grup lub aplikacji.
Poproś każdego gościa o przejrzenie własnego członkostwa. Domyślnie każdy gość, który zaakceptował zaproszenie, otrzymuje wiadomość e-mail od microsoft Entra ID z linkiem do przeglądu dostępu w panelu dostępu organizacji. Identyfikator Entra firmy Microsoft zawiera instrukcje dla gości dotyczące przeglądania dostępu do grup lub aplikacji. Ci goście, którzy nie zaakceptują zaproszenia, pojawiają się w wynikach przeglądu jako "Powiadomienie".
Po podaniu danych wejściowych recenzentom zatrzymaj przegląd dostępu. Aby uzyskać więcej informacji, zobacz Complete an access review of groups or applications (Ukończ przegląd dostępu grup lub aplikacji).
Użytkownicy-goście mogą automatycznie usuwać konta Microsoft Entra B2B w ramach przeglądu dostępu podczas konfigurowania przeglądu dostępu dla pozycji Wybierz zespół i grupy. Ta opcja nie jest dostępna dla wszystkich grup platformy Microsoft 365 z użytkownikami-gośćmi.
W tym celu wybierz pozycję Automatycznie zastosuj wyniki do zasobu , ponieważ spowoduje to automatyczne usunięcie użytkownika z zasobu. Jeśli recenzent nie powinien odpowiadać , należy ustawić opcję Usuń dostęp i Akcja, aby zastosować dla odrzuconych użytkowników-gości , należy również ustawić opcję Blokuj logowanie przez 30 dni, a następnie usunąć użytkownika z dzierżawy.
Spowoduje to natychmiastowe zablokowanie logowania się do konta użytkownika-gościa, a następnie automatyczne usunięcie konta Microsoft Entra B2B po upływie 30 dni.