Monitorowanie i czyszczenie nieaktualnych kont gości przy użyciu przeglądów dostępu
Ponieważ użytkownicy współpracują z partnerami zewnętrznymi, istnieje możliwość, że wiele kont gości zostanie utworzonych w dzierżawach Microsoft Entra z biegiem czasu. Po zakończeniu współpracy i gdy użytkownicy nie uzyskują już dostępu do dzierżawy, może to spowodować, że konta gości staną się nieaktualne. Administratorzy mogą monitorować konta gości na dużą skalę przy użyciu nieaktywnych szczegółowych informacji o gościu. Administratorzy mogą również używać przeglądów dostępu, aby automatycznie przeglądać nieaktywnych użytkowników-gości, blokować ich logowanie i usuwać je z katalogu.
Dowiedz się więcej na temat zarządzania nieaktywnym kontami użytkowników w usłudze Microsoft Entra ID.
Istnieje kilka zalecanych wzorców, które są skuteczne w monitorowaniu i czyszczeniu nieaktualnych kont gości:
Monitór konta gości na dużą skalę, korzystając z inteligentnych wniosków na temat nieaktywnych gości w organizacji dzięki raportowi o nieaktywnych gościach. Dostosuj próg braku aktywności w zależności od potrzeb organizacji, zawęzij zakres użytkowników-gości, którzy mają być monitorowane, i zidentyfikuj użytkowników-gości, którzy mogą być nieaktywni.
Utwórz przegląd wieloetapowy, w którym użytkownicy samooceniają, czy nadal potrzebują dostępu. Recenzent drugiego etapu ocenia wyniki i podejmuje ostateczną decyzję. Goście z odrzuconym dostępem są wyłączeni, a później usunięci.
Utwórz recenzję, aby usunąć nieaktywnych gości zewnętrznych. Administratorzy definiują nieaktywność jako okres dni. Wyłączają, a później usuwają gości, którzy nie logują się do systemu w określonym czasie. Domyślnie nie ma to wpływu na ostatnio utworzonych użytkowników. Dowiedz się więcej na temat identyfikowania nieaktywnych kont.
Skorzystaj z poniższych instrukcji, aby dowiedzieć się, jak ulepszyć monitorowanie nieaktywnych kont gości na dużą skalę i utworzyć przeglądy dostępu, które są zgodne z tymi wzorcami. Rozważ zalecenia dotyczące konfiguracji, a następnie wprowadź wymagane zmiany, które odpowiadają Twojemu środowisku.
Wymagania dotyczące licencji
Korzystanie z tej funkcji wymaga licencji Microsoft Entra ID Governance lub Microsoft Entra Suite. Aby znaleźć odpowiednią licencję dla twoich potrzeb, zobacz Podstawy licencjonowania zarządzania tożsamością Microsoft Entra.
Monitorowanie kont gości na dużą skalę przy użyciu nieaktywnych szczegółowych informacji o gościu
Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
Przejdź do zarządzanie tożsamością>panelu kontrolnego
Uzyskaj dostęp do raportu dotyczącego nieaktywnego konta gościa, przechodząc do karty Zarządzanie dostępem gości, a następnie wybierz pozycję Wyświetl nieaktywnych gości.
Zostanie wyświetlony nieaktywny raport gościa, który zapewni szczegółowe informacje o nieaktywnych użytkownikach-gościach w oparciu o 90 dni braku aktywności. Próg jest domyślnie ustawiony na 90 dni, ale można go skonfigurować przy użyciu opcji "Edytuj próg braku aktywności" na podstawie potrzeb organizacji.
Następujące szczegółowe informacje są udostępniane w ramach tego raportu:
- Przegląd konta gościa (łączna liczba gości oraz nieaktywnych gości, w tym kategoryzacja gości, którzy nigdy się nie zalogowali, lub zalogowali się co najmniej raz)
- Dystrybucja braku aktywności gościa (procentowa dystrybucja użytkowników-gości na podstawie dni od ostatniego logowania)
- Omówienie braku aktywności gościa (wskazówki dotyczące braku aktywności gościa w celu skonfigurowania progu braku aktywności)
- Podsumowanie kont gości (widok tabelaryczny z możliwością eksportowania ze szczegółami wszystkich kont gości z wglądem w ich stan działania. Stan działania może być aktywny lub nieaktywny na podstawie skonfigurowanego progu braku aktywności)
Nieaktywne dni są obliczane na podstawie daty ostatniego logowania, jeśli użytkownik zalogował się co najmniej raz. W przypadku użytkowników, którzy nigdy nie zalogowali się, nieaktywne dni są obliczane na podstawie daty utworzenia.
Uwaga
Raport ze szczegółowymi informacjami o gościu można pobrać przy użyciu opcji "Pobierz wszystkie dane". Każdy proces pobierania może zająć trochę czasu, w zależności od liczby gości, i umożliwia pobieranie dla maksymalnie 1 miliona gości.
Stwórz wieloetapowy proces przeglądu, aby goście mogli potwierdzić ciągły dostęp
Utwórz grupę dynamiczną dla użytkowników-gości, których chcesz przejrzeć. Na przykład:
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)Aby utworzyć przegląd dostępu dla grupy dynamicznej, przejdź do Microsoft Entra ID > Ład Tożsamości > Przeglądy Dostępu.
Wybierz Nowy przegląd dostępu.
Skonfiguruj typ przeglądu.
Nieruchomość Wartość Wybierz, co należy przejrzeć Zespoły i grupy Przegląd zakresu Wybierz Teams + grupy Grupa Wybierz grupę dynamiczną Scope Tylko użytkownicy-goście (Opcjonalnie) Przeglądanie nieaktywnych gości Zaznacz pole wyboru Tylko użytkownicy nieaktywni (na poziomie dzierżawy).
Wprowadź liczbę dni, które stanowią brak aktywności.
Wybierz pozycję Dalej: Recenzje.
Konfigurowanie przeglądów:
Nieruchomość / Własność Wartość Przegląd pierwszego etapu Przegląd wieloetapowy Zaznacz pole wyboru Wybieranie recenzentów Użytkownicy przeglądają własny dostęp Czas trwania etapu (w dniach) Wprowadź liczbę dni Przegląd drugiego etapu Wybieranie recenzentów Właściciele grupy lub wybrani użytkownicy albo grupy Czas trwania etapu (w dniach) Wprowadź liczbę dni.
(Opcjonalnie) Określ recenzenta rezerwowego.Określanie cyklu przeglądu Przegląd powtarzalności Wybierz swoją preferencję z listy rozwijanej Data rozpoczęcia Wybierz datę Zakończenie Wybieranie preferencji Określ ocenianych, by przejść do następnego etapu Osoby oceniane przechodzące do następnego etapu Wybierz ocenianych. Na przykład wybierz użytkowników, którzy samodzielnie zatwierdzili lub odpowiedzieli Nie wiem. 
Wybierz pozycję Dalej: Ustawienia.
Konfigurowanie ustawień:
Nieruchomość / Własność Wartość Po zakończeniu ustawień Automatyczne stosowanie wyników do zasobu Zaznacz pole wyboru Jeśli recenzenci nie odpowiadają Usuwanie dostępu Akcja stosowania dla odrzuconych użytkowników-gości Zablokuj użytkownikowi logowanie przez 30 dni, a następnie usuń użytkownika z dzierżawy (Opcjonalnie) Po zakończeniu przeglądu wyślij powiadomienie do Określ innych użytkowników lub grupy do powiadamiania. Włączanie pomocników decyzyjnych recenzenta Dodatkowa zawartość wiadomości e-mail recenzenta Dodawanie niestandardowego komunikatu dla recenzentów Wszystkie inne pola Pozostaw wartości domyślne pozostałych opcji. Zrzut ekranu przedstawia okno dialogowe ustawień dla wieloetapowej weryfikacji, w której goście mogą samodzielnie potwierdzić stały dostęp.
Wybierz pozycję Dalej: Przegląd + Utwórz
Wprowadź nazwę przeglądu dostępu. (Opcjonalnie) podaj opis.
Wybierz pozycję Utwórz.
Stwórz przegląd, aby usunąć nieaktywnych gości zewnętrznych
Utwórz grupę dynamiczną dla użytkowników-gości, których chcesz przejrzeć. Na przykład:
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)Aby utworzyć przegląd dostępu dla grupy dynamicznej, przejdź do Microsoft Entra ID > Zarządzanie Tożsamościami > Przeglądy Dostępu.
Wybierz pozycję Nowy przegląd dostępu.
Skonfiguruj typ przeglądu:
Właściwości Wartość Wybierz, co należy przejrzeć Zespoły i grupy Zakres przeglądu Wybierz Teams + grupy Grupa Wybierz grupę dynamiczną Scope Tylko użytkownicy-goście Nieaktywni użytkownicy (tylko na poziomie dzierżawy) Zaznacz pole wyboru Dni nieaktywne Wprowadź liczbę dni, które stanowią brak aktywności Uwaga
Skonfigurowany czas braku aktywności nie będzie mieć wpływu na niedawno utworzonych użytkowników. Przegląd dostępu sprawdzi, czy użytkownik został utworzony w skonfigurowanym przedziale czasowym i zignoruje użytkowników, którzy nie istniały przez co najmniej ten czas. Jeśli na przykład ustawisz czas braku aktywności na 90 dni, a użytkownik-gość został utworzony/zaproszony mniej niż 90 dni temu, użytkownik-gość nie będzie w zakresie przeglądu dostępu. Dzięki temu goście mogą zalogować się raz przed usunięciem.
Wybierz pozycję Dalej: Recenzje.
Konfigurowanie przeglądów:
Nieruchomości Wartość Określanie recenzentów Wybieranie recenzentów Wybierz właściciela lub właścicieli grupy, użytkownika lub grupę.
(Opcjonalnie) Aby umożliwić procesowi pozostanie zautomatyzowanym, wybierz recenzenta, który nie podejmie żadnych działań.Określanie cyklu przeglądu Czas trwania (w dniach) Wprowadź lub wybierz wartość na podstawie preferencji Przegląd powtarzalności Wybierz swoją preferencję z listy rozwijanej Data rozpoczęcia Wybierz datę Zakończenie Wybierz opcję Wybierz pozycję Dalej: Ustawienia.
Konfigurowanie ustawień:
Własność Wartość Po zakończeniu ustawień Automatyczne stosowanie wyników do zasobu Zaznacz pole wyboru Jeśli odpowiedzi na recenzje nie są udzielane Usuwanie dostępu Akcja do zastosowania dla odrzuconych użytkowników będących gośćmi Zablokuj użytkownikowi logowanie przez 30 dni, a następnie usuń użytkownika z dzierżawy Włączanie pomocników decyzyjnych recenzenta Brak logowania w ciągu 30 dni Zaznacz pole wyboru Wszystkie inne pola Zaznacz/usuń zaznaczenie pól zgodnie z Twoimi preferencjami. 
Wybierz opcję Dalej: przejrzyj + utwórz.
Wprowadź nazwę przeglądu dostępu. (Opcjonalnie) podaj opis.
Wybierz pozycję Utwórz.
Użytkownicy-goście, którzy nie logują się do środowiska dzierżawy przez skonfigurowaną liczbę dni, są dezaktywowani na 30 dni, a następnie usuwani. Po usunięciu można przywrócić gości przez maksymalnie 30 dni, po upływie których jest potrzebne nowe zaproszenie.
Uwaga
Jeśli decyzje dotyczące przeglądu dostępu nie są jeszcze stosowane, można użyć interfejsu API accessReviewInstance: stopApplyDecisions, aby zatrzymać aktywne stosowanie decyzji.