Monitorowanie i czyszczenie nieaktualnych kont gości przy użyciu przeglądów dostępu
Ponieważ użytkownicy współpracują z partnerami zewnętrznymi, istnieje możliwość, że wiele kont gości zostanie utworzonych w dzierżawach firmy Microsoft Entra w czasie. Po zakończeniu współpracy użytkownicy nie uzyskują już dostępu do dzierżawy, konta gości mogą stać się nieaktualne. Administratorzy mogą monitorować konta gości na dużą skalę przy użyciu nieaktywnych szczegółowych informacji o gościu. Administratorzy mogą również używać przeglądów dostępu, aby automatycznie przeglądać nieaktywnych użytkowników-gości, blokować ich logowanie i usuwać je z katalogu.
Dowiedz się więcej na temat zarządzania nieaktywnym kontami użytkowników w usłudze Microsoft Entra ID.
Istnieje kilka zalecanych wzorców, które są skuteczne w monitorowaniu i czyszczeniu nieaktualnych kont gości:
Monitorowanie kont gości na dużą skalę przy użyciu inteligentnego wglądu w nieaktywnych gości w organizacji przy użyciu nieaktywnego raportu gościa. Dostosuj próg braku aktywności w zależności od potrzeb organizacji, zawęzij zakres użytkowników-gości, którzy mają być monitorowane, i zidentyfikuj użytkowników-gości, którzy mogą być nieaktywni.
Utwórz przegląd wieloetapowy, w którym goście samodzielnie potwierdzają, czy nadal potrzebują dostępu. Recenzent drugiego etapu ocenia wyniki i podejmuje ostateczną decyzję. Goście z odrzuconym dostępem są wyłączeni, a później usunięci.
Utwórz recenzję, aby usunąć nieaktywnych gości zewnętrznych. Administratorzy definiują nieaktywność jako okres dni. Wyłączają i później usuwają gości, którzy nie logują się do dzierżawy w tym przedziale czasu. Domyślnie nie ma to wpływu na ostatnio utworzonych użytkowników. Dowiedz się więcej na temat identyfikowania nieaktywnych kont.
Skorzystaj z poniższych instrukcji, aby dowiedzieć się, jak ulepszyć monitorowanie nieaktywnych kont gości na dużą skalę i utworzyć przeglądy dostępu, które są zgodne z tymi wzorcami. Rozważ zalecenia dotyczące konfiguracji, a następnie wprowadź wymagane zmiany, które odpowiadają Twojemu środowisku.
Wymagania dotyczące licencji
Korzystanie z tej funkcji wymaga licencji Zarządzanie tożsamością Microsoft Entra lub Microsoft Entra Suite. Aby znaleźć odpowiednią licencję dla wymagań, zobacz Zarządzanie tożsamością Microsoft Entra podstawy licencjonowania.
Monitorowanie kont gości na dużą skalę przy użyciu nieaktywnych szczegółowych informacji o gościu
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
Przejdź do pulpitu nawigacyjnego ładu>tożsamości
Uzyskaj dostęp do nieaktywnego raportu konta gościa, przechodząc do karty ład dostępu gościa, a następnie wybierz pozycję Wyświetl nieaktywnych gości.
Zostanie wyświetlony nieaktywny raport gościa, który zapewni szczegółowe informacje o nieaktywnych użytkownikach-gościach w oparciu o 90 dni braku aktywności. Próg jest domyślnie ustawiony na 90 dni, ale można go skonfigurować przy użyciu opcji "Edytuj próg braku aktywności" na podstawie potrzeb organizacji.
Następujące szczegółowe informacje są udostępniane w ramach tego raportu:
- Przegląd konta gościa (łącznie goście i nieaktywni goście z dalszą kategoryzacji gości, którzy nigdy nie zalogowali się lub zalogowali się co najmniej raz)
- Dystrybucja braku aktywności gościa (procentowa dystrybucja użytkowników-gości na podstawie dni od ostatniego logowania)
- Omówienie braku aktywności gościa (wskazówki dotyczące braku aktywności gościa w celu skonfigurowania progu braku aktywności)
- Podsumowanie kont gości (widok tabelaryczny z możliwością eksportowania ze szczegółami wszystkich kont gości z wglądem w ich stan działania. Stan działania może być aktywny lub nieaktywny na podstawie skonfigurowanego progu braku aktywności)
Nieaktywne dni są obliczane na podstawie daty ostatniego logowania, jeśli użytkownik zalogował się co najmniej raz. W przypadku użytkowników, którzy nigdy nie zalogowali się, nieaktywne dni są obliczane na podstawie daty utworzenia.
Uwaga
Raport ze szczegółowymi informacjami o gościu można pobrać przy użyciu opcji "Pobierz wszystkie dane". Każda akcja do pobrania może zająć trochę czasu w zależności od liczby użytkowników-gości i umożliwia pobranie do 1 miliona użytkowników-gości.
Tworzenie przeglądu wieloetapowego dla gości, aby potwierdzić ciągły dostęp
Utwórz grupę dynamiczną dla użytkowników-gości, których chcesz przejrzeć. Na przykład:
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)
Aby utworzyć przegląd dostępu dla grupy dynamicznej, przejdź do witryny Microsoft Entra ID > Identity Governance Access Reviews (Przeglądy dostępu do ładu > tożsamości firmy Microsoft).
Wybierz pozycję Nowy przegląd dostępu.
Skonfiguruj typ przeglądu.
Właściwości Wartość Wybierz, co należy przejrzeć Zespoły i grupy Przegląd zakresu Wybierz pozycję Teams + grupy Grupuj Wybierz grupę dynamiczną Scope Tylko użytkownicy-goście (Opcjonalnie) Przeglądanie nieaktywnych gości Zaznacz pole wyboru Tylko użytkownicy nieaktywni (na poziomie dzierżawy).
Wprowadź liczbę dni, które stanowią brak aktywności.Wybierz pozycję Dalej: Recenzje.
Konfigurowanie przeglądów:
Właściwości Wartość Przegląd pierwszego etapu Przegląd wieloetapowy Zaznacz pole wyboru Wybieranie recenzentów Użytkownicy przeglądają własny dostęp Czas trwania etapu (w dniach) Wprowadź liczbę dni Przegląd drugiego etapu Wybieranie recenzentów Właściciele grupy lub wybrani użytkownicy lub grupy Czas trwania etapu (w dniach) Wprowadź liczbę dni.
(Opcjonalnie) Określ recenzenta rezerwowego.Określanie cyklu przeglądu Przegląd cyklu Wybierz swoją preferencję z listy rozwijanej Data rozpoczęcia Wybierz obszar roboczy Zakończenie Wybieranie preferencji Określ recenzy, aby przejść do następnego etapu Przeglądy przechodzące do następnego etapu Wybierz pozycję recenzy. Na przykład wybierz użytkowników, którzy samodzielnie zatwierdzili lub odpowiedzi Nie wiem. Wybierz pozycję Dalej: Ustawienia.
Konfigurowanie ustawień:
Właściwości Wartość Po zakończeniu ustawień Automatyczne stosowanie wyników do zasobu Zaznacz pole wyboru Jeśli recenzenci nie odpowiadają Usuwanie dostępu Akcja stosowania dla odrzuconych użytkowników-gości Zablokuj użytkownikowi logowanie przez 30 dni, a następnie usuń użytkownika z dzierżawy (Opcjonalnie) Po zakończeniu przeglądu wyślij powiadomienie do Określ innych użytkowników lub grupy do powiadamiania. Włączanie pomocników decyzyjnych recenzenta Dodatkowa zawartość wiadomości e-mail recenzenta Dodawanie niestandardowego komunikatu dla recenzentów Wszystkie inne pola Pozostaw wartości domyślne pozostałych opcji. Wybierz pozycję Dalej: Przejrzyj i utwórz
Wprowadź nazwę przeglądu dostępu. (Opcjonalnie) podaj opis.
Wybierz pozycję Utwórz.
Tworzenie przeglądu w celu usunięcia nieaktywnych gości zewnętrznych
Utwórz grupę dynamiczną dla użytkowników-gości, których chcesz przejrzeć. Na przykład:
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)
Aby utworzyć przegląd dostępu dla grupy dynamicznej, przejdź do obszaru Przeglądy dostępu do zarządzania > tożsamościami firmy Microsoft>.
Wybierz pozycję Nowy przegląd dostępu.
Skonfiguruj typ przeglądu:
Właściwości Wartość Wybierz, co należy przejrzeć Zespoły i grupy Przegląd zakresu Wybierz pozycję Teams + grupy Grupuj Wybierz grupę dynamiczną Scope Tylko użytkownicy-goście Nieaktywni użytkownicy (tylko na poziomie dzierżawy) Zaznacz pole wyboru Dni nieaktywne Wprowadź liczbę dni, które stanowią brak aktywności Uwaga
Skonfigurowany czas braku aktywności nie będzie mieć wpływu na niedawno utworzonych użytkowników. Przegląd dostępu sprawdzi, czy użytkownik został utworzony w skonfigurowanym przedziale czasowym i zignoruje użytkowników, którzy nie istniały przez co najmniej ten czas. Jeśli na przykład ustawisz czas braku aktywności na 90 dni, a użytkownik-gość został utworzony/zaproszony mniej niż 90 dni temu, użytkownik-gość nie będzie w zakresie przeglądu dostępu. Dzięki temu goście mogą zalogować się raz przed usunięciem.
Wybierz pozycję Dalej: Recenzje.
Konfigurowanie przeglądów:
Właściwości Wartość Określanie recenzentów Wybieranie recenzentów Wybierz pozycję Właściciele grupy lub użytkownik lub grupa.
(Opcjonalnie) Aby umożliwić procesowi pozostanie zautomatyzowanym, wybierz recenzenta, który nie podejmie żadnych działań.Określanie cyklu przeglądu Czas trwania (w dniach) Wprowadź lub wybierz wartość na podstawie preferencji Przegląd cyklu Wybierz swoją preferencję z listy rozwijanej Data rozpoczęcia Wybierz obszar roboczy Zakończenie Wybierz opcję Wybierz pozycję Dalej: Ustawienia.
Konfigurowanie ustawień:
Właściwości Wartość Po zakończeniu ustawień Automatyczne stosowanie wyników do zasobu Zaznacz pole wyboru Jeśli recenzje nie odpowiadają Usuwanie dostępu Akcja stosowania dla odrzuconych użytkowników-gości Zablokuj użytkownikowi logowanie przez 30 dni, a następnie usuń użytkownika z dzierżawy Włączanie pomocników decyzyjnych recenzenta Brak logowania w ciągu 30 dni Zaznacz pole wyboru Wszystkie inne pola Zaznacz/usuń zaznaczenie pól na podstawie preferencji. Wybierz opcję Dalej: przejrzyj + utwórz.
Wprowadź nazwę przeglądu dostępu. (Opcjonalnie) podaj opis.
Wybierz pozycję Utwórz.
Użytkownicy-goście, którzy nie logują się do dzierżawy przez skonfigurowaną liczbę dni, zostaną wyłączeni przez 30 dni, a następnie usunięci. Po usunięciu można przywrócić gości przez maksymalnie 30 dni, po upływie których jest potrzebne nowe zaproszenie.
Uwaga
Jeśli decyzje dotyczące przeglądu dostępu nie są jeszcze stosowane, można użyć metody accessReviewInstance interfejsu API : stopApplyDecisions , aby zatrzymać aktywne stosowanie decyzji.