Monitorar e limpar contas de convidado obsoletas usando revisões de acesso
À medida que os usuários colaboram com parceiros externos, é possível que muitas contas de convidado sejam criadas em locatários do Microsoft Entra ao longo do tempo. Quando a colaboração termina e os usuários não acessam mais seu locatário, as contas de convidado podem ficar obsoletas. Os administradores podem monitorar contas de convidado em grande escala usando insights de convidados inativos. Os administradores também podem usar Revisões de Acesso para rever automaticamente os usuários convidados inativos, impedi-los de entrar e excluí-los do diretório.
Saiba mais sobre como gerenciar as contas de usuário inativas no Microsoft Entra ID.
Existem alguns padrões recomendados eficazes para monitorar e limpar contas de convidado obsoletas:
Monitore as contas de convidado em grande escala com insights inteligentes sobre convidados inativos na sua organização usando os relatórios de convidados inativos. Personalize o limite de inatividade dependendo das necessidades da sua organização, restrinja o escopo dos usuários convidados que você deseja monitorar e identifique os usuários convidados que talvez estejam inativos.
Crie uma revisão de vários estágios onde os convidados atestem se ainda precisam de acesso. Um revisor de segunda fase avalia os resultados e toma uma decisão final. Os convidados com acesso negado são desabilitados e excluídos posteriormente.
Crie uma revisão para remover os convidados externos inativos. O período de dias é definido como inativo pelos administradores. Eles desabilitam e posteriormente excluem os convidados que não entram no locatário dentro desse período. Por padrão, isso não afeta os usuários criados recentemente. Saiba mais sobre como identificar contas inativas.
Use as instruções a seguir para saber como aprimorar o monitoramento das contas de convidados inativos em grande escala e crie Revisões de Acesso que sigam esses padrões. Considere as recomendações de configuração e faça as alterações necessárias que se adaptem ao seu ambiente.
Requisitos de licença
O uso desse recurso exige licenças do Microsoft Entra ID Governance ou do Suíte do Microsoft Entra. Para encontrar a licença certa para seus requisitos, confira Conceitos básicos de licenciamento do Microsoft Entra ID Governance.
Monitorar contas de convidado em escala com insights de convidado inativos
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Navegue até Governança de identidade>Painéis
Acesse o relatório de conta de convidado inativa navegando até o cartão Governança de acesso de convidado e selecione Exibir convidados inativos.
Você verá o relatório de convidados inativos que lhe fornecerá insights sobre usuários convidados inativos com base em 90 dias de inatividade. O limite é definido como 90 dias por padrão, mas pode ser configurado usando o recurso "Editar limite de inatividade" com base nas necessidades da sua organização.
Os insights a seguir são fornecidos como parte desse relatório:
- Visão geral das contas de convidados (total de convidados e convidados inativos com categorização adicional dos convidados que nunca entraram ou entraram pelo menos uma vez)
- Distribuição de inatividade dos convidados (percentual de distribuição dos usuários convidados com base nos dias decorridos desde a última entrada)
- Visão geral da inatividade de um convidado (diretrizes de inatividade de convidados para configurar o limite de inatividade)
- Resumo de contas de convidado (uma exibição tabular exportável com detalhes de todas as contas de convidado com insights sobre seu estado de atividade. O estado atividade pode estar ativo ou inativo com base no limite de inatividade configurado)
Se o usuário tiver se conectado pelo menos uma vez, os dias inativos serão calculados com base na data da última entrada. Para usuários que nunca entraram, os dias inativos serão calculados com base na data de criação da conta.
Observação
O relatório com insights de convidado pode ser baixado usando "Baixar todos os dados". Cada ação a ser baixada pode levar algum tempo dependendo da contagem de usuários convidados e habilita o download para até 1 milhão de usuários convidados.
Criar uma revisão de vários estágios para que os convidados autodeclarem o acesso contínuo
Crie um grupo dinâmico para os usuários convidados que você deseja examinar. Por exemplo,
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)
Para criar uma Revisão de Acesso para o grupo dinâmico, acesse Microsoft Entra ID > Identity Governance > Revisões de Acesso.
Selecione Nova revisão de acesso.
Configure o tipo de revisão.
Propriedade Valor Selecionar o que revisar Equipes + Grupos Escopo da revisão Selecionar Equipes + grupos Grupo Selecionar o grupo dinâmico Escopo Somente usuários convidados (Opcional) Examinar os convidados inativos Marque a caixa Somente para usuários inativos (no nível do locatário).
Insira o número de dias que constituem inatividade.Selecione Próximo: Revisões.
Configurar revisões:
Propriedade Valor Revisão do primeiro estágio Revisão de várias fases Marque a caixa Selecionar os revisores Os usuários revisam seu próprio acesso Duração do estágio (em dias) Inserir o número de dias Revisão do segundo estágio Selecionar os revisores Proprietários de grupo ou usuários ou grupos selecionados Duração do estágio (em dias) Insira o número de dias.
(Opcional) Especifique um revisor de fallback.Especificar a recorrência da revisão Revisão de recorrência Selecionar sua preferência no menu suspenso Data de início Selecione uma data End Selecionar a sua preferência Especificar quais revisores irão para a próxima fase Revisores que vão para a próxima fase Selecione os revisores. Por exemplo, selecione usuários que foram aprovados automaticamente ou responderam Não sei. Selecione Próximo: Configurações.
Definir configurações:
Propriedade Valor Após configurações de conclusão Resultados de aplicação automática para recursos Marque a caixa Se os revisores não responderem Remover acesso Ação a ser aplicada nos usuários convidados negados Impedir que o usuário entre por 30 dias e, em seguida, remover o usuário do locatário (Opcional) Ao final da revisão, envie uma notificação para Especifique outros usuários ou grupos a serem notificados. Habilitar auxiliares de decisão do revisor Conteúdo adicional para o email do revisor Adicionar uma mensagem personalizada para os revisores Todos os outros campos Deixe os valores padrão para as opções restantes. Selecione Avançar: Examinar + Criar
Insira um nome para a Revisão de Acesso. (Opcional) forneça uma descrição.
Selecione Criar.
Criar uma revisão para remover os convidados externos inativos
Crie um grupo dinâmico para os usuários convidados que você deseja examinar. Por exemplo,
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)
Para criar uma revisão de acesso para o grupo dinâmico, acesse Microsoft Entra ID > Identity Governance > Revisões de Acesso.
Selecione Nova revisão de acesso.
Configure o tipo de revisão:
Propriedade Valor Selecionar o que revisar Equipes + Grupos Escopo da revisão Selecionar Equipes + grupos Grupo Selecionar o grupo dinâmico Escopo Somente usuários convidados Usuários inativos (no nível do locatário) somente Marque a caixa Dias de inatividade Insira o número de dias que constituem inatividade Observação
O tempo de inatividade configurado não afetará os usuários criados recentemente. A revisão de acesso vai verificar se o usuário foi criado no período de tempo configurado e ignorar os usuários que não existem pelo menos durante esse período de tempo. Por exemplo, se você definir o tempo de inatividade como 90 dias e um usuário convidado tiver sido criado/convidado há menos de 90 dias, o usuário convidado não estará no escopo da revisão de acesso. Isso garante que os convidados possam entrar uma vez antes de serem removidos.
Selecione Próximo: Revisões.
Configurar revisões:
Propriedade Valor Especificar revisores Selecionar os revisores Selecione Proprietários do grupo ou um usuário ou grupo.
(Opcional) Para permitir que o processo permaneça automatizado, selecione um revisor que não tomará nenhuma ação.Especificar a recorrência da revisão Duração (em dias) Insira ou selecione um valor com base em sua preferência Revisão de recorrência Selecionar sua preferência no menu suspenso Data de início Selecione uma data End Escolher uma opção Selecione Próximo: Configurações.
Definir configurações:
Propriedade Valor Após configurações de conclusão Resultados de aplicação automática para recursos Marque a caixa Se as revisões não responderem Remover acesso Ação a ser aplicada nos usuários convidados negados Impedir que o usuário entre por 30 dias e, em seguida, remover o usuário do locatário Habilitar auxiliares de decisão do revisor Nenhuma entrada em 30 dias Marque a caixa Todos os outros campos Marque/desmarque as caixas de acordo com sua preferência. Selecione Avançar: Examinar + Criar.
Insira um nome para a Revisão de Acesso. (Opcional) forneça uma descrição.
Selecione Criar.
Os usuários convidados que não entrarem no locatário pelo número de dias configurados, ficarão desabilitados por 30 dias e serão excluídos. Após a exclusão, você pode restaurar os convidados por até 30 dias. Após esse prazo, será necessário um novo convite.
Observação
Se as decisões de revisão de acesso ainda não tiverem sido aplicadas, a API accessReviewInstance: stopApplyDecisions poderá ser usada para parar a aplicação ativa das decisões.