Поделиться через


Мониторинг и очистка устаревших гостевых учетных записей с помощью проверок доступа

При совместной работе пользователей с внешними партнерами возможно, что многие гостевые учетные записи создаются в клиентах Microsoft Entra со временем. Когда совместная работа заканчивается и пользователи больше не получают доступ к вашему клиенту, гостевые учетные записи могут стать устаревшими. Администраторы могут отслеживать гостевые учетные записи в крупных масштабах с помощью аналитики неактивных гостей. Администраторы также могут использовать проверки доступа для автоматической проверки неактивных гостевых пользователей, блокировать вход и удалять их из каталога.

Узнайте больше об управлении неактивными учетными записями пользователей в идентификаторе Microsoft Entra.

Существует несколько рекомендуемых шаблонов, которые эффективны при мониторинге и очистке устаревших гостевых учетных записей:

  1. Мониторинг учетных записей гостей в масштабе с интеллектуальными аналитическими сведениями о неактивных гостях в вашей организации с использованием отчета о неактивных гостях. Настройте порог бездействия в зависимости от потребностей вашей организации, сузьте область действия гостевых пользователей, которые вы хотите отслеживать и определять гостевых пользователей, которые могут быть неактивными.

  2. Создайте многоэтапную проверку, в которой гости самостоятельно проверяют, нужен ли им по-прежнему доступ. Рецензент второго этапа оценивает результаты и принимает окончательное решение. Гости, которым отказано в доступе, блокируются, а затем удаляются.

  3. Создайте обзор для удаления неактивных внешних гостей. Администраторы определяют период неактивности по количеству дней. Затем, если доступ к клиенту не осуществлялся в течение указанного периода времени, они блокируют гостевые учетные записи и удаляют их. По умолчанию это не влияет на пользователей, созданных недавно. Подробные сведения, как определить неактивные учетные записи.

Используйте следующие инструкции, чтобы узнать, как улучшить мониторинг неактивных гостевых учетных записей в масштабе и создать проверки доступа, которые соответствуют этим шаблонам. Изучите рекомендации по настройке, а затем внесите необходимые изменения, соответствующие вашей среде.

Требования к лицензиям

Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. основы лицензирования в Microsoft Entra ID Governance.

Мониторинг гостевых учетных записей в масштабе с помощью неактивной гостевой аналитики

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите в раздел Управление удостоверениями>Панель мониторинга

  3. Перейдите к отчету о неактивной гостевой учетной записи, перейдя на карточку управления гостевым доступом, а затем выберите "Просмотреть неактивных гостей".

  4. Вы увидите неактивный гостевой отчет, предоставляющий аналитические сведения о неактивных гостевых пользователях на основе 90 дней бездействия. Пороговое значение имеет значение 90 дней по умолчанию, но его можно настроить с помощью параметра "Изменить порог бездействия" в зависимости от потребностей вашей организации.

  5. Следующие аналитические сведения предоставляются в рамках этого отчета:

    • Обзор гостевой учетной записи (общий объем гостей и неактивных гостей с дальнейшим категоризированием гостей, которые никогда не вошли или вошли по крайней мере один раз)
    • Распределение бездействия гостей (процент распределения гостевых пользователей на основе дней с момента последнего входа)
    • Обзор бездействия гостей (руководство по бездействию гостя для настройки порогового значения бездействия)
    • Сводка по гостевым учетным записям (экспортируемое табличное представление со сведениями обо всех гостевых учетных записях с аналитическими сведениями о состоянии их действия. Состояние действия может быть активным или неактивным на основе заданного порога бездействия)
  6. Неактивные дни вычисляются на основе даты последнего входа, если пользователь выполнил вход по крайней мере один раз. Для пользователей, которые никогда не выполнили вход, неактивные дни вычисляются на основе даты создания.

Примечание.

Отчет с гостевыми данными можно скачать, используя команду "Загрузить все данные". Каждое действие по скачиванию может занять некоторое время в зависимости от количества гостевых пользователей и позволяет выполнять скачивание для до 1 миллиона гостевых пользователей.

Создание многоэтапной проверки для самостоятельного подтверждения продолжительного доступа гостей

  1. Создайте динамическую группу для гостевых пользователей, которых вы хотите проверить. Например,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Чтобы создать проверку доступа для динамической группы, перейдите к Microsoft Entra ID > Identity Governance > Access Reviews.

  3. Выберите Новая проверка доступа.

  4. Настройте тип проверки.

    Свойство Значение
    Выбор типа проверки Команды и группы
    Область проверки Отдельные команды и группы
    Группа Выберите динамическую группу
    Область Только гостевые пользователи
    (Необязательно) Просмотр неактивных гостей Установите флажок Только неактивные пользователи (на уровне клиента).
    Введите число дней бездействия.

    Снимок экрана показывает диалоговое окно для многоэтапной проверки, где гости могут самостоятельно подтвердить непрерывный доступ.

  5. Выберите Далее: отзывы.

  6. Настройка проверок:

    Свойство Значение
    Проверка на первом этапе
    Многоэтапный обзор Установите флажок
    Выберите проверяющих Пользователи проверяют собственный доступ
    Длительность этапа (в днях) Введите число дней
    Проверка на втором этапе
    Выберите проверяющих Владельцы группы или Выбранные пользователи или группы
    Длительность этапа (в днях) Введите число дней.
    (Необязательно) Укажите резервного рецензента.
    Указание повторения проверки
    Оценка повторяемости Выберите нужный вариант в раскрывающемся списке
    Начальная дата Выберите дату
    Завершить Выберите ваше предпочтение
    Укажите проверяемых, которые должны перейти на следующий этап
    Проверяемые, переходящие на следующий этап Выберите проверяемых. Например, выберите пользователей, которые самостоятельно прошли проверку или ответили Не знаю.

    Снимок экрана: первый этап многоэтапной проверки гостей с целью самостоятельного подтверждения непрерывного доступа.

  7. Выберите Далее: параметры.

  8. Настройка параметров:

    Свойство Значение
    После завершения параметров
    Автоматическое применение результатов к ресурсу Установите флажок
    Если рецензенты не отвечают Отмена доступа
    Действие, которое будет применено к гостевым пользователям, которым было отказано в доступе Заблокировать пользователю вход в систему на 30 дней, а затем удалить его из клиента
    (Необязательно) После завершения проверки отправьте уведомление Укажите других пользователей или группы, которых необходимо уведомить.
    Включите помощники по принятию решений для рецензента
    Дополнительное содержимое для электронного сообщения рецензенту Добавление настраиваемого сообщения для рецензентов
    Все другие поля Для остальных параметров оставьте значения по умолчанию.

    Снимок экрана отображает диалоговое окно настроек для многоступенчатой проверки, где гости могут подтвердить своё дальнейшее право доступа.

  9. Выберите Далее: проверка и создание

  10. Введите имя проверки доступа. (Необязательно) Укажите описание.

  11. Нажмите кнопку создания.

Создайте ревизию для удаления неактивных внешних гостей

  1. Создайте динамическую группу для гостевых пользователей, которых вы хотите проверить. Например,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Чтобы создать проверку доступа для динамической группы, перейдите в Microsoft Entra ID > Управление удостоверениями > Проверки доступа.

  3. Выберите Новая проверка доступа.

  4. Настройте тип проверки.

    Свойство Значение
    Выбор типа проверки Команды и группы
    Область проверки Отдельные команды и группы
    Группа Выберите динамическую группу
    Область Только гостевые пользователи
    Только неактивные пользователи (на уровне клиента) Установите флажок
    Дни неактивности Введите число дней неактивности

    Примечание.

    Настроенное время неактивности не будет оказывать влияния на недавно созданных пользователей. В ходе проверки доступа система определит, был ли пользователь создан в настраиваемом временном интервале, и проигнорирует пользователей, которые не существовали по крайней мере в течение этого времени. Например, если задано время бездействия равное 90 дням, а гостевой пользователь был создан или приглашен менее 90 дней назад, то проверка этого гостевого пользователя не выполняется. Это гарантирует, что гости смогут выполнить вход один раз перед удалением.

    Снимок экрана: диалоговое окно типа проверки для удаления неактивных внешних гостей.

  5. Выберите Далее: отзывы.

  6. Настройка проверок:

    Свойство Значение
    Указание проверяющих
    Выберите проверяющих Выберите владельцев групп, пользователя или группу.
    (Необязательно) Чтобы процесс по-прежнему выполнялся автоматически, выберите рецензента, который не будет предпринимать никаких действий.
    Указание повторения проверки
    Длительность (в днях) Введите или выберите значение в соответствии с вашими предпочтениями
    Проверка регулярности Выберите нужный вариант в раскрывающемся списке
    Начальная дата Выберите дату
    Завершить Выбрать параметр.
  7. Выберите Далее: параметры.

    Снимок экрана: диалоговое окно

  8. Настройка параметров:

    Свойство Значение
    После завершения параметров
    Автоматическое применение результатов к ресурсу Установите флажок
    Если отзывы не отвечают Отмена доступа
    Действие, которое будет применено к гостевым пользователям, которым было отказано в доступе Заблокировать пользователю вход в систему на 30 дней, а затем удалить его из клиента
    Включите помощники по принятию решений для рецензента
    Отсутствие входа в систему в течение 30 дней Установите флажок
    Все другие поля Установите или снимите флажки в соответствии с вашими предпочтениями.

    Снимок экрана: диалоговое окно

  9. Выберите Далее: Проверка + Создание.

  10. Введите имя проверки доступа. (Необязательно) Укажите описание.

  11. Нажмите кнопку создания.

Гостевые пользователи, которые не входят в клиент в течение настроенного числа дней, блокируются на 30 дней, а затем удаляются. После удаления можно восстановить гостей в течение 30 дней, после чего потребуется новое приглашение.

Примечание.

Если решения по проверке доступа еще не применены, api accessReviewInstance: stopApplyDecisions можно использовать для остановки активных принятия решений.