Dela via

Övervaka och rensa inaktuella gästkonton med hjälp av åtkomstgranskningar

  • Artikel

När användarna samarbetar med externa partner är det möjligt att många gästkonton skapas i Microsoft Entra-klienter över tid. När samarbetet upphör och användarna inte längre kommer åt din klientorganisation kan gästkontona bli inaktuella. Administratörer kan övervaka gästkonton i stor skala med hjälp av inaktiva gästinsikter. Administratörer kan också använda åtkomstgranskningar för att automatiskt granska inaktiva gästanvändare, blockera dem från att logga in och ta bort dem från katalogen.

Läs mer om hur du hanterar inaktiva användarkonton i Microsoft Entra-ID.

Det finns några rekommenderade mönster som är effektiva vid övervakning och rensning av inaktuella gästkonton:

  1. Övervaka gästkonton i stor skala med intelligenta insikter om inaktiva gäster i din organisation med hjälp av inaktiv gästrapport. Anpassa tröskelvärdet för inaktivitet beroende på organisationens behov, begränsa omfattningen för gästanvändare som du vill övervaka och identifiera gästanvändare som kan vara inaktiva.

  2. Skapa en granskning i flera steg där gästerna själv intygar om de fortfarande behöver åtkomst. En granskare i andra steget utvärderar resultaten och fattar ett slutgiltigt beslut. Gäster med nekad åtkomst inaktiveras och tas senare bort.

  3. Skapa en granskning för att ta bort inaktiva externa gäster. Administratörer definierar inaktiva som dagar. De inaktiverar och tar senare bort gäster som inte loggar in på klientorganisationen inom den tidsramen. Som standard påverkar detta inte nyligen skapade användare. Läs mer om hur du identifierar inaktiva konton.

Använd följande instruktioner för att lära dig hur du förbättrar övervakningen av inaktiva gästkonton i stor skala och skapar åtkomstgranskningar som följer dessa mönster. Överväg konfigurationsrekommendationerna och gör sedan nödvändiga ändringar som passar din miljö.

Licenskrav

För att kunna använda den här funktionen krävs Microsoft Entra ID-styrning eller Microsoft Entra Suite-licenser. Information om hur du hittar rätt licens för dina krav finns i Grunderna för Microsoft Entra ID-styrningslicensiering.

Övervaka gästkonton i stor skala med inaktiva gästinsikter

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

  1. Logga in på administrationscentret för Microsoft Entra.

  2. Bläddra till instrumentpanelen för identitetsstyrning>

  3. Få åtkomst till den inaktiva gästkontorapporten genom att gå till styrningskortet för gäståtkomst och välj sedan Visa inaktiva gäster.

  4. Du ser den inaktiva gästrapporten som ger insikter om inaktiva gästanvändare baserat på 90 dagars inaktivitet. Tröskelvärdet är inställt på 90 dagar som standard, men kan konfigureras med hjälp av "Tröskelvärde för redigering av inaktivitet" baserat på organisationens behov.

  5. Följande insikter tillhandahålls som en del av den här rapporten:

    • Översikt över gästkonto (totalt antal gäster och inaktiva gäster med ytterligare kategorisering av gäster som aldrig har loggat in eller loggat in minst en gång)
    • Distribution av gästinaktivitet (Procentuell fördelning av gästanvändare baserat på dagar sedan den senaste inloggningen)
    • Översikt över gästaktivitet (vägledning för gästaktivitet för att konfigurera tröskelvärde för inaktivitet)
    • Sammanfattning av gästkonton (en exporterbar tabellvy med information om alla gästkonton med insikter om deras aktivitetstillstånd. Aktivitetstillståndet kan vara aktivt eller inaktivt baserat på det konfigurerade tröskelvärdet för inaktivitet)

  6. De inaktiva dagarna beräknas baserat på senaste inloggningsdatum om användaren har loggat in minst en gång. För användare som aldrig har loggat in beräknas de inaktiva dagarna baserat på skapandedatum.

Kommentar

Rapporten med gästinsikter kan laddas ned med hjälp av "Ladda ned alla data". Varje åtgärd att ladda ned kan ta lite tid beroende på antalet gästanvändare och möjliggör nedladdning för upp till 1 miljon gästanvändare.

Skapa en granskning i flera steg för gäster för att självestering av fortsatt åtkomst

  1. Skapa en dynamisk grupp för de gästanvändare som du vill granska. Ett exempel:

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Om du vill skapa en åtkomstgranskning för den dynamiska gruppen går du till Åtkomstgranskningar för Microsoft Entra-ID-identitetsstyrning > >.

  3. Välj Ny åtkomstgranskning.

  4. Konfigurera granskningstyp.

    Property Värde
    Välj vad som ska granskas Teams + Grupper
    Granska omfång Välj Teams + grupper
    Grupp Välj den dynamiska gruppen
    Omfattning Endast gästanvändare
    (Valfritt) Granska inaktiva gäster Markera kryssrutan för Inaktiva användare (endast på klientorganisationsnivå).
    Ange antalet dagar som utgör inaktivitet.

    Skärmbild som visar dialogrutan granskningstyp för granskning i flera steg för gäster att själv intyga fortsatt åtkomst.

  5. Välj Nästa: Recensioner.

  6. Konfigurera granskningar:

    Property Värde
    Granskning i första stadiet
    Granskning i flera steg Markera kryssrutan
    Välj granskare Användare granskar sin egen åtkomst
    Fasvaraktighet (i dagar) Ange antalet dagar
    Granskning i andra stadiet
    Välj granskare Gruppägare eller valda användare eller grupper
    Fasvaraktighet (i dagar) Ange antalet dagar.
    (Valfritt) Ange en reservgranskare.
    Ange återkommande granskning
    Granska upprepning Välj din inställning i listrutan
    Startdatum Välj ett datum
    Slut Välj dina inställningar
    Ange granskare för att gå till nästa steg
    Granskare går till nästa steg Välj granskare. Välj till exempel användare som självgodkänt eller svarat Vet inte.

    Skärmbild som visar den första fasgranskningen för granskning i flera steg för gäster att själv bekräfta fortsatt åtkomst.

  7. Välj Nästa: Inställningar.

  8. Konfigurera inställningar:

    Property Värde
    När inställningarna har slutförts
    Tillämpa resultat automatiskt på resursen Markera kryssrutan
    Om granskare inte svarar Ta bort åtkomst
    Åtgärd som ska tillämpas på nekade gästanvändare Blockera användaren från att logga in i 30 dagar och ta sedan bort användaren från klientorganisationen
    (Valfritt) I slutet av granskningen skickar du ett meddelande till Ange andra användare eller grupper som ska meddelas.
    Aktivera beslutshjälpare för granskare
    Ytterligare innehåll för granskarens e-post Lägga till ett anpassat meddelande för granskare
    Alla andra fält Låt standardvärdena vara kvar för de återstående alternativen.

    Skärmbild som visar inställningsdialogrutan för granskning i flera steg för gäster för att självestering av fortsatt åtkomst.

  9. Välj Nästa: Granska + skapa

  10. Ange ett åtkomstgranskningsnamn. (Valfritt) ange beskrivning.

  11. Välj Skapa.

Skapa en granskning för att ta bort inaktiva externa gäster

  1. Skapa en dynamisk grupp för de gästanvändare som du vill granska. Ett exempel:

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Om du vill skapa en åtkomstgranskning för den dynamiska gruppen går du till Åtkomstgranskningar för Microsoft Entra ID ID-identitetsstyrning > >.

  3. Välj Ny åtkomstgranskning.

  4. Konfigurera granskningstyp:

    Property Värde
    Välj vad som ska granskas Teams + Grupper
    Granska omfång Välj Teams + grupper
    Grupp Välj den dynamiska gruppen
    Omfattning Endast gästanvändare
    Inaktiva användare (endast på klientorganisationsnivå) Markera kryssrutan
    Inaktiva dagar Ange antalet dagar som utgör inaktivitet

    Kommentar

    Den inaktivitetstid som du konfigurerar påverkar inte nyligen skapade användare. Åtkomstgranskningen kontrollerar om användaren har skapats inom den tidsram som du konfigurerar och ignorerar användare som inte har funnits under minst den tiden. Om du till exempel anger inaktivitetstiden som 90 dagar och en gästanvändare skapades/bjöds in för mindre än 90 dagar sedan, kommer gästanvändaren inte att omfattas av åtkomstgranskningen. Detta säkerställer att gäster kan logga in en gång innan de tas bort.

    Skärmbild som visar dialogrutan granskningstyp för att ta bort inaktiva externa gäster.

  5. Välj Nästa: Recensioner.

  6. Konfigurera granskningar:

    Property Värde
    Ange granskare
    Välj granskare Välj Gruppägare eller en användare eller grupp.
    (Valfritt) Om du vill att processen ska förbli automatiserad väljer du en granskare som inte vidtar några åtgärder.
    Ange återkommande granskning
    Varaktighet (i dagar) Ange eller välj ett värde baserat på dina önskemål
    Granska upprepning Välj din inställning i listrutan
    Startdatum Välj ett datum
    Slut Välj ett alternativ

  7. Välj Nästa: Inställningar.

    Skärmbild som visar dialogrutan Recensioner för att ta bort inaktiva externa gäster.

  8. Konfigurera inställningar:

    Property Värde
    När inställningarna har slutförts
    Tillämpa resultat automatiskt på resursen Markera kryssrutan
    Om recensioner inte svarar Ta bort åtkomst
    Åtgärd som ska tillämpas på nekade gästanvändare Blockera användaren från att logga in i 30 dagar och ta sedan bort användaren från klientorganisationen
    Aktivera beslutshjälpare för granskare
    Ingen inloggning inom 30 dagar Markera kryssrutan
    Alla andra fält Markera/avmarkera rutorna baserat på dina önskemål.

    Skärmbild som visar dialogrutan Inställningar för att ta bort inaktiva externa gäster.

  9. Välj Nästa: Granska + skapa.

  10. Ange ett åtkomstgranskningsnamn. (Valfritt) ange beskrivning.

  11. Välj Skapa.

Gästanvändare som inte loggar in på klientorganisationen under det antal dagar som du har konfigurerat inaktiveras i 30 dagar och tas sedan bort. Efter borttagningen kan du återställa gäster i upp till 30 dagar, varefter en ny inbjudan behövs.

Kommentar

Om besluten om åtkomstgranskning ännu inte tillämpas kan API-åtkomstenReviewInstance : stopApplyDecisions användas för att stoppa aktiva tillämpningsbeslut.