使用访问评审监视和清理过时的来宾帐户
当用户与外部合作伙伴协作时,随着时间的推移,Microsoft Entra 租户中可能会创建许多来宾帐户。 协作结束时,用户不再访问租户,来宾帐户可能已过期。 管理员可以使用非活动来宾见解大规模监视来宾帐户。 管理员也可以使用“访问评审”来自动评审非活动来宾用户,阻止他们登录,并且将其从目录中删除。
请详细了解如何管理 Microsoft Entra ID 中的非活动用户帐户。
有一些建议的模式在监视和清理过时来宾帐户方面非常有效:
使用非活动来宾报表对来宾账户进行大规模监视,获取对组织中非活动帐户的智能见解。 根据组织的需求自定义非活动阈值,缩小要监视的来宾用户的范围,并识别可能处于非活动状态的来宾用户。
创建多阶段评审,以便来宾自行证明他们是否仍需要访问权限。 第二阶段审阅者评估结果并做出最终决策。 被拒绝访问的来宾将被禁用,并在以后删除。
创建评审以删除非活动外部来宾。 管理员以天数的形式定义“非活动”。 他们禁用未在该时间范围内登录到租户的来宾,并在以后将其删除。 默认情况下,这不会影响最近创建的用户。 详细了解如何识别非活动帐户。
使用以下说明了解如何大规模增强对非活动来宾帐户的监视,并创建遵循这些模式的访问评审。 请考虑配置建议,然后做出适合环境的所需更改。
许可要求
使用此功能需要 Microsoft Entra ID 治理或 Microsoft Entra 套件许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。
使用非活动来宾见解大规模监视来宾帐户
提示
本文中的步骤可能因开始使用的门户而略有不同。
浏览到“标识治理”>“仪表板”
导航到“来宾访问治理”卡片,然后选择“查看非活动来宾”来访问非活动来宾帐户报表。
你将看到非活动来宾报表,它将基于 90 天不活动的情况提供关于非活动来宾用户的见解。 阈值默认设置为 90 天,但可以根据组织的需要使用“编辑非活动阈值”以进行配置。
以下见解作为此报表的一部分提供:
- 来宾帐户概述(来宾总数和非活动来宾数,并进一步分为从未登录或至少登录过一次的来宾)
- 来宾非活动分布(基于上次登录以来的天数的来宾用户的百分比分布)
- 来宾非活动概述(来宾非活动指南,用于配置非活动阈值)
- 来宾帐户摘要(一个可导出的表格视图,其中包含所有来宾帐户的详细信息,还有对其活动状态的见解)。根据所配置的非活动阈值,活动状态可能为“活动”或“非活动”)
如果用户至少登录过一次,则根据上次登录日期计算非活动天数。 对于从未登录的用户,非活动天数是根据创建日期计算的。
注意
可使用“下载所有数据”来下载具有来宾见解的报告。 每个下载操作都可能需要一些时间,具体取决于来宾用户的计数,此操作还支持为多达 100 万名来宾用户进行下载。
创建多阶段评审,使来宾可以自行证明其需要持续访问
为要评审的来宾用户创建动态组。 例如,
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)
若要为动态组创建访问评审,请导航到“Microsoft Entra ID”>“Identity Governance”>“访问评审”。
选择“新建访问评审”。
配置“评审类型”。
属性 值 选择要评审的内容 团队和组 评审范围 选择“团队 + 组” 组 选择动态组 范围 仅限来宾用户 (可选)评审非活动来宾 选中“仅限非活动用户(在租户级别)”对应的框。
输入形成非活动状态的天数。选择“下一步: 评审”。
配置评审:
属性 值 第一阶段评审 多阶段审阅 选中对应框 选择审阅者 “用户评审自己的访问” 阶段持续时间(以天为单位) 输入天数 第二阶段评审 选择审阅者 “组所有者”或“选定的用户或组” 阶段持续时间(以天为单位) 输入天数。
(可选)指定回退审阅者。指定评审的重复周期 评审重复周期 从下拉列表中选择首选项 开始日期 选择日期 结束 选择首选项 指定受审阅人以转到下一阶段 转到下一阶段的受审阅人 选择受审阅人。 例如,选择已自我批准或响应了“不知道”的用户。 选择“下一步: 设置”。
配置设置:
属性 值 完成后的设置 自动向资源应用结果 选中对应框 如果审阅者未响应 删除访问权限 对被拒绝的来宾用户应用的操作 在 30 天内阻止用户登录,然后从租户中删除用户 (可选)审阅结束时,将通知发送到 指定要通知的其他用户或组。 启用审阅者决策帮助程序 审阅者电子邮件的其他内容 为审阅者添加自定义消息 所有其他字段 将其余选项保留为默认值。 选择“下一步: 查看 + 创建”
输入访问评审名称。 (可选)提供说明。
选择“创建” 。
创建评审以删除非活动外部来宾
为要评审的来宾用户创建动态组。 例如,
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)
若要为动态组创建访问评审,请导航到“Microsoft Entra ID”>“Identity Governance”>“访问评审”。
选择“新建访问评审”。
配置“评审类型”:
属性 值 选择要评审的内容 团队和组 评审范围 选择“团队 + 组” 组 选择动态组 范围 仅限来宾用户 仅限非活动用户(在租户级别) 选中对应框 不活动天数 输入形成非活动状态的天数 备注
配置的非活动状态时间不会影响最近创建的用户。 “访问评审”将检查用户是否已在你配置的时间范围内创建,并忽略其存在时间短于该时间量的用户。 例如,如果将非活动时间设置为 90 天,并且创建/邀请来宾用户的时间距今短于 90 天,则该来宾用户将不在访问评审范围内。 这确保了来宾在被删除之前可以登录一次。
选择“下一步: 评审”。
配置评审:
属性 值 指定审阅者 选择审阅者 选择“组所有者”或用户或组。
(可选)若要使流程保持自动化,请选择不采取任何操作的审阅者。指定评审的重复周期 持续时间(以天为单位) 根据你的喜好输入或选择值 评审重复周期 从下拉列表中选择首选项 开始日期 选择日期 结束 选择一个选项 选择“下一步: 设置”。
配置设置:
属性 值 完成后的设置 自动向资源应用结果 选中对应框 如果评审未响应 删除访问权限 对被拒绝的来宾用户应用的操作 在 30 天内阻止用户登录,然后从租户中删除用户 启用审阅者决策帮助程序 30 天内未登录 选中对应框 所有其他字段 根据你的喜好选中/取消选中这些框。 在完成时选择“下一步:查看 + 创建”。
输入访问评审名称。 (可选)提供说明。
选择“创建” 。
在你配置的天数内未登录到租户的来宾用户将被禁用 30 天,然后被删除。 删除后,在最多 30 天的时间内可以还原来宾,之后便需要新的邀请。
注意
如果尚未应用访问评审决策,则可以使用 API accessReviewInstance: stopApplyDecisions 来停止活动的应用决策。