使用访问评审监视和清理过时的来宾帐户

当用户与外部合作伙伴协作时,随着时间的推移,Microsoft Entra 租户中可能会创建许多来宾帐户。 协作结束时,用户不再访问租户,来宾帐户可能已过期。 管理员可以使用非活动来宾见解大规模监视来宾帐户。 管理员也可以使用“访问评审”来自动评审非活动来宾用户,阻止他们登录,并且将其从目录中删除。

请详细了解如何管理 Microsoft Entra ID 中的非活动用户帐户

有一些建议的模式在监视和清理过时来宾帐户方面非常有效:

  1. 使用非活动来宾报表对来宾账户进行大规模监视,获取对组织中非活动帐户的智能见解。 根据组织的需求自定义非活动阈值,缩小要监视的来宾用户的范围,并识别可能处于非活动状态的来宾用户。

  2. 创建多阶段评审,以便来宾自行证明他们是否仍需要访问权限。 第二阶段审阅者评估结果并做出最终决策。 被拒绝访问的来宾将被禁用,并在以后删除。

  3. 创建评审以删除非活动外部来宾。 管理员以天数的形式定义“非活动”。 他们禁用未在该时间范围内登录到租户的来宾,并在以后将其删除。 默认情况下,这不会影响最近创建的用户。 详细了解如何识别非活动帐户

使用以下说明了解如何大规模增强对非活动来宾帐户的监视,并创建遵循这些模式的访问评审。 请考虑配置建议,然后做出适合环境的所需更改。

许可要求

使用此功能需要 Microsoft Entra ID 治理或 Microsoft Entra 套件许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。

使用非活动来宾见解大规模监视来宾帐户

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 登录 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“仪表板

  3. 导航到“来宾访问治理”卡片,然后选择“查看非活动来宾”来访问非活动来宾帐户报表。

  4. 你将看到非活动来宾报表,它将基于 90 天不活动的情况提供关于非活动来宾用户的见解。 阈值默认设置为 90 天,但可以根据组织的需要使用“编辑非活动阈值”以进行配置。

  5. 以下见解作为此报表的一部分提供:

    • 来宾帐户概述(来宾总数和非活动来宾数,并进一步分为从未登录或至少登录过一次的来宾)
    • 来宾非活动分布(基于上次登录以来的天数的来宾用户的百分比分布)
    • 来宾非活动概述(来宾非活动指南,用于配置非活动阈值)
    • 来宾帐户摘要(一个可导出的表格视图,其中包含所有来宾帐户的详细信息,还有对其活动状态的见解)。根据所配置的非活动阈值,活动状态可能为“活动”或“非活动”)
  6. 如果用户至少登录过一次,则根据上次登录日期计算非活动天数。 对于从未登录的用户,非活动天数是根据创建日期计算的。

注意

可使用“下载所有数据”来下载具有来宾见解的报告。 每个下载操作都可能需要一些时间,具体取决于来宾用户的计数,此操作还支持为多达 100 万名来宾用户进行下载。

创建多阶段评审,使来宾可以自行证明其需要持续访问

  1. 为要评审的来宾用户创建动态组。 例如,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. 若要为动态组创建访问评审,请导航到“Microsoft Entra ID”>“Identity Governance”>“访问评审”。

  3. 选择“新建访问评审”。

  4. 配置“评审类型”。

    属性
    选择要评审的内容 团队和组
    评审范围 选择“团队 + 组”
    选择动态组
    范围 仅限来宾用户
    (可选)评审非活动来宾 选中“仅限非活动用户(在租户级别)”对应的框。
    输入形成非活动状态的天数。

    该屏幕截图显示多阶段评审的评审类型对话框,用于使来宾可以自行证明其需要持续访问。

  5. 选择“下一步: 评审”。

  6. 配置评审:

    属性
    第一阶段评审
    多阶段审阅 选中对应框
    选择审阅者 “用户评审自己的访问”
    阶段持续时间(以天为单位) 输入天数
    第二阶段评审
    选择审阅者 “组所有者”或“选定的用户或组”
    阶段持续时间(以天为单位) 输入天数。
    (可选)指定回退审阅者。
    指定评审的重复周期
    评审重复周期 从下拉列表中选择首选项
    开始日期 选择日期
    结束 选择首选项
    指定受审阅人以转到下一阶段
    转到下一阶段的受审阅人 选择受审阅人。 例如,选择已自我批准或响应了“不知道”的用户。

    该屏幕截图显示多阶段评审的第一阶段评审,用于使来宾可以自行证明其需要持续访问。

  7. 选择“下一步: 设置”。

  8. 配置设置:

    属性
    完成后的设置
    自动向资源应用结果 选中对应框
    如果审阅者未响应 删除访问权限
    对被拒绝的来宾用户应用的操作 在 30 天内阻止用户登录,然后从租户中删除用户
    (可选)审阅结束时,将通知发送到 指定要通知的其他用户或组。
    启用审阅者决策帮助程序
    审阅者电子邮件的其他内容 为审阅者添加自定义消息
    所有其他字段 将其余选项保留为默认值。

    该屏幕截图显示多阶段评审的设置对话框,用于使来宾可以自行证明其需要持续访问。

  9. 选择“下一步: 查看 + 创建”

  10. 输入访问评审名称。 (可选)提供说明。

  11. 选择“创建” 。

创建评审以删除非活动外部来宾

  1. 为要评审的来宾用户创建动态组。 例如,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. 若要为动态组创建访问评审,请导航到“Microsoft Entra ID”>“Identity Governance”>“访问评审”。

  3. 选择“新建访问评审”。

  4. 配置“评审类型”:

    属性
    选择要评审的内容 团队和组
    评审范围 选择“团队 + 组”
    选择动态组
    范围 仅限来宾用户
    仅限非活动用户(在租户级别) 选中对应框
    不活动天数 输入形成非活动状态的天数

    备注

    配置的非活动状态时间不会影响最近创建的用户。 “访问评审”将检查用户是否已在你配置的时间范围内创建,并忽略其存在时间短于该时间量的用户。 例如,如果将非活动时间设置为 90 天,并且创建/邀请来宾用户的时间距今短于 90 天,则该来宾用户将不在访问评审范围内。 这确保了来宾在被删除之前可以登录一次。

    该屏幕截图显示用于删除非活动外部来宾的评审类型对话框。

  5. 选择“下一步: 评审”。

  6. 配置评审:

    属性
    指定审阅者
    选择审阅者 选择“组所有者”或用户或组。
    (可选)若要使流程保持自动化,请选择不采取任何操作的审阅者。
    指定评审的重复周期
    持续时间(以天为单位) 根据你的喜好输入或选择值
    评审重复周期 从下拉列表中选择首选项
    开始日期 选择日期
    结束 选择一个选项
  7. 选择“下一步: 设置”。

    该屏幕截图显示用于删除非活动外部来宾的“评审”对话框。

  8. 配置设置:

    属性
    完成后的设置
    自动向资源应用结果 选中对应框
    如果评审未响应 删除访问权限
    对被拒绝的来宾用户应用的操作 在 30 天内阻止用户登录,然后从租户中删除用户
    启用审阅者决策帮助程序
    30 天内未登录 选中对应框
    所有其他字段 根据你的喜好选中/取消选中这些框。

    该屏幕截图显示用于删除非活动外部来宾的“设置”对话框。

  9. 在完成时选择“下一步:查看 + 创建”。

  10. 输入访问评审名称。 (可选)提供说明。

  11. 选择“创建” 。

在你配置的天数内未登录到租户的来宾用户将被禁用 30 天,然后被删除。 删除后,在最多 30 天的时间内可以还原来宾,之后便需要新的邀请。

注意

如果尚未应用访问评审决策,则可以使用 API accessReviewInstance: stopApplyDecisions 来停止活动的应用决策。