共用方式為

使用存取權檢閱來監視和清除過時的來賓帳戶

  • 發行項

當使用者與外部合作夥伴共同作業時,隨著時間推移,可能會在 Microsoft Entra 租用戶中建立許多來賓帳戶。 當協作結束且使用者不再存取您的租戶時,來賓帳戶可能會變成無效。 系統管理員可以使用非活躍來賓洞察大規模監控來賓帳戶。 系統管理員也可以使用存取權檢閱,自動檢閱非使用中來賓使用者、封鎖其登入,然後再從目錄中刪除這些使用者。

如需深入了解,請參閱如何管理 Microsoft Entra ID 中的非使用中使用者帳戶

監視和清除過時的來賓帳戶時,您可以使用下列有效的建議模式:

  1. 使用非活躍來賓報告,大規模監控來賓帳戶,並提供組織中非活躍來賓的智慧洞察。 根據您組織的需求,自訂非使用中閾值,縮小您想要監視的來賓使用者範圍,以及識別可能非使用中的來賓使用者。

  2. 建立多階段審核,讓使用者自行確認是否仍需要存取權。 第二階段檢閱者會評估結果並做出最終決策。 系統會停用拒絕存取的來賓,並在稍後刪除。

  3. 建立審查以移除非使用中的外部來賓。 系統管理員會以天數定義非使用中期間。 他們會停用並在稍後刪除未在規定時間內登入該租戶系統的來賓。 根據預設,這不會影響最近建立的使用者。 進一步了解如何識別非使用中帳戶

使用下列指示來了解如何大規模增強非使用中來賓帳戶的監視,並建立遵循這些模式的存取權檢閱。 請考慮設定建議,然後進行符合環境的必要變更。

授權需求

使用此功能需要 Microsoft Entra ID 控管或 Microsoft Entra 套件授權。 若要找到適合您需求的授權,請參閱 Microsoft Entra ID 控管授權基本概念

使用非使用來賓洞察大規模地監控來賓帳戶

  1. 登入 Microsoft Entra 系統管理中心。

  2. 瀏覽至 身分識別治理>儀表板

  3. 瀏覽至來賓存取控管卡片,然後選取 [檢視非使用中來賓],以存取非使用中來賓帳戶報告。

  4. 您將看到非活躍來賓的報告,該報告會根據 90 天的非活躍狀態提供關於非活躍來賓使用者的深入見解。 閾值會預設設定為 90 天,但可根據組織的需求使用「編輯非活動狀態閾值」進行設定。

  5. 下列深入解析會作為此報告的一部分提供:

    • 來賓帳戶概觀(包括來賓和未啟用來賓帳戶的總數,並進一步分類為從未登入過的來賓和至少登入過一次的來賓)
    • 來賓使用者不活躍狀態分佈(根據上次登入後的天數計算來賓使用者的百分比分佈)
    • 來賓非使用狀態總覽(來賓非使用狀態閾值設定指南)
    • 來賓帳戶摘要 (可匯出的表格式檢視,其中包含所有來賓帳戶的詳細資料,以及其活動狀態的深入解析。根據設定的非使用狀態閾值,活動狀態可以是使用中或非使用中)

  6. 如果使用者至少登入一次,則會根據上次登入日期計算非使用中的天數。 對於從未登入的使用者,會根據建立日期計算非使用中的天數。

注意

您可使用「下載所有資料」來下載具有來賓深入解析的報告。 每次下載動作可能需要一些時間,這取決於來賓使用者的數量,最多可供 1 百萬位來賓使用者下載。

建立多階段審核,讓訪客可以自我確認持續存取權限

  1. 針對您要檢閱的來賓使用者,建立動態群組。 例如,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. 若要針對動態群組建立存取權檢閱,請瀏覽至 [Microsoft Entra ID] > [身分識別治理] > [存取權檢閱]

  3. 選取新增存取權檢閱

  4. 設定檢閱類型。

    屬性 價值
    選取待檢閱的項目 小組 + 群組
    檢閱範圍 選取小組 + 群組
    群組 選取動態群組
    範圍 僅限來賓使用者
    (選用) 檢閱不活躍的來賓 勾選「僅限非使用中使用者,租用戶層級」方塊。
    輸入構成非使用狀態的天數。

    螢幕擷取畫面:顯示多階段審核的審核類型對話方塊,讓來賓可以自證持續存取權限。

  5. 選擇下一步:檢閱

  6. 設定檢閱:

    屬性
    第一階段檢閱
    多階段檢閱 勾選框
    選取檢閱者 使用者檢閱自身存取權
    階段持續時間 (天) 輸入天數
    第二階段檢閱
    選擇檢閱者 群組擁有者選取的使用者或群組
    階段持續時間 (天) 輸入天數。
    (選用) 指定後援檢閱者。
    指定檢閱週期
    檢閱頻率 從下拉式清單選取您的喜好設定
    開始日期 選取日期
    結束 選擇您的偏好
    指定檢閱對象前往下一個階段
    受評者正在進入下一個階段 選取檢閱對象。 例如,選取自我核准或回應不知道的使用者。

    截圖顯示多階段檢閱的第一階段,以便來賓自我證明持續存取權限。

  7. 選取 [下一步:設定]

  8. 配置設定:

    財產 價值
    完成後的設定
    自動將結果套用至資源 勾選方塊
    若檢閱者未回應 移除存取權
    對被拒絕的來賓使用者應採取的措施 讓使用者無法登入 30 天,然後從該租用戶移除使用者
    (選用) 在檢閱結束時,傳送通知給 指定要通知的其他使用者或群組。
    啟用檢閱者決策協助程式
    檢閱者電子郵件的其他內容 為檢閱者新增自訂訊息
    所有其他欄位 保留其餘選項的預設值。

    螢幕擷取畫面:顯示多階段檢閱的設定對話方塊,讓來賓可以自證持續存取。

  9. 選取 [下一步:檢閱 + 建立]

  10. 輸入存取權檢閱名稱。 (選用) 提供描述。

  11. 選取 建立

建立檢閱以移除非使用中的外部來賓

  1. 針對您要檢閱的來賓使用者,建立動態群組。 例如,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. 若要針對動態群組建立存取權檢閱,請瀏覽至 [Microsoft Entra ID] > [身分識別治理] > [存取權檢閱]

  3. 選取 新增存取權審查

  4. 設定檢閱類型:

    特性 價值
    選取待檢閱的項目 小組 + 群組
    檢閱範圍 選取小組 + 群組
    群組 選取動態群組
    範圍 僅限來賓使用者
    僅限租戶層級的非活躍使用者 核取方塊
    非使用中的天數 輸入構成非使用狀態的天數

    注意

    您設定的非使用狀態時間不會影響最近建立的使用者。 存取審核會檢查使用者是否在您設定的時間範圍內建立,並忽略那些尚未存在滿該時間範圍的使用者。 例如,如果您將非使用中狀態時間設定為 90 天,且來賓使用者的建立/邀請時間不到 90 天,則該來賓使用者將不在存取權檢閱的範圍內。 這可確保來賓可以在移除之前登入一次。

    螢幕擷取畫面:顯示用於移除非使用中外部訪客的檢視類型對話方塊。

  5. 選取 下一步:檢閱

  6. 設定檢閱:

    屬性
    指定檢閱者
    選擇檢閱者 選取 [群組擁有者] 或使用者或群組。
    (選用) 若要讓程序保持自動化,請選取不會採取任何動作的檢閱者。
    指定檢閱週期
    持續時間 (天) 根據您的喜好設定輸入或選取值
    檢閱週期 從下拉式清單選取您的喜好設定
    開始日期 選取日期
    結束 選擇某個選項

  7. 選取 [下一步:設定]

    螢幕擷取畫面顯示用於移除未啟用外部來賓的「檢閱」對話方塊。

  8. 配置設定:

    財產 價值
    完成設定
    自動將結果套用至資源 核取方塊
    如果評論沒有回應 移除存取權
    針對被拒絕的來賓使用者採取的行動 讓使用者無法登入 30 天,然後從該租用戶移除使用者
    啟用檢閱者決策協助程式
    30 天內沒有任何登入 核取方塊
    所有其他欄位 根據您的喜好選取或取消選取方框。

    螢幕擷取畫面:顯示要移除非使用中外部來賓的 [設定] 對話方塊。

  9. 請選取下一步:檢視 + 建立

  10. 輸入存取權檢閱名稱。 (選用) 提供描述。

  11. 選取 建立

未在您設定天數內登入租戶的來賓使用者將會被停用 30 天,然後刪除。 刪除之後,您可以在最多 30 天內還原來賓,超過此期限則需要新的邀請。

注意

如果尚未套用存取權檢閱決策,API accessReviewInstance:stopApplyDecisions 可用來停止作用中的套用決策。