Поделиться через


Мониторинг и очистка устаревших гостевых учетных записей с помощью проверок доступа

При совместной работе пользователей с внешними партнерами возможно, что многие гостевые учетные записи создаются в клиентах Microsoft Entra со временем. Когда совместная работа заканчивается и пользователи больше не получают доступ к вашему клиенту, гостевые учетные записи могут стать устаревшими. Администраторы могут отслеживать гостевые учетные записи в масштабе с помощью неактивной гостевой аналитики. Администраторы также могут использовать проверки доступа для автоматической проверки неактивных гостевых пользователей, блокировать вход и удалять их из каталога.

Узнайте больше об управлении неактивными учетными записями пользователей в идентификаторе Microsoft Entra.

Существует несколько рекомендуемых шаблонов, которые эффективны при мониторинге и очистке устаревших гостевых учетных записей:

  1. Мониторинг гостевых учетных записей в масштабе с помощью интеллектуальной аналитики неактивных гостей в организации с помощью неактивного гостевого отчета. Настройте порог бездействия в зависимости от потребностей вашей организации, сузьте область действия гостевых пользователей, которые вы хотите отслеживать и определять гостевых пользователей, которые могут быть неактивными.

  2. Создайте многоэтапную проверку, в которой гости самостоятельно проверяют, нужен ли им по-прежнему доступ. Рецензент второго этапа оценивает результаты и принимает окончательное решение. Гости, которым отказано в доступе, блокируются, а затем удаляются.

  3. Создайте проверку для удаления неактивных внешних гостей. Администраторы определяют период неактивности по количеству дней. Затем, если доступ к клиенту не осуществлялся в течение указанного периода времени, они блокируют гостевые учетные записи и удаляют их. По умолчанию это не влияет на пользователей, созданных недавно. Подробные сведения, как определить неактивные учетные записи.

Используйте следующие инструкции, чтобы узнать, как улучшить мониторинг неактивных гостевых учетных записей в масштабе и создать проверки доступа, которые соответствуют этим шаблонам. Изучите рекомендации по настройке, а затем внесите необходимые изменения, соответствующие вашей среде.

Требования к лицензиям

Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.

Мониторинг гостевых учетных записей в масштабе с помощью неактивной гостевой аналитики

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите на панель мониторинга управления удостоверениями>

  3. Перейдите к отчету о неактивной гостевой учетной записи, перейдя на карточку управления гостевым доступом, а затем выберите "Просмотреть неактивных гостей".

  4. Вы увидите неактивный гостевой отчет, предоставляющий аналитические сведения о неактивных гостевых пользователях на основе 90 дней бездействия. Пороговое значение имеет значение 90 дней по умолчанию, но его можно настроить с помощью параметра "Изменить порог бездействия" в зависимости от потребностей вашей организации.

  5. Следующие аналитические сведения предоставляются в рамках этого отчета:

    • Обзор гостевой учетной записи (общий объем гостей и неактивных гостей с дальнейшим категоризированием гостей, которые никогда не вошли или вошли по крайней мере один раз)
    • Распределение бездействия гостей (процент распределения гостевых пользователей на основе дней с момента последнего входа)
    • Обзор бездействия гостей (руководство по бездействию гостя для настройки порогового значения бездействия)
    • Сводка по гостевым учетным записям (экспортируемое табличное представление со сведениями обо всех гостевых учетных записях с аналитическими сведениями о состоянии их действия. Состояние действия может быть активным или неактивным на основе заданного порога бездействия)
  6. Неактивные дни вычисляются на основе даты последнего входа, если пользователь выполнил вход по крайней мере один раз. Для пользователей, которые никогда не выполнили вход, неактивные дни вычисляются на основе даты создания.

Примечание.

Отчет с гостевой аналитикой можно скачать с помощью команды "Скачать все данные". Каждое действие для скачивания может занять некоторое время в зависимости от количества гостевых пользователей и включает загрузку до 1 миллиона гостевых пользователей.

Создание многоэтапной проверки для самостоятельной аттестации непрерывного доступа гостей

  1. Создайте динамическую группу для гостевых пользователей, которых вы хотите проверить. Например,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Чтобы создать проверку доступа для динамической группы, перейдите к обзору доступа к microsoft Entra ID > Identity Governance > Access Review.

  3. Выберите Новая проверка доступа.

  4. Настройте тип проверки.

    Свойство Значение
    Выбор типа проверки Команды и группы
    Область проверки Отдельные команды и группы
    Групповой Выберите динамическую группу
    Область Только гостевые пользователи
    (Необязательно) Просмотр неактивных гостей Установите флажок Только неактивные пользователи (на уровне клиента).
    Введите число дней бездействия.

    Снимок экрана: диалоговое окно типа проверки для многоэтапной проверки гостей для непрерывного доступа с самооценкой.

  5. Выберите Далее: проверка.

  6. Настройка проверок:

    Свойство Значение
    Проверка на первом этапе
    Многоэтапный обзор Установите флажок
    Выберите проверяющих Пользователи проверяют собственный доступ
    Длительность этапа (в днях) Введите число дней
    Проверка на втором этапе
    Выберите проверяющих Владельцы группы или Выбранные пользователи или группы
    Длительность этапа (в днях) Введите число дней.
    (Необязательно) Укажите резервного рецензента.
    Указание повторения проверки
    Проверка повторения Выберите нужный вариант в раскрывающемся списке
    Начальная дата Выберите дату
    Завершить Выберите настройку
    Укажите проверяемых, которые должны перейти на следующий этап
    Проверяемые, переходящие на следующий этап Выберите проверяемых. Например, выберите пользователей, которые самостоятельно прошли проверку или ответили Не знаю.

    Снимок экрана: первый этап многоэтапной проверки гостей с целью самостоятельного подтверждения непрерывного доступа.

  7. Выберите Далее: параметры.

  8. Настройка параметров:

    Свойство Значение
    После завершения параметров
    Автоматическое применение результатов к ресурсу Установите флажок
    Если рецензенты не отвечают Отмена доступа
    Действие, которое будет применено к гостевым пользователям, которым было отказано в доступе Заблокировать пользователю вход в систему на 30 дней, а затем удалить его из клиента
    (Необязательно) После завершения проверки отправьте уведомление Укажите других пользователей или группы, которых необходимо уведомить.
    Включите помощники по принятию решений для рецензента
    Дополнительное содержимое для электронного сообщения рецензенту Добавление настраиваемого сообщения для рецензентов
    Все другие поля Для остальных параметров оставьте значения по умолчанию.

    Снимок экрана: диалоговое окно настроек для многоэтапной проверки гостей для непрерывного доступа с самооценкой.

  9. Выберите Далее: проверка и создание

  10. Введите имя проверки доступа. (Необязательно) Укажите описание.

  11. Нажмите кнопку создания.

Создайте проверку для удаления неактивных внешних гостей

  1. Создайте динамическую группу для гостевых пользователей, которых вы хотите проверить. Например,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Чтобы создать проверку доступа для динамической группы, перейдите к обзору доступа управления удостоверениями > Microsoft Entra ID>.

  3. Выберите Новая проверка доступа.

  4. Настройте тип проверки.

    Свойство Значение
    Выбор типа проверки Команды и группы
    Область проверки Отдельные команды и группы
    Групповой Выберите динамическую группу
    Область Только гостевые пользователи
    Только неактивные пользователи (на уровне клиента) Установите флажок
    Дней простоя Введите число дней неактивности

    Примечание.

    Настроенное время неактивности не будет влиять недавно созданных пользователей. В ходе проверки доступа проверяется, был ли пользователь создан в настроенном временном интервале, а пользователи, которые не существовали по крайней мере в течение этого периода времени. Например, если задано время бездействия равное 90 дням, а гостевой пользователь был создан или приглашен менее 90 дней назад, то проверка этого гостевого пользователя не выполняется. Это гарантирует, что гости смогут выполнить вход один раз перед удалением.

    Снимок экрана: диалоговое окно типа проверки для удаления неактивных внешних гостей.

  5. Выберите Далее: проверка.

  6. Настройка проверок:

    Свойство Значение
    Указание проверяющих
    Выберите проверяющих Выберите владельцев групп, пользователя или группу.
    (Необязательно) Чтобы процесс по-прежнему выполнялся автоматически, выберите рецензента, который не будет предпринимать никаких действий.
    Указание повторения проверки
    Длительность (в днях) Введите или выберите значение в соответствии с вашими предпочтениями
    Проверка повторения Выберите нужный вариант в раскрывающемся списке
    Начальная дата Выберите дату
    Завершить Выбрать параметр.
  7. Выберите Далее: параметры.

    Снимок экрана: диалоговое окно

  8. Настройка параметров:

    Свойство Значение
    После завершения параметров
    Автоматическое применение результатов к ресурсу Установите флажок
    Если проверки не отвечают Отмена доступа
    Действие, которое будет применено к гостевым пользователям, которым было отказано в доступе Заблокировать пользователю вход в систему на 30 дней, а затем удалить его из клиента
    Включите помощники по принятию решений для рецензента
    Отсутствие входа в течение 30 дней Установите флажок
    Все другие поля Установите или снимите флажки в соответствии с вашими предпочтениями.

    Снимок экрана: диалоговое окно

  9. По завершении выберите Next: Просмотр + создание.

  10. Введите имя проверки доступа. (Необязательно) Укажите описание.

  11. Нажмите кнопку создания.

Гостевые пользователи, которые не входят в клиент в течение настроенного числа дней, блокируются на 30 дней, а затем удаляются. После удаления можно восстановить гостей в течение 30 дней, после чего потребуется новое приглашение.

Примечание.

Если решения по проверке доступа еще не применены, api accessReviewInstance: stopApplyDecisions можно использовать для остановки активных принятия решений.