Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk olyan funkciókat és módszereket ismertet, amelyek lehetővé teszik a külső identitások rögzítését és kiválasztását, hogy áttekinthesse őket, és eltávolíthassa őket a Microsoft Entra-azonosítóból, ha már nincs rájuk szükség. A felhő minden eddiginél egyszerűbbé teszi a belső vagy külső felhasználókkal való együttműködést. Az Office 365 használatakor a szervezetek elkezdik látni a külső identitások (köztük a vendégek) elterjedését, ahogy a felhasználók együtt dolgoznak az adatokon, dokumentumokon vagy digitális munkaterületeken, például a Teamsben. A szervezeteknek ki kell egyensúlyozniuk, lehetővé téve az együttműködést, valamint a biztonsági és szabályozási követelményeknek való megfelelést. Ezeknek az erőfeszítéseknek a része legyen a külső felhasználók kiértékelése és eltávolítása, akiket partnerszervezetektől hívtak meg a bérlőben való együttműködésre, és töröljék őket a Microsoft Entra azonosítóból, amikor már nincs szükség rájuk.
Megjegyzés
A Microsoft Entra hozzáférési felülvizsgálatainak használatához érvényes Microsoft Entra ID P2 vagy Microsoft Entra ID Kormányzás, valamint Enterprise Mobility + Security E5 fizetős vagy próbaverziós licenc szükséges. További információ: Microsoft Entra-kiadások.
Miért érdemes áttekinteni a bérlő külső szervezeteinek felhasználóit?
A legtöbb szervezetben a végfelhasználók kezdeményezik az üzleti partnerek és szállítók együttműködésre való meghívását. Az együttműködés szükségessége arra ösztönzi a szervezeteket, hogy az erőforrás-tulajdonosok és a végfelhasználók számára lehetővé teszik a külső felhasználók rendszeres kiértékelését és igazolását. Gyakran az új együttműködési partnerek előkészítésének folyamatát tervezik és számolják el, de mivel sok együttműködés nem rendelkezik egyértelmű befejezési dátummal, nem mindig nyilvánvaló, ha a felhasználónak már nincs szüksége hozzáférésre. Emellett az identitás életciklusának kezelése arra ösztönzi a vállalatokat, hogy tisztán tartsák a Microsoft Entra-azonosítókat, és eltávolítsák azokat a felhasználókat, akiknek már nincs szükségük a szervezet erőforrásaihoz való hozzáférésre. Ha csak a partnerekre és szállítókra vonatkozó releváns identitáshivatkozásokat tartja a címtárban, azzal csökkenti annak kockázatát, hogy alkalmazottai véletlenül kiválasztanak és hozzáférést adnak olyan külső felhasználóknak, akiket már el kellett volna távolítani. Ez a dokumentum az ajánlott proaktív javaslatoktól a reaktív és tisztítási tevékenységeken át a külső identitások szabályozásához számos lehetőséget kínál.
Hozzáférés engedélyezése és visszavonása a jogosultságkezelés használatával
A jogosultságkezelési funkciók lehetővé teszik az erőforrásokhoz való hozzáféréssel rendelkező külső identitások automatizált életciklusát . A jogosultságkezelésen keresztüli hozzáférés kezelésére szolgáló folyamatok és eljárások létrehozásával, valamint az erőforrások Access-csomagokon keresztüli közzétételével a külső felhasználók erőforrásokhoz való hozzáférésének nyomon követése sokkal kevésbé bonyolult megoldási problémává válik. Amikor a Microsoft Entra ID-ban a jogosultságkezelési hozzáférési csomagokon keresztül kezeli a hozzáférést, a szervezet központilag definiálhatja és kezelheti a felhasználók és a partnerszervezetek felhasználóinak hozzáférését. A jogosultságkezelés az Access-csomagok jóváhagyásait és hozzárendeléseit használja annak nyomon követésére, hogy a külső felhasználók hol kérték és rendelték hozzá a hozzáférést. Ha egy külső felhasználó elveszíti az összes hozzárendelését, a Jogosultságkezelés automatikusan eltávolíthatja ezeket a külső felhasználókat a bérlőből.
A jogosultságkezelésen keresztül nem meghívott vendégek megkeresése
Ha az alkalmazottak jogosultak külső felhasználókkal való együttműködésre, tetszőleges számú felhasználót meghívhatnak a szervezeten kívülről. Előfordulhat, hogy külső partnereket keresünk és csoportosítunk vállalathoz igazított dinamikus tagsági csoportokba, és nem lehet áttekinteni őket, mivel túl sok különböző egyéni vállalatot lehet áttekinteni, vagy nincs tulajdonos vagy szponzor a szervezet számára. A Microsoft egy PowerShell-példaszkriptet biztosít, amely segít elemezni a külső identitások használatát egy bérlőben. A szkript számba adja a külső identitásokat, és kategorizálja őket. A szkript segíthet azonosítani és törölni azokat a külső identitásokat, amelyekre már nincs szükség. A szkript kimenetének részeként a szkriptminta támogatja az azonosított csoport nélküli külső partnereket tartalmazó biztonsági csoportok automatikus létrehozását– a Microsoft Entra hozzáférési felülvizsgálataival való további elemzéshez és használathoz. A szkript elérhető a GitHubon. A szkript futtatása után létrehoz egy HTML-kimeneti fájlt, amely a következő külső identitásokat tagolja:
- Már nincs csoporttagsága a bérlőnek
- Jogosultsági szerepkör hozzárendelése a bérlőben
- Egy alkalmazás hozzárendelése a bérlőhöz
A kimenet az egyes külső identitásokhoz tartozó tartományokat is tartalmazza.
Megjegyzés
A korábban hivatkozott szkript egy mintaszkript, amely a Microsoft Entra ID-ban ellenőrzi a csoporttagságokat, a szerepkör-hozzárendeléseket és az alkalmazás-hozzárendeléseket. Más hozzárendelések is lehetnek azokban az alkalmazásokban, amelyeket külső felhasználók a Microsoft Entra-azonosítón kívül kaptak, például SharePoint (közvetlen tagsági hozzárendelés) vagy Azure RBAC vagy Azure DevOps.
Külső identitások által használt erőforrások áttekintése
Ha olyan külső identitásokkal rendelkezik, amelyek olyan erőforrásokat használnak, mint a Teams vagy más, a jogosultságkezelés által még nem szabályozott alkalmazások, érdemes lehet rendszeresen áttekinteni az erőforrásokhoz való hozzáférést is. A Microsoft Entra Hozzáférési értékelések lehetővé teszik a külső identitások hozzáférésének áttekintését azáltal, hogy az erőforrás tulajdonosa, a külső identitások maguk vagy egy más megbízott személy, akiben megbízik, igazolja, szükséges-e a további hozzáférés. Az Access-felülvizsgálatok egy erőforrást céloznak meg, és létrehoznak egy felülvizsgálati tevékenységet, amely vagy mindenki számára elérhető, aki csak az erőforráshoz vagy a vendégfelhasználókhoz fér hozzá. A véleményező ezután látja azoknak a felhasználóknak az eredményül kapott listáját, akiket felül kell vizsgálniuk – vagy az összes felhasználót, beleértve a szervezet alkalmazottait vagy a külső identitásokat is.
Az erőforrás tulajdonosalapú felülvizsgálati kultúrájának létrehozása segít szabályozni a külső identitások hozzáférését. Az erőforrások tulajdonosai, akik felelősek a hozzáférésükért, a rendelkezésre állásukért és a saját adataik biztonságáért, a legtöbb esetben a legjobb célközönséget képezik az erőforrásokhoz való hozzáféréssel kapcsolatos döntések meghozatalához, és közelebb állnak azokhoz a felhasználókhoz, akik hozzáférnek hozzájuk, mint a központi informatikai részleg vagy a sok külsőt kezelő szponzor.
Hozzáférési felülvizsgálatok létrehozása külső identitásokhoz
Azok a felhasználók, akiknek már nincs hozzáférésük a bérlőben lévő erőforrásokhoz, eltávolíthatók, ha már nem dolgoznak a szervezettel. Mielőtt letiltja és törli ezeket a külső identitásokat, érdemes lehet kapcsolatba lépnie ezekkel a külső felhasználókat, és győződjön meg arról, hogy nem hagyott figyelmen kívül egy projektet vagy állandó hozzáférést, amelyhez még szükségük van. Amikor létrehoz egy csoportot, amely az összes külső identitást tagként tartalmazza, akik nem férnek hozzá a környezet erőforrásaihoz, az Access Reviews segítségével felkérheti az összes külső személyt, hogy maguk erősítsék meg, szükségük van-e továbbra is hozzáférésre, vagy rendelkeznek vele – vagy a jövőben is szükségük lesz hozzáférésre. A felülvizsgálat részeként az Access-felülvizsgálatok készítője az A Jóváhagyáshoz indoklás megkövetelése funkcióval megkövetelheti a külső felhasználóktól, hogy a folyamatos hozzáféréshez indoklást adjanak, amely által megtudhatja, hogy hol és hogyan van továbbra is szükségük hozzáférésre a bérlőjében. Emellett engedélyezheti a További tartalom beállítását a véleményező e-mail funkcióhoz , hogy a felhasználók tudják, hogy elveszítik a hozzáférést, ha nem válaszolnak, és ha továbbra is hozzáférésre van szükségük, indoklásra van szükség. Ha szeretné engedélyezni, hogy az Access Reviews letiltsa és törölje a külső identitásokat, ha nem válaszolnak, vagy érvényes okot adnak a folyamatos hozzáférésre, használhatja a Letiltás és törlés lehetőséget a következő szakaszban leírtak szerint.
Ha külső identitásokhoz szeretne hozzáférési felülvizsgálatot létrehozni, kövesse az alábbi lépéseket:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.
Tallózással keresse meg az Entra ID>Groups>All groups elemet.
Keresse meg azt a csoportot, amely olyan külső identitásokat tartalmazó tagokat tartalmaz, amelyek nem rendelkeznek hozzáféréssel a bérlő erőforrásaihoz, és jegyezze fel ezt a csoportot. A feltételeknek megfelelő tagokból álló csoport létrehozásának automatizálásához tekintse meg a következő témakört: Információk gyűjtése a külső identitások elterjedése körül.
Keresse meg az azonosítószabályozási>hozzáférési felülvizsgálatokat.
Válassza az + Új hozzáférés áttekintése lehetőséget.
Válassza a Teams + Csoportok lehetőséget, majd válassza ki a korábban feljegyzett csoportot, amely a külső identitásokat tartalmazza a Véleményezés hatókör beállításához.
Állítsa be a hatókört csak vendéghasználók számára.
A Befejezési beállítások szakaszban kiválaszthatja, hogy a megtagadott felhasználókra alkalmazandó művelet keretében 30 napig tiltsa le a felhasználók bejelentkezését, majd távolítsa el a felhasználót a bérleményből. További információ: Külső identitások letiltása és törlése a Microsoft Entra hozzáférési felülvizsgálataival.
A hozzáférési felülvizsgálat létrehozása után a vendégfelhasználónak igazolnia kell a hozzáférését, mielőtt a felülvizsgálat befejeződik. A vendég a Saját hozzáférés portálon keresztül hagyja jóvá vagy utasítja el a hozzáférést. Részletes útmutató a csoportokhoz és alkalmazásokhoz való hozzáférés áttekintéséhez a hozzáférési felülvizsgálatokban.
Amikor a véleményezés befejeződött, az Eredmények lap áttekintést nyújt az összes külső identitás által adott válaszról. Dönthet úgy, hogy automatikusan alkalmazza az eredményeket, és engedélyezi az Access-felülvizsgálatok letiltását és törlését. Másik lehetőségként áttekintheti a kapott válaszokat, és eldöntheti, hogy el szeretné-e távolítani egy felhasználó hozzáférését vagy nyomon követését, és további információkat kaphat a döntés előtt. Ha egyes felhasználók továbbra is hozzáférnek azokhoz az erőforrásokhoz, amelyeket még nem tekintett át, a felülvizsgálatot a felderítés részeként használhatja, és bővítheti a következő felülvizsgálati és igazolási ciklust.
Részletes útmutató lépésről lépésre: Csoportok és alkalmazások hozzáférési felülvizsgálatának létrehozása a Microsoft Entra-azonosítóban.
Külső identitások letiltása és törlése a Microsoft Entra hozzáférési felülvizsgálataival
Amellett, hogy eltávolítja a nem kívánt külső identitásokat az erőforrásokból, például csoportokból vagy alkalmazásokból, a Microsoft Entra hozzáférési ellenőrzései megakadályozhatják, hogy a külső identitások bejelentkezhessenek a bérlőbe, és 30 nap után törölhessék a külső identitásokat a bérlőről. Miután 30 napra letiltja a felhasználó bejelentkezését, majd eltávolítja a felhasználót a rendszerből, a felülvizsgálat 30 napig a "végrehajtás alatt" állapotban marad. Ebben az időszakban az aktuális felülvizsgálat alatt lévő beállítások, eredmények, véleményezők vagy auditnaplók nem tekinthetők meg vagy konfigurálhatók.
Ez a beállítás lehetővé teszi külső identitások azonosítását, blokkolását és törlését a Microsoft Entra-bérlőből. A véleményező által áttekintett és hozzáférés-megtagadásban részesített külső identitások le lesznek tiltva és törölve, függetlenül attól, hogy rendelkeznek-e erőforrás-hozzáféréssel vagy csoporttagsággal. Ezt a beállítást érdemes utolsó lépésként használni annak ellenőrzése után, hogy a felülvizsgálat alatt álló külső felhasználók már nem rendelkeznek erőforrás-hozzáféréssel, és biztonságosan eltávolíthatók a bérlőből, vagy ha meg szeretné győződni róla, hogy el lettek távolítva, függetlenül attól, hogy azok elérhetők-e. A "Letiltás és törlés" funkció először letiltja a külső felhasználót, így nem tud bejelentkezni a bérlőbe, és hozzáférni az erőforrásokhoz. Ebben a szakaszban az erőforrás-hozzáférés nem lesz visszavonva, és ha újra szeretné beállítani a külső felhasználót, a bejelentkezés lehetősége újrakonfigurálható. További művelet nélkül a letiltott külső identitás 30 nap elteltével törlődik a címtárból, eltávolítva a fiókot és a hozzáférésüket.