Elavult vendégfiókok monitorozása és törlése hozzáférési felülvizsgálatokkal
Mivel a felhasználók külső partnerekkel működnek együtt, előfordulhat, hogy idővel számos vendégfiók jön létre a Microsoft Entra-bérlőkben. Ha az együttműködés véget ér, és a felhasználók már nem férnek hozzá a bérlőhöz, előfordulhat, hogy a vendégfiókok elavulttá válnak. A rendszergazdák az inaktív vendégelemzések használatával nagy léptékben figyelhetik a vendégfiókokat. A rendszergazdák az Access-felülvizsgálatok használatával automatikusan áttekinthetik az inaktív vendégfelhasználókat, letilthatják a bejelentkezésüket, és törölhetik őket a címtárból.
További információ az inaktív felhasználói fiókok Microsoft Entra-azonosítóban való kezeléséről.
Van néhány ajánlott minta, amelyek hatékonyak az elavult vendégfiókok monitorozásában és tisztításában:
A vendégfiókok nagy léptékű monitorozása a szervezet inaktív vendégeinek intelligens elemzéseivel inaktív vendégjelentések használatával. Testre szabhatja az inaktivitási küszöbértéket a szervezet igényeinek megfelelően, szűkítheti a monitorozni kívánt vendégfelhasználók hatókörét, és azonosíthatja az inaktív vendégfelhasználók körét.
Hozzon létre egy többszakaszos felülvizsgálatot, amellyel a vendégek önigazolni tudják, hogy szükségük van-e még hozzáférésre. A második szakasz véleményezője értékeli az eredményeket, és végső döntést hoz. A letiltott hozzáféréssel rendelkező vendégek le lesznek tiltva, és később törlődnek.
Hozzon létre egy felülvizsgálatot az inaktív külső vendégek eltávolításához. A rendszergazdák napszakként határozzák meg az inaktívakat. Letiltják és később törlik azokat a vendégeket, akik nem jelentkeznek be a bérlőbe az adott időkereten belül. Alapértelmezés szerint ez nem érinti a nemrég létrehozott felhasználókat. További információ az inaktív fiókok azonosításáról.
Az alábbi utasításokat követve megtudhatja, hogyan javíthatja az inaktív vendégfiókok nagy léptékű monitorozását, és hogyan hozhat létre hozzáférési felülvizsgálatokat az alábbi mintákat követve. Fontolja meg a konfigurációs javaslatokat, majd végezze el a szükséges módosításokat, amelyek megfelelnek a környezetnek.
Licenckövetelmények
A funkció használatához Microsoft Entra ID-kezelés vagy Microsoft Entra Suite-licenc szükséges. A követelményeknek megfelelő licenc megtalálásához tekintse meg Microsoft Entra ID-kezelés licencelési alapjait.
Vendégfiókok nagy léptékű monitorozása inaktív vendégelemzésekkel
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Jelentkezzen be a Microsoft Entra felügyeleti központjába.
Tallózás az identitásszabályozási>irányítópultra
Az inaktív vendégfiók jelentéséhez a vendéghozzáférés-vezérlési kártyára lépve, majd az inaktív vendégek megtekintése lehetőséget választva érheti el.
Ekkor megjelenik az inaktív vendégjelentés, amely 90 nap inaktivitás alapján nyújt elemzést az inaktív vendégfelhasználókról. A küszöbérték alapértelmezés szerint 90 napra van beállítva, de a szervezet igényeinek megfelelően konfigurálható az "Inaktivitási küszöbérték szerkesztése" használatával.
A jelentés a következő megállapításokat tartalmazza:
- Vendégfiók áttekintése (összes vendég és inaktív vendég további kategorizálásával, akik még nem jelentkeztek be vagy legalább egyszer jelentkeztek be)
- Vendég inaktivitás eloszlása (A vendégfelhasználók százalékos eloszlása a legutóbbi bejelentkezés óta eltelt napok alapján)
- Vendég inaktivitás áttekintése (Vendég inaktivitási útmutató az inaktivitási küszöbérték konfigurálásához)
- Vendégfiókok összegzése (Exportálható táblázatos nézet az összes vendégfiók részleteivel, a tevékenységállapotukkal kapcsolatos megállapításokkal. A tevékenység állapota a konfigurált inaktivitási küszöbérték alapján lehet aktív vagy inaktív)
Az inaktív napok kiszámítása az utolsó bejelentkezési dátum alapján történik, ha a felhasználó legalább egyszer bejelentkezett. Azok a felhasználók, akik még nem jelentkeztek be, az inaktív napok kiszámítása a létrehozás dátuma alapján történik.
Feljegyzés
A vendégelemzést tartalmazó jelentés az "Összes adat letöltése" paranccsal tölthető le. Minden letöltendő művelet a vendégfelhasználók számától függően eltarthat egy ideig, és legfeljebb 1 millió vendégfelhasználó számára teszi lehetővé a letöltést.
Többszakaszos felülvizsgálat létrehozása a vendégek számára a folyamatos hozzáférés önigazzásához
Hozzon létre egy dinamikus csoportot a megtekinteni kívánt vendégfelhasználók számára. Például:
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)
Ha hozzáférési felülvizsgálatot szeretne létrehozni a dinamikus csoporthoz, keresse meg a Microsoft Entra ID > Identity Governance > Access-felülvizsgálatokat.
Válassza az Új hozzáférési felülvizsgálat lehetőséget.
Konfigurálja a véleményezés típusát.
Tulajdonság Érték Válassza ki a véleményezendő elemet Teams + Csoportok Hatókör áttekintése Teams + csoportok kiválasztása Csoport A dinamikus csoport kiválasztása Hatókör Csak vendégfelhasználók (Nem kötelező) Inaktív vendégek áttekintése Csak bérlői szinten jelölje be az inaktív felhasználók jelölőnégyzetét.
Adja meg az inaktivitást okozó napok számát.Válassza a Tovább: Vélemények lehetőséget.
Vélemények konfigurálása:
Tulajdonság Érték Első szakasz áttekintése Többszakaszos áttekintés Jelölje be a jelölőnégyzetet Véleményezők kiválasztása A felhasználók saját hozzáférésüket tekintik át Szakasz időtartama (napokban) Adja meg a napok számát Második szakasz áttekintése Véleményezők kiválasztása Csoporttulajdonos(ok) vagy kijelölt felhasználó(k) vagy csoport(ok) Szakasz időtartama (napokban) Adja meg a napok számát.
(Nem kötelező) Adjon meg egy tartalék felülvizsgálót.A felülvizsgálat ismétlődésének megadása Ismétlődés áttekintése Válassza ki a kívánt beállítást a legördülő menüből Kezdő dátum Dátum kiválasztása Vége Válassza ki a kívánt beállítást Véleményezők megadása a következő szakaszra való ugráshoz A következő szakasz véleményezői Jelölje ki a véleményezéseket. Válassza ki például azokat a felhasználókat, akik önaláhagyták vagy válaszoltak , nem tudják. Válassza a Következő: Beállítások lehetőséget.
Beállítások konfigurálása:
Tulajdonság Érték Befejezési beállítások Eredmények automatikus alkalmazása az erőforrásra Jelölje be a jelölőnégyzetet Ha a véleményezők nem válaszolnak Hozzáférés eltávolítása A megtagadott vendégfelhasználókra alkalmazandó művelet A felhasználó 30 napig való bejelentkezésének letiltása, majd a felhasználó eltávolítása a bérlőből (Nem kötelező) A felülvizsgálat végén küldjön értesítést a következő címre: Adja meg a többi értesítést küldő felhasználót vagy csoportot. Véleményezők döntési segítőinek engedélyezése További tartalom a véleményező e-mailjeihez Egyéni üzenet hozzáadása véleményezőknek Minden más mező Hagyja meg a fennmaradó beállítások alapértelmezett értékeit. Válassza a Tovább elemet : Véleményezés + Létrehozás
Adjon meg egy access review nevet. (Nem kötelező) adja meg a leírást.
Válassza a Létrehozás lehetőséget.
Felülvizsgálat létrehozása inaktív külső vendégek eltávolításához
Hozzon létre egy dinamikus csoportot a megtekinteni kívánt vendégfelhasználók számára. Például:
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)
Ha hozzáférési felülvizsgálatot szeretne létrehozni a dinamikus csoporthoz, lépjen a Microsoft Entra ID Identity Governance access reviews (Microsoft Entra ID > Identity Governance > Access Reviews) lapra.
Válassza az Új hozzáférési felülvizsgálat lehetőséget.
Véleményezés típusának konfigurálása:
Tulajdonság Érték Válassza ki a véleményezendő elemet Teams + Csoportok Hatókör áttekintése Teams + csoportok kiválasztása Csoport A dinamikus csoport kiválasztása Hatókör Csak vendégfelhasználók Inaktív felhasználók (csak bérlői szinten) Jelölje be a jelölőnégyzetet Inaktív napok Adja meg az inaktivitást okozó napok számát Feljegyzés
A konfigurált inaktivitási idő nem befolyásolja a nemrég létrehozott felhasználókat. A hozzáférési felülvizsgálat ellenőrzi, hogy a felhasználó a konfigurált időkeretben lett-e létrehozva, és figyelmen kívül hagyja-e azokat a felhasználókat, akik legalább ennyi ideje nem léteztek. Ha például az inaktivitási időt 90 napnak állítja be, és egy vendégfelhasználót kevesebb mint 90 nappal ezelőtt hoztak létre/hívtak meg, a vendégfelhasználó nem lesz a hozzáférési felülvizsgálat hatókörében. Ez biztosítja, hogy a vendégek egyszer jelentkezzenek be, mielőtt eltávolítanák őket.
Válassza a Tovább: Vélemények lehetőséget.
Vélemények konfigurálása:
Tulajdonság Érték Véleményezők megadása Véleményezők kiválasztása Válassza a Csoporttulajdonos(ok) vagy a felhasználó vagy csoport lehetőséget.
(Nem kötelező) A folyamat automatizálásának engedélyezéséhez válasszon ki egy véleményezőt, aki nem hajt végre semmilyen műveletet.A felülvizsgálat ismétlődésének megadása Időtartam (napokban) Adjon meg vagy válasszon ki egy értéket a beállítások alapján Ismétlődés áttekintése Válassza ki a kívánt beállítást a legördülő menüből Kezdő dátum Dátum kiválasztása Vége Válasszon egy lehetőséget Válassza a Következő: Beállítások lehetőséget.
Beállítások konfigurálása:
Tulajdonság Érték Befejezési beállítások Eredmények automatikus alkalmazása az erőforrásra Jelölje be a jelölőnégyzetet Ha a vélemények nem válaszolnak Hozzáférés eltávolítása A megtagadott vendégfelhasználókra alkalmazandó művelet A felhasználó 30 napig való bejelentkezésének letiltása, majd a felhasználó eltávolítása a bérlőből Véleményezők döntési segítőinek engedélyezése 30 napon belül nincs bejelentkezés Jelölje be a jelölőnégyzetet Minden más mező Jelölje be/törölje a jelölőnégyzet jelölését a beállítások alapján. Válassza a Tovább: Felülvizsgálat + létrehozás lehetőséget.
Adjon meg egy access review nevet. (Nem kötelező) adja meg a leírást.
Válassza a Létrehozás lehetőséget.
Azok a vendégfelhasználók, akik a konfigurált napok száma miatt nem jelentkeznek be a bérlőbe, 30 napig le lesznek tiltva, majd törölve lesznek. A törlés után akár 30 napig is visszaállíthatja a vendégeket, majd új meghívásra van szükség.