Bagikan melalui

Memantau dan membersihkan akun tamu kedaluarsa menggunakan tinjauan akses

  • Artikel

Saat pengguna berkolaborasi dengan mitra eksternal, ada kemungkinan banyak akun tamu dibuat di penyewa Microsoft Entra dari waktu ke waktu. Saat kolaborasi berakhir dan pengguna tidak lagi mengakses penyewa Anda, akun tamu mungkin menjadi kedaluarsa. Administrator dapat memantau akun tamu dalam skala besar menggunakan wawasan tamu yang tidak aktif. Administrator juga dapat menggunakan Tinjauan Akses untuk meninjau pengguna tamu yang tidak aktif secara otomatis, memblokir mereka agar tidak masuk, dan, menghapusnya dari direktori.

Pelajari selengkapnya tentang cara mengelola akun pengguna yang tidak aktif di ID Microsoft Entra.

Ada beberapa pola yang direkomendasikan yang efektif dalam memantau dan membersihkan akun tamu kedaluarsa:

  1. Pantau akun tamu dalam skala besar dengan wawasan cerdas tentang tamu yang tidak aktif di organisasi Anda menggunakan laporan tamu yang tidak aktif. Sesuaikan ambang batas tidak aktif tergantung pada kebutuhan organisasi Anda, persempit cakupan pengguna tamu yang ingin Anda pantau dan identifikasi pengguna tamu yang mungkin tidak aktif.

  2. Buat tinjauan multitahap di mana tamu dapat membuktikan sendiri apakah mereka masih memerlukan akses atau tidak. Peninjau tahap kedua menilai hasil dan membuat keputusan akhir. Tamu dengan akses yang ditolak dinonaktifkan dan kemudian dihapus.

  3. Buat tinjauan untuk menghapus tamu eksternal yang tidak aktif. Admin mendefinisikan tidak aktif sebagai periode hari. Mereka menonaktifkan dan kemudian menghapus tamu yang tidak masuk ke penyewa dalam jangka waktu tersebut. Secara default, hal ini tidak memengaruhi pengguna yang baru dibuat. Pelajari lebih lanjut tentang cara mengidentifikasi akun yang tidak aktif.

Gunakan instruksi berikut untuk mempelajari cara meningkatkan pemantauan akun tamu yang tidak aktif dalam skala besar dan membuat Tinjauan Akses yang mengikuti pola ini. Pertimbangkan rekomendasi konfigurasi, lalu buat perubahan yang diperlukan yang sesuai dengan lingkungan Anda.

Persyaratan lisensi

Menggunakan fitur ini memerlukan lisensi Tata Kelola ID Microsoft Entra. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Tata Kelola ID Microsoft Entra dasar-dasar lisensi.

Memantau akun tamu dalam skala besar dengan wawasan tamu yang tidak aktif

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

  1. Masuk ke Pusat Admin Microsoft Entra.

  2. Telusuri ke Dasbor Tata Kelola>Identitas

  3. Akses laporan akun tamu yang tidak aktif dengan menavigasi ke kartu tata kelola akses Tamu lalu pilih Tampilkan tamu yang tidak aktif.

  4. Anda akan melihat laporan tamu tidak aktif yang akan memberikan wawasan tentang pengguna tamu yang tidak aktif berdasarkan ketidakaktifan 90 hari. Ambang diatur ke 90 hari secara default tetapi dapat dikonfigurasi menggunakan "Edit ambang tidak aktif" berdasarkan kebutuhan organisasi Anda.

  5. Wawasan berikut disediakan sebagai bagian dari laporan ini:

    • Gambaran umum akun tamu (total tamu dan tamu tidak aktif dengan kategorisasi tamu lebih lanjut yang belum pernah masuk atau masuk setidaknya sekali)
    • Distribusi tidak aktif tamu (Distribusi persentase pengguna tamu berdasarkan hari sejak masuk terakhir)
    • Gambaran umum tidak aktif tamu (Panduan tidak aktif tamu untuk mengonfigurasi ambang tidak aktif)
    • Ringkasan akun tamu (Tampilan tabular yang dapat diekspor dengan detail semua akun tamu dengan wawasan tentang status aktivitas mereka. Status Aktivitas dapat aktif atau tidak aktif berdasarkan ambang tidak aktif yang dikonfigurasi)

  6. Hari-hari tidak aktif dihitung berdasarkan tanggal masuk terakhir jika pengguna telah masuk setidaknya sekali. Untuk pengguna yang belum pernah masuk, hari tidak aktif dihitung berdasarkan tanggal pembuatan.

Catatan

Laporan dengan wawasan tamu dapat diunduh menggunakan "Unduh semua data". Setiap tindakan yang akan diunduh mungkin memakan waktu tergantung pada jumlah pengguna tamu dan memungkinkan pengunduhan hingga 1 Juta pengguna tamu.

Membuat tinjauan multitahap bagi tamu untuk membuktikan sendiri akses berkelanjutan

  1. Buat grup dinamis untuk pengguna tamu yang ingin Anda tinjau. Contohnya,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Untuk membuat Tinjauan Akses untuk grup dinamis, navigasikan ke Microsoft Entra ID > Identity Governance > Access Reviews.

  3. Pilih Tinjauan akses baru.

  4. Konfigurasikan jenis Tinjauan.

    Properti Nilai
    Memilih hal yang akan ditinjau Teams + Grup
    Cakupan tinjauan Pilih Teams + grup
    Grupkan Memilih grup dinamis
    Cakupan Hanya pengguna tamu
    (Opsional) Meninjau tamu yang tidak aktif Centang kotak Pengguna yang tidak aktif (pada tingkat penyewa) saja.
    Masukkan jumlah hari yang menunjukkan ketidakaktifan pengguna.

    Cuplikan layar yang menunjukkan dialog jenis tinjauan dalam tinjauan multitahap bagi tamu untuk membuktikan sendiri akses berkelanjutan.

  5. Pilih Berikutnya: Peninjauan.

  6. Mengonfigurasi Tinjauan:

    Properti Nilai
    Tinjauan tahap pertama
    Tinjauan multi-tahap Centang kotak
    Pilih pengulas Pengguna meninjau akses mereka sendiri
    Durasi tahapan (dalam hari) Masukkan jumlah hari
    Tinjauan tahap kedua
    Pilih pengulas Pemilik grup atau Pengguna atau grup yang dipilih
    Durasi tahapan (dalam hari) Masukkan jumlah hari.
    (Opsional) Tentukan peninjau fallback.
    Menentukan pengulangan tinjauan
    Meninjau pengulangan Pilih preferensi Anda dari drop-down
    Tanggal mulai Pilih tanggal
    Akhir Pilih preferensi Anda
    Menentukan subjek tinjauan untuk lanjut ke tahap berikutnya
    Subjek tinjauan akan ke tahap berikutnya Pilih subjek tinjauan. Misalnya, pilih pengguna yang menyetujui sendiri atau merespons Tidak tahu.

    Cuplikan layar yang menunjukkan tinjauan tahap pertama dalam tinjauan multitahap bagi tamu untuk membuktikan sendiri akses berkelanjutan.

  7. Pilih Berikutnya: Pengaturan.

  8. Konfigurasikan Pengaturan:

    Properti Nilai
    Setelah pengaturan selesai
    Menerapkan hasil secara otomatis ke sumber daya Centang kotak
    Jika peninjau tidak merespons Menghapus akses
    Tindakan yang akan diterapkan pada pengguna tamu yang ditolak Memblokir pengguna dari proses masuk selama 30 hari, lalu menghapus pengguna dari penyewa
    (Opsional) Di akhir tinjauan, kirim pemberitahuan ke Tentukan pengguna atau grup lain yang akan diberi tahu.
    Mengaktifkan bantuan keputusan peninjau
    Konten tambahan untuk email peninjau Menambahkan pesan kustom untuk peninjau
    Bidang lainnya Biarkan nilai default untuk opsi yang tersisa.

    Cuplikan layar yang menunjukkan dialog pengaturan dalam tinjauan multitahap bagi tamu untuk membuktikan sendiri akses berkelanjutan.

  9. Pilih Berikutnya: Tinjau + Buat

  10. Masukkan nama Tinjauan Akses. (Opsional) berikan deskripsi.

  11. Pilih Buat.

Membuat tinjauan untuk menghapus tamu eksternal yang tidak aktif

  1. Buat grup dinamis untuk pengguna tamu yang ingin Anda tinjau. Contohnya,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Untuk membuat tinjauan akses untuk grup dinamis, navigasikan ke Microsoft Entra ID > Identity Governance > Access Reviews.

  3. Pilih Tinjauan akses baru.

  4. Mengonfigurasi jenis Tinjauan:

    Properti Nilai
    Memilih hal yang akan ditinjau Teams + Grup
    Cakupan tinjauan Pilih Teams + grup
    Grupkan Memilih grup dinamis
    Cakupan Hanya pengguna tamu
    Hanya pengguna yang tidak aktif (pada tingkat penyewa) Centang kotak
    Jumlah hari yang tidak aktif Masukkan jumlah hari yang menunjukkan ketidakaktifan pengguna

    Catatan

    Waktu tidak aktif yang Anda konfigurasi tidak akan memengaruhi pengguna yang baru dibuat. Tinjauan Akses akan memeriksa apakah pengguna telah dibuat dalam jangka waktu yang Anda konfigurasikan dan akan mengabaikan pengguna yang belum ada setidaknya selama jangka waktu tersebut. Misalnya, jika Anda menetapkan waktu tidak aktif selama 90 hari dan waktu pembuatan/pengiriman undangan pengguna tamu kurang dari 90 hari yang lalu, pengguna tamu tidak akan berada dalam cakupan Tinjauan Akses. Ini memastikan bahwa tamu dapat masuk sekali sebelum dihapus.

    Cuplikan layar yang menunjukkan dialog jenis tinjauan untuk menghapus tamu eksternal yang tidak aktif.

  5. Pilih Berikutnya: Peninjauan.

  6. Mengonfigurasi Tinjauan:

    Properti Nilai
    Menentukan peninjau
    Pilih pengulas Pilih Pemilik grup atau pengguna atau grup.
    (Opsional) Untuk mengaktifkan proses agar tetap otomatis, pilih peninjau yang tidak akan mengambil tindakan.
    Menentukan pengulangan tinjauan
    Durasi (hitungan hari) Memasukkan atau memilih nilai berdasarkan preferensi Anda
    Meninjau pengulangan Pilih preferensi Anda dari drop-down
    Tanggal mulai Pilih tanggal
    Akhir Pilih salah satu opsi

  7. Pilih Berikutnya: Pengaturan.

    Cuplikan layar yang menunjukkan dialog Tinjauan untuk menghapus tamu eksternal yang tidak aktif.

  8. Konfigurasikan Pengaturan:

    Properti Nilai
    Setelah pengaturan selesai
    Menerapkan hasil secara otomatis ke sumber daya Centang kotak
    Jika tinjauan tidak merespons Menghapus akses
    Tindakan yang akan diterapkan pada pengguna tamu yang ditolak Memblokir pengguna dari proses masuk selama 30 hari, lalu menghapus pengguna dari penyewa
    Mengaktifkan bantuan keputusan peninjau
    Tidak ada proses masuk dalam 30 hari Centang kotak
    Bidang lainnya Centang/hapus centang pada kotak berdasarkan preferensi Anda.

    Cuplikan layar yang menunjukkan dialog Pengaturan untuk menghapus tamu eksternal yang tidak aktif.

  9. Pilih Berikutnya: Tinjau + Buat.

  10. Masukkan nama Tinjauan Akses. (Opsional) berikan deskripsi.

  11. Pilih Buat.

Pengguna tamu yang tidak masuk ke penyewa selama jumlah hari yang Anda konfigurasi dinonaktifkan selama 30 hari, lalu dihapus. Setelah penghapusan, Anda dapat memulihkan tamu hingga 30 hari, setelah itu undangan baru diperlukan.