Share via


Verouderde gastaccounts bewaken en opschonen met behulp van toegangsbeoordelingen

Wanneer gebruikers samenwerken met externe partners, is het mogelijk dat veel gastaccounts na verloop van tijd worden gemaakt in Microsoft Entra-tenants. Wanneer de samenwerking afloopt en de gebruikers geen toegang meer hebben tot uw tenant, kunnen de gastaccounts verlopen. Beheerders kunnen gastaccounts op schaal bewaken met behulp van inactieve gastinzichten. Beheerders kunnen ook Toegangsbeoordelingen gebruiken om inactieve gastgebruikers automatisch te controleren, hen te blokkeren zich aan te melden en ze uit de directory te verwijderen.

Meer informatie over het beheren van inactieve gebruikersaccounts in Microsoft Entra ID.

Er zijn enkele aanbevolen patronen die effectief zijn bij het bewaken en opschonen van verouderde gastaccounts:

  1. Bewaak gastaccounts op schaal met intelligente inzichten in inactieve gasten in uw organisatie met behulp van een inactief gastrapport. Pas de drempelwaarde voor inactiviteit aan, afhankelijk van de behoeften van uw organisatie, beperk het bereik van gastgebruikers die u wilt bewaken en identificeer de gastgebruikers die mogelijk inactief zijn.

  2. Maak een beoordeling met meerdere fasen, waarbij gasten zelf attesteren of ze nog steeds toegang nodig hebben. Een revisor uit het tweede stadium beoordeelt resultaten en neemt een definitieve beslissing. Gasten met geweigerde toegang worden uitgeschakeld en later verwijderd.

  3. Maak een beoordeling om inactieve externe gasten te verwijderen. Beheerders definiëren inactief als periode van dagen. Ze schakelen gasten uit en verwijderen ze die zich binnen die periode niet aanmelden bij de tenant. Dit heeft standaard geen invloed op onlangs gemaakte gebruikers. Meer informatie over het identificeren van inactieve accounts.

Gebruik de volgende instructies voor meer informatie over het verbeteren van de bewaking van inactieve gastaccounts op schaal en het maken van Toegangsbeoordelingen die deze patronen volgen. Houd rekening met de configuratieaan aanbevelingen en breng vervolgens de benodigde wijzigingen aan die aansluiten bij uw omgeving.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID-governance- of Microsoft Entra Suite-licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.

Gastaccounts op schaal bewaken met inactieve gastinzichten

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

  1. Meld u aan bij het Microsoft Entra-beheercentrum.

  2. Bladeren naar dashboard voor identiteitsbeheer>

  3. Open het rapport van het inactieve gastaccount door naar de kaart Gasttoegangsbeheer te navigeren en vervolgens Inactieve gasten weergeven te selecteren.

  4. U ziet het inactieve gastrapport dat inzicht geeft in inactieve gastgebruikers op basis van 90 dagen inactiviteit. De drempelwaarde is standaard ingesteld op 90 dagen, maar kan worden geconfigureerd met 'Drempelwaarde voor inactiviteit bewerken' op basis van de behoeften van uw organisatie.

  5. De volgende inzichten worden gegeven als onderdeel van dit rapport:

    • Overzicht van gastaccounts (totaal aantal gasten en inactieve gasten met verdere categorisatie van gasten die zich nooit ten minste één keer hebben aangemeld of aangemeld)
    • Distributie van gast-inactiviteit (percentagedistributie van gastgebruikers op basis van dagen sinds laatste aanmelding)
    • Overzicht van gast-inactiviteit (richtlijnen voor gast-inactiviteit voor het configureren van de drempelwaarde voor inactiviteit)
    • Overzicht van gastaccounts (een uitvoerbare tabelweergave met details van alle gastaccounts met inzicht in hun activiteitsstatus. De activiteitsstatus kan actief of inactief zijn op basis van de geconfigureerde drempelwaarde voor inactiviteit)
  6. De inactieve dagen worden berekend op basis van de laatste aanmeldingsdatum als de gebruiker zich ten minste één keer heeft aangemeld. Voor gebruikers die zich nooit hebben aangemeld, worden de inactieve dagen berekend op basis van de aanmaakdatum.

Notitie

Het rapport met gastinzichten kan worden gedownload met 'Alle gegevens downloaden'. Elke te downloaden actie kan enige tijd duren, afhankelijk van het aantal gastgebruikers en het downloaden voor maximaal 1 miljoen gastgebruikers mogelijk maakt.

Een beoordeling met meerdere fasen maken voor gasten om de toegang zelf te bevestigen

  1. Maak een dynamische groep voor de gastgebruikers die u wilt controleren. Bijvoorbeeld:

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Als u een Toegangsbeoordeling voor de dynamische groep wilt maken, gaat u naar Microsoft Entra ID > Identity Governance > Access Reviews.

  3. Selecteer Nieuwe toegangsbeoordeling.

  4. Configureer beoordelingstype.

    Eigenschappen Weergegeven als
    Selecteer wat u wilt controleren Teams en groepen
    Bereik controleren Teams en groepen selecteren
    Groep De dynamische groep selecteren
    Bereik Alleen gastgebruikers
    (Optioneel) Inactieve gasten bekijken Schakel het selectievakje alleen in voor inactieve gebruikers (op tenantniveau).
    Voer het aantal dagen in dat inactiviteit is.

    Schermopname van het dialoogvenster beoordelingstype voor controle in meerdere fasen voor gasten om continue toegang te bevestigen.

  5. Selecteer Volgende: Beoordelingen.

  6. Beoordelingen configureren:

    Eigenschappen Weergegeven als
    Beoordeling van eerste fase
    Beoordeling met meerdere fasen Schakel het selectievakje in
    Revisoren selecteren Gebruikers beoordelen hun eigen toegang
    Duur van fase (in dagen) Voer het aantal dagen in
    Beoordeling tweede fase
    Revisoren selecteren Groepseigenaar(s) of Geselecteerde gebruiker(en) of groep(en)
    Duur van fase (in dagen) Voer het aantal dagen in.
    (Optioneel) Geef een terugvalrevisor op.
    Herhaling van beoordeling opgeven
    Terugkeerpatroon controleren Selecteer uw voorkeur in de vervolgkeuzelijst
    Begindatum Een datum selecteren
    Eind Selecteer uw voorkeur
    Beoordelingsfuncties opgeven om naar de volgende fase te gaan
    Reviewees die naar de volgende fase gaan Selecteer beoordelingsfuncties. Selecteer bijvoorbeeld gebruikers die zelf goedgekeurde of gereageerd hebben , niet weten.

    Schermopname van de eerste fasebeoordeling voor beoordeling met meerdere fasen voor gasten om continue toegang te bevestigen.

  7. Selecteer Volgende: Instellingen.

  8. Instellingen configureren:

    Eigenschappen Weergegeven als
    Na voltooiingsinstellingen
    Resultaten automatisch toepassen op resource Schakel het selectievakje in
    Als revisoren niet reageren Toegang intrekken
    Actie die moet worden toegepast op geweigerde gastgebruikers Blokkeren dat de gebruiker zich 30 dagen aanmeldt en vervolgens de gebruiker uit de tenant verwijdert
    (Optioneel) Aan het einde van de beoordeling verzendt u een melding naar Geef andere gebruikers of groepen op om een melding te ontvangen.
    Helpers voor beoordelaars inschakelen
    Aanvullende inhoud voor e-mail van revisor Een aangepast bericht toevoegen voor revisoren
    Alle andere velden Laat de standaardwaarden voor de resterende opties staan.

    Schermopname van het instellingendialoogvenster voor controle met meerdere fasen voor gasten voor continue toegang tot self-attest.

  9. Volgende selecteren: Beoordelen en maken

  10. Voer de naam van een Toegangsbeoordeling in. (Optioneel) geef een beschrijving op.

  11. Selecteer Maken.

Een beoordeling maken om inactieve externe gasten te verwijderen

  1. Maak een dynamische groep voor de gastgebruikers die u wilt controleren. Bijvoorbeeld:

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Als u een toegangsbeoordeling voor de dynamische groep wilt maken, gaat u naar Microsoft Entra ID > Identity Governance > Access Reviews.

  3. Selecteer Nieuwe toegangsbeoordeling.

  4. Type controle configureren:

    Eigenschappen Weergegeven als
    Selecteer wat u wilt controleren Teams en groepen
    Bereik controleren Teams en groepen selecteren
    Groep De dynamische groep selecteren
    Bereik Alleen gastgebruikers
    Alleen inactieve gebruikers (op tenantniveau) Schakel het selectievakje in
    Dagen inactief Voer het aantal dagen in dat inactiviteit is

    Notitie

    De inactiviteit die u configureert, heeft geen invloed op onlangs gemaakte gebruikers. De toegangsbeoordeling controleert of de gebruiker is gemaakt in het tijdsbestek dat u configureert en negeert gebruikers die ten minste die tijd niet bestaan. Als u bijvoorbeeld de inactiviteitstijd instelt op 90 dagen en een gastgebruiker minder dan 90 dagen geleden is gemaakt of uitgenodigd, valt de gastgebruiker niet binnen het bereik van de Toegangsbeoordeling. Dit zorgt ervoor dat gasten zich eenmaal kunnen aanmelden voordat ze worden verwijderd.

    Schermopname van het dialoogvenster Controletype om inactieve externe gasten te verwijderen.

  5. Selecteer Volgende: Beoordelingen.

  6. Beoordelingen configureren:

    Eigenschappen Weergegeven als
    Revisoren opgeven
    Revisoren selecteren Selecteer Groepseigenaar(s) of een gebruiker of groep.
    (Optioneel) Als u wilt dat het proces geautomatiseerd blijft, selecteert u een revisor die geen actie onderneemt.
    Herhaling van beoordeling opgeven
    Duur (in dagen) Voer een waarde in of selecteer deze op basis van uw voorkeur
    Terugkeerpatroon controleren Selecteer uw voorkeur in de vervolgkeuzelijst
    Begindatum Een datum selecteren
    Eind Kies een optie
  7. Selecteer Volgende: Instellingen.

    Schermopname van het dialoogvenster Beoordelingen om inactieve externe gasten te verwijderen.

  8. Instellingen configureren:

    Eigenschappen Weergegeven als
    Na voltooiingsinstellingen
    Resultaten automatisch toepassen op resource Schakel het selectievakje in
    Als beoordelingen niet reageren Toegang intrekken
    Actie die moet worden toegepast op geweigerde gastgebruikers Blokkeren dat de gebruiker zich 30 dagen aanmeldt en vervolgens de gebruiker uit de tenant verwijdert
    Helpers voor beoordelaars inschakelen
    Geen aanmelding binnen 30 dagen Schakel het selectievakje in
    Alle andere velden Schakel de selectievakjes in of uit op basis van uw voorkeur.

    Schermopname van het dialoogvenster Instellingen om inactieve externe gasten te verwijderen.

  9. Selecteer Volgende: controleren en maken.

  10. Voer de naam van een Toegangsbeoordeling in. (Optioneel) geef een beschrijving op.

  11. Selecteer Maken.

Gastgebruikers die zich niet aanmelden bij de tenant voor het aantal dagen dat u hebt geconfigureerd, worden uitgeschakeld gedurende 30 dagen en vervolgens verwijderd. Na verwijdering kunt u gasten tot 30 dagen terugzetten, waarna een nieuwe uitnodiging nodig is.

Notitie

Als de beslissingen voor toegangsbeoordeling nog niet worden toegepast, kan de API accessReviewInstance: stopApplyDecisions worden gebruikt om actieve beslissingen te stoppen.