Verouderde gastaccounts bewaken en opschonen met behulp van toegangsbeoordelingen
Wanneer gebruikers samenwerken met externe partners, is het mogelijk dat veel gastaccounts na verloop van tijd worden gemaakt in Microsoft Entra-tenants. Wanneer de samenwerking afloopt en de gebruikers geen toegang meer hebben tot uw tenant, kunnen de gastaccounts verlopen. Beheerders kunnen gastaccounts op schaal bewaken met behulp van inactieve gastinzichten. Beheerders kunnen ook Toegangsbeoordelingen gebruiken om inactieve gastgebruikers automatisch te controleren, hen te blokkeren zich aan te melden en ze uit de directory te verwijderen.
Meer informatie over het beheren van inactieve gebruikersaccounts in Microsoft Entra ID.
Er zijn enkele aanbevolen patronen die effectief zijn bij het bewaken en opschonen van verouderde gastaccounts:
Bewaak gastaccounts op schaal met intelligente inzichten in inactieve gasten in uw organisatie met behulp van een inactief gastrapport. Pas de drempelwaarde voor inactiviteit aan, afhankelijk van de behoeften van uw organisatie, beperk het bereik van gastgebruikers die u wilt bewaken en identificeer de gastgebruikers die mogelijk inactief zijn.
Maak een beoordeling met meerdere fasen, waarbij gasten zelf attesteren of ze nog steeds toegang nodig hebben. Een revisor uit het tweede stadium beoordeelt resultaten en neemt een definitieve beslissing. Gasten met geweigerde toegang worden uitgeschakeld en later verwijderd.
Maak een beoordeling om inactieve externe gasten te verwijderen. Beheerders definiëren inactief als periode van dagen. Ze schakelen gasten uit en verwijderen ze die zich binnen die periode niet aanmelden bij de tenant. Dit heeft standaard geen invloed op onlangs gemaakte gebruikers. Meer informatie over het identificeren van inactieve accounts.
Gebruik de volgende instructies voor meer informatie over het verbeteren van de bewaking van inactieve gastaccounts op schaal en het maken van Toegangsbeoordelingen die deze patronen volgen. Houd rekening met de configuratieaan aanbevelingen en breng vervolgens de benodigde wijzigingen aan die aansluiten bij uw omgeving.
Licentievereisten
Voor het gebruik van deze functie zijn Microsoft Entra ID-governance- of Microsoft Entra Suite-licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.
Gastaccounts op schaal bewaken met inactieve gastinzichten
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Meld u aan bij het Microsoft Entra-beheercentrum.
Bladeren naar dashboard voor identiteitsbeheer>
Open het rapport van het inactieve gastaccount door naar de kaart Gasttoegangsbeheer te navigeren en vervolgens Inactieve gasten weergeven te selecteren.
U ziet het inactieve gastrapport dat inzicht geeft in inactieve gastgebruikers op basis van 90 dagen inactiviteit. De drempelwaarde is standaard ingesteld op 90 dagen, maar kan worden geconfigureerd met 'Drempelwaarde voor inactiviteit bewerken' op basis van de behoeften van uw organisatie.
De volgende inzichten worden gegeven als onderdeel van dit rapport:
- Overzicht van gastaccounts (totaal aantal gasten en inactieve gasten met verdere categorisatie van gasten die zich nooit ten minste één keer hebben aangemeld of aangemeld)
- Distributie van gast-inactiviteit (percentagedistributie van gastgebruikers op basis van dagen sinds laatste aanmelding)
- Overzicht van gast-inactiviteit (richtlijnen voor gast-inactiviteit voor het configureren van de drempelwaarde voor inactiviteit)
- Overzicht van gastaccounts (een uitvoerbare tabelweergave met details van alle gastaccounts met inzicht in hun activiteitsstatus. De activiteitsstatus kan actief of inactief zijn op basis van de geconfigureerde drempelwaarde voor inactiviteit)
De inactieve dagen worden berekend op basis van de laatste aanmeldingsdatum als de gebruiker zich ten minste één keer heeft aangemeld. Voor gebruikers die zich nooit hebben aangemeld, worden de inactieve dagen berekend op basis van de aanmaakdatum.
Notitie
Het rapport met gastinzichten kan worden gedownload met 'Alle gegevens downloaden'. Elke te downloaden actie kan enige tijd duren, afhankelijk van het aantal gastgebruikers en het downloaden voor maximaal 1 miljoen gastgebruikers mogelijk maakt.
Een beoordeling met meerdere fasen maken voor gasten om de toegang zelf te bevestigen
Maak een dynamische groep voor de gastgebruikers die u wilt controleren. Bijvoorbeeld:
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)Als u een Toegangsbeoordeling voor de dynamische groep wilt maken, gaat u naar Microsoft Entra ID > Identity Governance > Access Reviews.
Selecteer Nieuwe toegangsbeoordeling.
Configureer beoordelingstype.
Eigenschappen Weergegeven als Selecteer wat u wilt controleren Teams en groepen Bereik controleren Teams en groepen selecteren Groep De dynamische groep selecteren Bereik Alleen gastgebruikers (Optioneel) Inactieve gasten bekijken Schakel het selectievakje alleen in voor inactieve gebruikers (op tenantniveau).
Voer het aantal dagen in dat inactiviteit is.
Selecteer Volgende: Beoordelingen.
Beoordelingen configureren:
Eigenschappen Weergegeven als Beoordeling van eerste fase Beoordeling met meerdere fasen Schakel het selectievakje in Revisoren selecteren Gebruikers beoordelen hun eigen toegang Duur van fase (in dagen) Voer het aantal dagen in Beoordeling tweede fase Revisoren selecteren Groepseigenaar(s) of Geselecteerde gebruiker(en) of groep(en) Duur van fase (in dagen) Voer het aantal dagen in.
(Optioneel) Geef een terugvalrevisor op.Herhaling van beoordeling opgeven Terugkeerpatroon controleren Selecteer uw voorkeur in de vervolgkeuzelijst Begindatum Een datum selecteren Eind Selecteer uw voorkeur Beoordelingsfuncties opgeven om naar de volgende fase te gaan Reviewees die naar de volgende fase gaan Selecteer beoordelingsfuncties. Selecteer bijvoorbeeld gebruikers die zelf goedgekeurde of gereageerd hebben , niet weten. 
Selecteer Volgende: Instellingen.
Instellingen configureren:
Eigenschappen Weergegeven als Na voltooiingsinstellingen Resultaten automatisch toepassen op resource Schakel het selectievakje in Als revisoren niet reageren Toegang intrekken Actie die moet worden toegepast op geweigerde gastgebruikers Blokkeren dat de gebruiker zich 30 dagen aanmeldt en vervolgens de gebruiker uit de tenant verwijdert (Optioneel) Aan het einde van de beoordeling verzendt u een melding naar Geef andere gebruikers of groepen op om een melding te ontvangen. Helpers voor beoordelaars inschakelen Aanvullende inhoud voor e-mail van revisor Een aangepast bericht toevoegen voor revisoren Alle andere velden Laat de standaardwaarden voor de resterende opties staan. 
Volgende selecteren: Beoordelen en maken
Voer de naam van een Toegangsbeoordeling in. (Optioneel) geef een beschrijving op.
Selecteer Maken.
Een beoordeling maken om inactieve externe gasten te verwijderen
Maak een dynamische groep voor de gastgebruikers die u wilt controleren. Bijvoorbeeld:
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)Als u een toegangsbeoordeling voor de dynamische groep wilt maken, gaat u naar Microsoft Entra ID > Identity Governance > Access Reviews.
Selecteer Nieuwe toegangsbeoordeling.
Type controle configureren:
Eigenschappen Weergegeven als Selecteer wat u wilt controleren Teams en groepen Bereik controleren Teams en groepen selecteren Groep De dynamische groep selecteren Bereik Alleen gastgebruikers Alleen inactieve gebruikers (op tenantniveau) Schakel het selectievakje in Dagen inactief Voer het aantal dagen in dat inactiviteit is Notitie
De inactiviteit die u configureert, heeft geen invloed op onlangs gemaakte gebruikers. De toegangsbeoordeling controleert of de gebruiker is gemaakt in het tijdsbestek dat u configureert en negeert gebruikers die ten minste die tijd niet bestaan. Als u bijvoorbeeld de inactiviteitstijd instelt op 90 dagen en een gastgebruiker minder dan 90 dagen geleden is gemaakt of uitgenodigd, valt de gastgebruiker niet binnen het bereik van de Toegangsbeoordeling. Dit zorgt ervoor dat gasten zich eenmaal kunnen aanmelden voordat ze worden verwijderd.
Selecteer Volgende: Beoordelingen.
Beoordelingen configureren:
Eigenschappen Weergegeven als Revisoren opgeven Revisoren selecteren Selecteer Groepseigenaar(s) of een gebruiker of groep.
(Optioneel) Als u wilt dat het proces geautomatiseerd blijft, selecteert u een revisor die geen actie onderneemt.Herhaling van beoordeling opgeven Duur (in dagen) Voer een waarde in of selecteer deze op basis van uw voorkeur Terugkeerpatroon controleren Selecteer uw voorkeur in de vervolgkeuzelijst Begindatum Een datum selecteren Eind Kies een optie Selecteer Volgende: Instellingen.
Instellingen configureren:
Eigenschappen Weergegeven als Na voltooiingsinstellingen Resultaten automatisch toepassen op resource Schakel het selectievakje in Als beoordelingen niet reageren Toegang intrekken Actie die moet worden toegepast op geweigerde gastgebruikers Blokkeren dat de gebruiker zich 30 dagen aanmeldt en vervolgens de gebruiker uit de tenant verwijdert Helpers voor beoordelaars inschakelen Geen aanmelding binnen 30 dagen Schakel het selectievakje in Alle andere velden Schakel de selectievakjes in of uit op basis van uw voorkeur. 
Selecteer Volgende: controleren en maken.
Voer de naam van een Toegangsbeoordeling in. (Optioneel) geef een beschrijving op.
Selecteer Maken.
Gastgebruikers die zich niet aanmelden bij de tenant voor het aantal dagen dat u hebt geconfigureerd, worden uitgeschakeld gedurende 30 dagen en vervolgens verwijderd. Na verwijdering kunt u gasten tot 30 dagen terugzetten, waarna een nieuwe uitnodiging nodig is.
Notitie
Als de beslissingen voor toegangsbeoordeling nog niet worden toegepast, kan de API accessReviewInstance: stopApplyDecisions worden gebruikt om actieve beslissingen te stoppen.