Zarządzanie dostępem użytkowników i gości za pomocą przeglądów dostępu
Dzięki przeglądom dostępu można łatwo upewnić się, że użytkownicy lub goście mają odpowiedni dostęp. Możesz poprosić bezpośrednio użytkowników lub osobę podejmującą decyzje o udział w przeglądzie dostępu i ponowne certyfikowanie (potwierdzenie) dostępu użytkowników. Recenzenci mogą przekazać swoje dane wejściowe na potrzeby dalszego dostępu każdego użytkownika na podstawie sugestii z witryny Microsoft Entra ID. Po zakończeniu przeglądu dostępu można wprowadzić zmiany i odebrać dostęp użytkownikom, którzy już go nie potrzebują.
Uwaga
W tym artykule omówiono przeprowadzanie przeglądów dostępu dla użytkowników i aplikacji. Aby zapoznać się z informacjami na temat przeprowadzania przeglądu dostępu dla wielu zasobów w pakietach dostępu, zobacz artykuł Review access of an access package in Microsoft Entra entitlement management (Przejrzyj dostęp do pakietu dostępu w usłudze Microsoft Entra entitlement management). Jeśli chcesz przejrzeć dostęp użytkownika lub jednostki usługi do ról zasobów microsoft Entra ID lub Azure, zobacz Start an access review in Microsoft Entra Privileged Identity Management (Rozpoczynanie przeglądu dostępu w usłudze Microsoft Entra Privileged Identity Management).
Wymagania wstępne
- Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra
Aby uzyskać więcej informacji, zobacz Wymagania licencyjne.
Tworzenie i przeprowadzanie przeglądu dostępu dla użytkowników
Najpierw należy przypisać jedną z następujących ról:
- Globalny administrator usługi
- Administrator użytkowników
- Zarządzanie tożsamościami Administracja istrator
- Uprzywilejowany Administracja istrator ról (tylko w przypadku przeglądów grup z możliwością przypisywania ról)
- (Wersja zapoznawcza) Właściciel grupy microsoft 365 lub Microsoft Entra Security Group do przejrzenia
Uwaga
W przypadku tych zadań zalecamy używanie Administracja istratora zarządzania tożsamościami lub Administracja istratora użytkowników.
Następnie przejdź do strony Zarządzanie tożsamościami, aby upewnić się, że przeglądy dostępu są gotowe dla organizacji.
W przeglądzie dostępu może uczestniczyć jeden lub większa liczba recenzentów.
Wybierz grupę w identyfikatorze Entra firmy Microsoft, który ma co najmniej jednego członka. Możesz też wybrać aplikację połączoną z identyfikatorem Entra firmy Microsoft z przypisanym co najmniej jednym użytkownikiem.
Zdecyduj, czy poszczególni użytkownicy mają dokonać przeglądu własnego dostępu, czy wybrana grupa użytkowników ma przeprowadzić przegląd dostępu wszystkich użytkowników.
W jednej z wymienionych wcześniej ról przejdź do strony Zarządzanie tożsamościami.
Utwórz przegląd dostępu. Aby uzyskać więcej informacji, zobacz Tworzenie przeglądu dostępu grup lub aplikacji.
Po rozpoczęciu przeglądu dostępu poproś recenzentów o podanie danych wejściowych. Domyślnie każda z nich otrzymuje wiadomość e-mail od firmy Microsoft Entra ID z linkiem do panelu dostępu, w którym przegląda dostęp do grup lub aplikacji.
Jeśli recenzenci nie otrzymali danych wejściowych, możesz poprosić microsoft Entra ID o wysłanie przypomnienia. Domyślnie identyfikator Entra firmy Microsoft automatycznie wysyła przypomnienie w połowie daty zakończenia do wszystkich recenzentów.
Po otrzymaniu opinii recenzentów zakończ przegląd dostępu i zastosuj zmiany. Aby uzyskać więcej informacji, zobacz Complete an access review of groups or applications (Ukończ przegląd dostępu grup lub aplikacji).
Zarządzanie dostępem gościa za pomocą przeglądów dostępu firmy Microsoft Entra
Dzięki identyfikatorowi Entra firmy Microsoft można łatwo włączyć współpracę w granicach organizacji przy użyciu funkcji Microsoft Entra B2B. Użytkownicy-goście z innych dzierżaw mogą być zapraszani przez administratorów lub innych użytkowników. Ta funkcja dotyczy również tożsamości społecznościowych, takich jak konta Microsoft.
Tworzenie i przeprowadzanie przeglądu dostępu dla gości
Te same role wymagane do utworzenia przeglądu dostępu dla użytkowników są również wymagane do utworzenia przeglądu dostępu dla gości. Aby uzyskać więcej informacji, zobacz Tworzenie i przeprowadzanie przeglądu dostępu dla użytkowników.
Identyfikator Entra firmy Microsoft umożliwia przeglądanie użytkowników-gości w kilku scenariuszach.
Możesz przejrzeć jedną z następujących czynności:
- Grupa w identyfikatorze Entra firmy Microsoft, która ma co najmniej jednego gościa jako członków.
- Aplikacja połączona z identyfikatorem Entra firmy Microsoft, która ma przypisanych co najmniej jednego użytkownika-gościa.
Podczas przeglądania dostępu użytkowników-gości do grup platformy Microsoft 365 można utworzyć przegląd dla każdej grupy indywidualnie lub włączyć automatyczne, cykliczne przeglądy dostępu użytkowników-gości we wszystkich grupach platformy Microsoft 365. Poniższy film wideo zawiera więcej informacji na temat cyklicznych przeglądów dostępu użytkowników-gości:
Następnie możesz zdecydować, czy każdy gość ma przejrzeć własny dostęp, czy poprosić jednego lub więcej użytkowników o przejrzenie dostępu każdego gościa.
Te scenariusze opisano w poniższych sekcjach.
Poproś gości o przejrzenie własnego członkostwa w grupie
Możesz użyć przeglądów dostępu, aby upewnić się, że użytkownicy, którzy zostali zaproszeni i dodani do grupy, będą nadal potrzebować dostępu. Możesz łatwo poprosić gości o przejrzenie własnego członkostwa w tej grupie.
Aby utworzyć przegląd dostępu dla grupy, wybierz recenzję, aby uwzględnić tylko członków użytkowników-gości, a członkowie sami się przeglądają. Aby uzyskać więcej informacji, zobacz Tworzenie przeglądu dostępu grup lub aplikacji.
Poproś każdego gościa o przejrzenie własnego członkostwa. Domyślnie każdy gość, który zaakceptował zaproszenie, otrzymuje wiadomość e-mail od microsoft Entra ID z linkiem do przeglądu dostępu. Identyfikator Entra firmy Microsoft zawiera instrukcje dla gości dotyczące przeglądania dostępu do grup lub aplikacji.
Po otrzymaniu opinii recenzentów zakończ przegląd dostępu i zastosuj zmiany. Aby uzyskać więcej informacji, zobacz Complete an access review of groups or applications (Ukończ przegląd dostępu grup lub aplikacji).
Oprócz tych użytkowników, którzy odmówili własnego zapotrzebowania na stały dostęp, możesz również usunąć użytkowników, którzy nie odpowiedzieli.
Jeśli grupa nie jest używana do zarządzania dostępem, możesz również usunąć użytkowników, którzy nie zostali wybrani do udziału w przeglądzie, ponieważ nie zaakceptują zaproszenia. Nieakceptowanie może wskazywać, że adres e-mail zaproszonego użytkownika miał literówkę. Jeśli grupa jest używana jako lista dystrybucyjna, być może niektórzy użytkownicy-goście nie zostali wybrani do udziału, ponieważ są to obiekty kontaktowe.
Poproś sponsora o przejrzenie członkostwa gościa w grupie
Możesz poprosić sponsora, takiego jak właściciel grupy, aby przejrzeć potrzebę dalszego członkostwa gościa w grupie.
Aby utworzyć przegląd dostępu dla grupy, wybierz recenzję, aby uwzględnić tylko członków użytkowników-gości. Następnie określ co najmniej jednego recenzenta. Aby uzyskać więcej informacji, zobacz Tworzenie przeglądu dostępu grup lub aplikacji.
Poproś recenzentów o wyrażenie opinii. Domyślnie każda z nich otrzymuje wiadomość e-mail od firmy Microsoft Entra ID z linkiem do panelu dostępu, w którym przegląda dostęp do grup lub aplikacji.
Po otrzymaniu opinii recenzentów zakończ przegląd dostępu i zastosuj zmiany. Aby uzyskać więcej informacji, zobacz Complete an access review of groups or applications (Ukończ przegląd dostępu grup lub aplikacji).
Uwaga
Tożsamości zewnętrzne można zablokować podczas logowania się do dzierżawy i usuwać tożsamości zewnętrzne z dzierżawy po upływie 30 dni. W tym okresie ustawienia, wyniki, recenzenci ani dzienniki inspekcji w ramach bieżącej recenzji nie będą widoczne ani konfigurowalne. Aby uzyskać więcej informacji, zobacz Wyłączanie i usuwanie tożsamości zewnętrznych za pomocą przeglądów dostępu firmy Microsoft Entra.
Poproś gości o przejrzenie własnego dostępu do aplikacji
Możesz użyć przeglądów dostępu, aby upewnić się, że użytkownicy, którzy zostali zaproszeni do określonej aplikacji, będą nadal potrzebować dostępu. Możesz łatwo poprosić gości o zapoznanie się z własną potrzebą dostępu.
Aby utworzyć przegląd dostępu dla aplikacji, wybierz recenzję, aby uwzględnić tylko gości i że użytkownicy będą przeglądać własny dostęp. Aby uzyskać więcej informacji, zobacz Tworzenie przeglądu dostępu grup lub aplikacji.
Poproś każdego gościa o przejrzenie własnego dostępu do aplikacji. Domyślnie każdy gość, który zaakceptował zaproszenie, otrzymuje wiadomość e-mail od microsoft Entra ID. Ta wiadomość e-mail zawiera link do przeglądu dostępu w panelu dostępu organizacji. Identyfikator Entra firmy Microsoft zawiera instrukcje dla gości dotyczące przeglądania dostępu do grup lub aplikacji.
Po otrzymaniu opinii recenzentów zakończ przegląd dostępu i zastosuj zmiany. Aby uzyskać więcej informacji, zobacz Complete an access review of groups or applications (Ukończ przegląd dostępu grup lub aplikacji).
Oprócz użytkowników, którzy nie potrzebują własnego dostępu, możesz również usunąć użytkowników-gości, którzy nie odpowiedzieli. Możesz również usunąć użytkowników-gości, którzy nie zostali wybrani do udziału, zwłaszcza jeśli nie zostali niedawno zaproszeni. Ci użytkownicy nie przyjęli zaproszenia i nie mieli dostępu do aplikacji.
Poproś sponsora o przejrzenie dostępu gościa do aplikacji
Możesz poprosić sponsora, takiego jak właściciel aplikacji, aby przejrzeć potrzebę dalszego dostępu gościa do aplikacji.
Aby utworzyć przegląd dostępu dla aplikacji, wybierz recenzję, aby uwzględnić tylko gości. Następnie określ co najmniej jednego użytkownika jako recenzentów. Aby uzyskać więcej informacji, zobacz Tworzenie przeglądu dostępu grup lub aplikacji.
Poproś recenzentów o wyrażenie opinii. Domyślnie każda z nich otrzymuje wiadomość e-mail od firmy Microsoft Entra ID z linkiem do panelu dostępu, w którym przegląda dostęp do grup lub aplikacji.
Po otrzymaniu opinii recenzentów zakończ przegląd dostępu i zastosuj zmiany. Aby uzyskać więcej informacji, zobacz Complete an access review of groups or applications (Ukończ przegląd dostępu grup lub aplikacji).
Poproś gości, aby przejrzeli potrzebę uzyskania dostępu, ogólnie rzecz biorąc
W niektórych organizacjach goście mogą nie wiedzieć o członkostwie w grupach.
Utwórz grupę zabezpieczeń w identyfikatorze Entra firmy Microsoft z gośćmi jako członkami, jeśli odpowiednia grupa jeszcze nie istnieje. Na przykład można utworzyć grupę z ręcznie utrzymywanym członkostwem gości. Możesz też utworzyć grupę dynamiczną o nazwie takiej jak "Goście firmy Contoso" dla użytkowników w dzierżawie firmy Contoso, którzy mają wartość atrybutu UserType gościa. Należy pamiętać, że użytkownik-gość, który jest członkiem grupy, może zobaczyć innych członków grupy.
Aby utworzyć przegląd dostępu dla tej grupy, wybierz recenzentów, którzy będą sami członkami. Aby uzyskać więcej informacji, zobacz Tworzenie przeglądu dostępu grup lub aplikacji.
Poproś każdego gościa o przejrzenie własnego członkostwa. Domyślnie każdy gość, który zaakceptował zaproszenie, otrzymuje wiadomość e-mail od microsoft Entra ID z linkiem do przeglądu dostępu w panelu dostępu organizacji. Identyfikator Entra firmy Microsoft zawiera instrukcje dla gości dotyczące przeglądania dostępu do grup lub aplikacji.
Po podaniu danych wejściowych recenzentom zatrzymaj przegląd dostępu. Aby uzyskać więcej informacji, zobacz Complete an access review of groups or applications (Ukończ przegląd dostępu grup lub aplikacji).
Usuń dostęp gościa dla gości, którzy zostali odmówieni, nie ukończyli przeglądu lub nie zaakceptują wcześniej zaproszenia. Jeśli niektórzy goście są kontaktami, którzy zostali wybrani do udziału w przeglądzie lub nie zaakceptują wcześniej zaproszenia, możesz wyłączyć swoje konta przy użyciu centrum administracyjnego firmy Microsoft Entra lub programu PowerShell. Jeśli gość nie potrzebuje już dostępu i nie jest kontaktem, możesz usunąć obiekt użytkownika z katalogu przy użyciu centrum administracyjnego firmy Microsoft Entra lub programu PowerShell, aby usunąć obiekt użytkownika-gościa.