Управление пользовательским и гостевым доступом с помощью проверок доступа

  • Статья

С помощью проверок доступа вы можете легко убедиться, что у пользователей или гостей есть соответствующий доступ. Для этого предложите самому пользователю или руководителю пройти проверку доступа и повторно сертифицировать (или подтвердить) права доступа пользователя. Рецензенты могут предоставить свои входные данные о необходимости постоянного доступа каждого пользователя на основе предложений из идентификатора Microsoft Entra. По завершении проверки доступа можно внести изменения и отозвать разрешение на доступ для пользователей, которым он больше не нужен.

Примечание.

В этой статье рассматриваются проверки доступа для пользователей и приложений. Сведения о проведении проверки доступа для нескольких ресурсов в пакетах доступа см. в этой статье. Просмотрите доступ к пакету доступа в службе управления правами Microsoft Entra. Если вы хотите просмотреть доступ пользователя или субъекта-службы к ролям ресурсов Microsoft Entra или Azure, ознакомьтесь с разделом "Запуск проверки доступа" в Microsoft Entra управление привилегированными пользователями.

Необходимые компоненты

  • Идентификатор Microsoft Entra P2 или Управление идентификацией Microsoft Entra

Дополнительные сведения см. в статье Лицензионные требования.

Создание и выполнение проверки доступа для пользователей

Прежде всего, вам должна быть назначена одна из следующих ролей:

  • Глобальный администратор
  • Администратор пользователей
  • Администратор управления удостоверениями
  • Администратор привилегированных ролей (только для проверок групп с возможностью назначения ролей)
  • (предварительная версия) Владелец группы безопасности Microsoft 365 или Microsoft Entra Security Group, который необходимо проверить

Затем перейдите на страницу Управление удостоверениями, чтобы убедиться, что проверки доступа для вашей организации готовы.

Проверку доступа могут выполнять один или несколько пользователей в качестве проверяющих.

  1. Выберите группу в идентификаторе Microsoft Entra с одним или несколькими участниками. Или выберите приложение, подключенное к идентификатору Microsoft Entra, которому назначено одно или несколько пользователей.

  2. Выберите тип проверки: для отдельной процедуры доступа каждого пользователя или для общего доступа одного или нескольких пользователей.

  3. В одной из ранее перечисленных ролей перейдите на страницу управления удостоверениями.

  4. Создайте проверку доступа. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  5. Когда начнется проверка доступа, попросите проверяющих предоставить входные данные. По умолчанию каждый из них получает сообщение электронной почты от идентификатора Microsoft Entra с ссылкой на панель доступа, где они просматривают доступ к группам или приложениям.

  6. Если рецензенты не предоставили входные данные, вы можете попросить идентификатора Microsoft Entra отправить им напоминание. По умолчанию идентификатор Microsoft Entra ID автоматически отправляет напоминание на полпути к дате окончания для всех рецензентов.

  7. После предоставления рецензентами входных данных остановите проверку доступа и примените изменения. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

Управление гостевым доступом с помощью проверок доступа Microsoft Entra

С помощью идентификатора Microsoft Entra можно легко включить совместную работу по границам организации с помощью функции Microsoft Entra B2B. Администраторы или другие пользователи могут пригласить гостевых пользователей из других клиентов. Эта возможность также касается и удостоверений социальных сетей, например учетных записей Майкрософт.

Создание и выполнение проверки доступа для гостей

Для создания проверки доступа для гостей необходимы те же роли, которые применялись для создания проверки доступа для пользователей. Дополнительные сведения см. в разделе о создании и выполнении проверки доступа для пользователей.

Идентификатор Microsoft Entra включает несколько сценариев для просмотра гостевых пользователей.

Вы можете выполнить одну из следующих проверок:

  • Группа в идентификаторе Microsoft Entra, которая содержит одного или нескольких гостей в качестве участников.
  • Приложение, подключенное к идентификатору Microsoft Entra, которому назначено одно или несколько гостевых пользователей.

При проверке доступа гостевых пользователей к группам Microsoft 365 можно либо создать проверку для каждой группы по отдельности, либо включить автоматические, периодические проверки доступа гостевых пользователей во всех группах Microsoft 365. В следующем видео приведены дополнительные сведения о периодических проверках доступа гостевых пользователей.

Определив сценарий, можно решить, предлагать ли каждому гостю самому проверять свой доступ или попросить одного или нескольких пользователей проверять доступ каждого гостя.

Эти сценарии подробно рассматриваются разделах ниже.

Проверка гостями их членства в группе

Проверки доступа можно использовать, чтобы проверять актуальность потребности в доступе пользователей, приглашенных и добавленных в группу. Вы можете легко предложить гостям проверять их членство в группе.

  1. Чтобы запустить проверку доступа для группы, выберите проверку с участием только гостевых пользователей, которую они сами должны выполнить. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  2. Попросите каждого гостя проверить свое участие в группе. По умолчанию каждый гость, принимающий приглашение, получает сообщение электронной почты от идентификатора Microsoft Entra с ссылкой на проверку доступа. Идентификатор Microsoft Entra содержит инструкции для гостей о том, как просмотреть доступ к группам или приложениям.

  3. После предоставления рецензентами входных данных остановите проверку доступа и примените изменения. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

  4. Кроме пользователей, которым больше не требуется доступ, вы также можете удалить пользователей, от которых не получили ответ.

  5. Если группа не используется для управления доступом, можно также удалить пользователей, которые не приняли приглашения и, таким образом, не участвовали в проверке доступа. Причиной может быть опечатка в адресе электронной почты приглашенного пользователя. Если группа используется в качестве списка рассылки, возможно, некоторые гостевые пользователи не выбраны, так как они являются контактными объектами.

Проверка членства гостей в группе спонсором

Проверить необходимость дальнейшего членства гостя в группе может спонсор, например владелец группы.

  1. Чтобы создать проверку доступа для группы, выберите проверку с участием только гостевых пользователей. Укажите одного или нескольких рецензентов. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  2. Попросите рецензентов предоставить входные данные. По умолчанию каждый из них получает сообщение электронной почты от идентификатора Microsoft Entra с ссылкой на панель доступа, где они просматривают доступ к группам или приложениям.

  3. После предоставления рецензентами входных данных остановите проверку доступа и примените изменения. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

Примечание.

Вы можете блокировать вход внешних удостоверений в клиент и удалять внешние удостоверения из клиента через 30 дней. В течение этого времени настройки, результаты, рецензенты или журналы аудита в текущей проверке будут недоступны для просмотра или настройки. Дополнительные сведения см. в разделе "Отключение и удаление внешних удостоверений" с помощью проверок доступа Microsoft Entra.

Проверка гостями их доступа к приложению

Проверки доступа можно использовать, чтобы проверить актуальность потребности в доступе пользователей, которые были приглашены в определенное приложение. Можно легко попросить гостей, чтобы они сами проверили актуальность потребности в доступе.

  1. Чтобы создать проверку доступа для приложения, выберите проверку с участием только гостевых пользователей, которую они сами должны выполнить. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  2. Попросите каждого гостя проверить свой доступ к приложению. По умолчанию каждый гость, принимающий приглашение, получает сообщение электронной почты от идентификатора Microsoft Entra. Это сообщение содержит ссылку на проверку доступа на панели доступа вашей организации. Идентификатор Microsoft Entra содержит инструкции для гостей о том, как просмотреть доступ к группам или приложениям.

  3. После предоставления рецензентами входных данных остановите проверку доступа и примените изменения. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

  4. Помимо пользователей, которым больше не требуется доступ, вы также можете удалить гостевых пользователей, от которых не получили ответ. Кроме того, можно удалить гостевых пользователей, которые не участвовали в проверке доступа, в частности, которые не приняли приглашения. Эти пользователи не приняли приглашение и поэтому не имеют доступа к приложению.

Проверка доступа гостей к приложению спонсором

Проверить необходимость дальнейшего доступа гостя к приложению может спонсор, например владелец приложения.

  1. Чтобы создать проверку доступа к приложению, выберите проверку с участием только гостевых пользователей. Укажите одного или нескольких пользователей в качестве рецензентов. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  2. Попросите рецензентов предоставить входные данные. По умолчанию каждый из них получает сообщение электронной почты от идентификатора Microsoft Entra с ссылкой на панель доступа, где они просматривают доступ к группам или приложениям.

  3. После предоставления рецензентами входных данных остановите проверку доступа и примените изменения. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

Проверка причин гостей для получения доступа

В некоторых организациях гости могут не знать, какая роль им назначена в группе.

  1. Создайте группу безопасности в идентификаторе Microsoft Entra с гостями в качестве участников, если подходящая группа еще не существует. Например, вы можете создать группу, вручную добавив гостей как участников. Вы можете также создать динамическую группу, например "Гости Contoso", для пользователей клиента Contoso со значением Guest для атрибута UserType. Обратите внимание, что гостевой пользователь, который является членом группы, может видеть других членов группы.

  2. Чтобы создать проверку доступа для этой группы, выберите в качестве рецензентов ее участников. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  3. Попросите каждого гостя проверить свое участие в группе. По умолчанию каждый гость, принимающий приглашение, получает сообщение электронной почты от идентификатора Microsoft Entra с ссылкой на проверку доступа на панели доступа вашей организации. Идентификатор Microsoft Entra содержит инструкции для гостей о том, как просмотреть доступ к группам или приложениям.

  4. После предоставления рецензентами входных данных остановите проверку доступа. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

  5. Отключите доступ для гостей, которые не были участниками проверки доступа, не выполнили проверку или не приняли приглашение ранее. Если некоторые из гостей являются контактами, которые были выбраны для участия в проверке или они ранее не приняли приглашение, вы можете отключить свои учетные записи с помощью Центра администрирования Microsoft Entra или PowerShell. Если гостевой пользователь больше не нуждается в доступе и не является контактом, его объект пользователя можно удалить из каталога с помощью Центра администрирования Microsoft Entra или PowerShell для удаления объекта гостевого пользователя.

Следующие шаги

Создание проверки доступа групп или приложений