Управление гостевым доступом с помощью проверок доступа

С помощью проверок доступа вы можете легко включить совместную работу за пределами организации с помощью функции Azure AD B2B. Администраторы или другие пользователи могут пригласить гостевых пользователей из других клиентов. Эта возможность также касается и удостоверений социальных сетей, например учетных записей Майкрософт.

Вы также можете быстро предоставить соответствующий доступ гостевым пользователям. Вы можете попросить самих гостей или принятия решений принять участие в проверке доступа и повторно сертифицировать (или подтвердить) доступ гостей. Рецензенты могут предоставить пользователю входные данные для непрерывного доступа. Это зависит от предложений Azure AD. По завершении проверки доступа можно внести изменения и отозвать разрешение на доступ для гостей, которым он больше не нужен.

Примечание

В этой статье рассматривается проверка доступа гостевых пользователей. Если вы хотите проверять доступ всех пользователей, а не только гостей, то ознакомьтесь с разделом Управление пользовательским доступом с помощью проверок доступа Azure AD. Если же необходимо проверить членство пользователя с административной ролью, например с ролью глобального администратора, прочитайте статью Запуск проверки доступа в управлении привилегированными пользователями Azure AD.

Предварительные требования

  • Azure AD Premium P2

Дополнительные сведения см. в разделе Требуемые лицензии.

Создание и выполнение проверки доступа для гостей

Прежде всего, вам должна быть назначена одна из следующих ролей:

  • глобальный администратор;
  • Администратор пользователей
  • (Предварительная версия) Владелец группы безопасности Microsoft365 или AAD, которую вы будете проверять

Затем перейдите на страницу Управление удостоверениями, чтобы убедиться, что проверки доступа для вашей организации готовы.

Azure AD обеспечивает несколько сценариев проверок гостевых пользователей.

Вы можете выполнить одну из следующих проверок:

  • Группа в Azure AD с одним или несколькими гостями в качестве участников.
  • Подключенное к Azure AD приложение, которому назначен один или несколько гостевых пользователей.

При проверке доступа гостевых пользователей к группам Microsoft 365 можно либо создать проверку для каждой группы по отдельности, либо включить автоматические, периодические проверки доступа гостевых пользователей во всех группах Microsoft 365. В следующем видео приведены дополнительные сведения о периодических проверках доступа гостевых пользователей.

Определив сценарий, можно решить, предлагать ли каждому гостю самому проверять свой доступ или попросить одного или нескольких пользователей проверять доступ каждого гостя.

Эти сценарии подробно рассматриваются разделах ниже.

Проверка гостями их членства в группе

Проверки доступа можно использовать, чтобы проверять актуальность потребности в доступе пользователей, приглашенных и добавленных в группу. Вы можете легко предложить гостям проверять их членство в группе.

  1. Чтобы запустить проверку доступа для группы, выберите проверку с участием только гостевых пользователей, которую они сами должны выполнить. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  2. Попросите каждого гостя проверить свое участие в группе. По умолчанию каждый гость, который принимает приглашение, получает электронное сообщение от Azure AD со ссылкой на проверку доступа. Azure AD предоставит гостевым пользователям инструкции по проверке доступа к группам и приложениям.

  3. После предоставления рецензентами входных данных остановите проверку доступа и примените изменения. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

  4. Кроме пользователей, которым больше не требуется доступ, вы также можете удалить пользователей, от которых не получили ответ. Пользователи, которые не отвечает, потенциально больше не получат сообщения электронной почты.

  5. Если группа не используется для управления доступом, можно также удалить пользователей, которые не приняли приглашения и, таким образом, не участвовали в проверке доступа. Причиной может быть опечатка в адресе электронной почты приглашенного пользователя. Если группа используется в качестве списка рассылки, возможно, некоторые гостевые пользователи не выбраны, так как они являются контактными объектами.

Проверка членства гостей в группе спонсором

Проверить необходимость дальнейшего членства гостя в группе может спонсор, например владелец группы.

  1. Чтобы создать проверку доступа для группы, выберите проверку с участием только гостевых пользователей. Укажите одного или нескольких рецензентов. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  2. Попросите рецензентов предоставить входные данные. По умолчанию каждый из них получит сообщение от Azure AD со ссылкой на панель доступа, где можно выполнить проверку доступа к группам или приложениям.

  3. После предоставления рецензентами входных данных остановите проверку доступа и примените изменения. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

Проверка гостями их доступа к приложению

Проверки доступа можно использовать, чтобы проверить актуальность потребности в доступе пользователей, которые были приглашены в определенное приложение. Можно легко попросить гостей, чтобы они сами проверили актуальность потребности в доступе.

  1. Чтобы создать проверку доступа для приложения, выберите проверку с участием только гостевых пользователей, которую они сами должны выполнить. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  2. Попросите каждого гостя проверить свой доступ к приложению. По умолчанию каждый гость, который принимает приглашение, получает письмо от Azure AD. Это сообщение содержит ссылку на проверку доступа на панели доступа вашей организации. Azure AD предоставит гостевым пользователям инструкции по проверке доступа к группам и приложениям.

  3. После предоставления рецензентами входных данных остановите проверку доступа и примените изменения. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

  4. Помимо пользователей, которым больше не требуется доступ, вы также можете удалить гостевых пользователей, от которых не получили ответ. Пользователи, которые не отвечает, потенциально больше не получат сообщения электронной почты. Кроме того, можно удалить гостевых пользователей, которые не участвовали в проверке доступа, в частности, которые не приняли приглашения. Эти пользователи не приняли приглашение и поэтому не имеют доступа к приложению.

Проверка доступа гостей к приложению спонсором

Проверить необходимость дальнейшего доступа гостя к приложению может спонсор, например владелец приложения.

  1. Чтобы создать проверку доступа к приложению, выберите проверку с участием только гостевых пользователей. Укажите одного или нескольких пользователей в качестве рецензентов. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  2. Попросите рецензентов предоставить входные данные. По умолчанию каждый из них получит сообщение от Azure AD со ссылкой на панель доступа, где можно выполнить проверку доступа к группам или приложениям.

  3. После предоставления рецензентами входных данных остановите проверку доступа и примените изменения. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

Проверка причин гостей для получения доступа

В некоторых организациях гости могут не знать, какая роль им назначена в группе.

Примечание

В более ранних версиях портала Azure пользователям, у которых атрибут UserType имел значение Guest, был запрещен административный доступ. В некоторых случаях администратор в каталоге мог изменить значение атрибута UserType гостя на Member с помощью PowerShell. Если это изменение было сделано ранее в вашем каталоге, то предыдущий запрос мог не включать в себя всех гостевых пользователей, которые уже имели права доступа администратора. В этом случае необходимо изменить значение атрибута UserType гостя или вручную добавить этого гостя в группу.

  1. Создайте группу безопасности в Azure AD, добавив гостей как участников, если такая группа не была создана ранее. Например, вы можете создать группу, вручную добавив гостей как участников. Вы можете также создать динамическую группу, например "Гости Contoso", для пользователей клиента Contoso со значением Guest для атрибута UserType. Для повышения эффективности убедитесь, что группа включает в себя преимущественно гостей. Не выбирайте группу, которая включает в себя пользователей-участников, поскольку их не нужно просматривать. Не забывайте, что гостевой пользователь, который является членом группы, может видеть других членов группы.

  2. Чтобы создать проверку доступа для этой группы, выберите в качестве рецензентов ее участников. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  3. Попросите каждого гостя проверить свое участие в группе. По умолчанию каждый гость, который принимает приглашение, получает электронное сообщение из Azure AD со ссылкой на проверку доступа, доступной на панели доступа организации. Azure AD предоставит гостевым пользователям инструкции по проверке доступа к группам и приложениям. Гости, которые не приняли свое приглашение, отобразятся в результатах просмотра со статусом "Нет уведомлений".

  4. После предоставления рецензентами входных данных остановите проверку доступа. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

  5. Вы можете автоматически удалять учетные записи гостевых пользователей Azure AD B2B в рамках проверки доступа, если настроите для проверки доступа режим Выбранная команда и группы. Этот параметр недоступен для всех групп Microsoft 365 с гостевыми пользователями.

Снимок экрана: страница создания проверки доступа.

Для этого выберите вариант Автоматически применить результаты к ресурсу, что приведет к автоматическому удалению пользователя из ресурса. Для параметра Если рецензент не отвечает должен быть указан вариант Удалить доступ, а для параметра Действие, которое будет применено к гостевым пользователям, которым было отказано в доступе — значение Запретить вход в систему в течение 30 дней, а затем удалить пользователя из клиента.

Такая настройка немедленно блокирует вход в учетную запись гостевого пользователя, а по истечении 30 дней автоматически удаляет соответствующую учетную запись Azure AD B2B.

Дальнейшие действия