Hantera gäståtkomst med Microsoft Entra åtkomstgranskningar

Med Microsoft Entra kan du enkelt aktivera samarbete över organisationens gränser med hjälp av funktionen Azure AD B2B. Gästanvändare från andra klienter kan bjudas in av administratörer eller av andra användare. Den här funktionen gäller även för sociala identiteter som Microsoft konton.

Du kan också enkelt se till att gästanvändare har lämplig åtkomst. Du kan be gästerna själva eller en beslutsfattare att delta i en åtkomstgranskning och omcertifiera (eller intyga) till gästernas åtkomst. Granskarna kan ge sin syn på varje användares behov för kontinuerlig åtkomst, baserat på förslag från Azure AD. När en åtkomstgranskning är klar kan du sedan göra ändringar och ta bort åtkomst för gäster som inte längre behöver den.

Anteckning

Det här dokumentet fokuserar på att granska gästanvändares åtkomst. Om du vill granska alla användares åtkomst, inte bara gäster, kan du läsa Hantera användaråtkomst med åtkomstgranskningar. Om du vill granska användares medlemskap i administrativa roller, som global administratör, läser du Starta en åtkomstgranskning i Azure AD Privileged Identity Management.

Krav

  • Azure AD Premium P2

Mer information finns i Licenskrav.

Skapa och utföra en åtkomstgranskning för gäster

Först måste du tilldelas någon av följande roller:

  • global administratör
  • Användaradministratör
  • (Förhandsversion) Microsoft 365 eller Azure AD säkerhetsgruppsägare för gruppen som ska granskas

Gå sedan till sidan Identitetsstyrning för att se till att åtkomstgranskningar är redo för din organisation.

Azure AD möjliggör flera scenarier för granskning av gästanvändare.

Du kan granska något av följande:

  • En grupp i Azure AD som har en eller flera gäster som medlemmar.
  • Ett program som är anslutet till Azure AD som har en eller flera gästanvändare tilldelade till sig.

När du granskar gästanvändarens åtkomst till Microsoft 365 grupper kan du antingen skapa en granskning för varje grupp individuellt eller aktivera automatiska återkommande åtkomstgranskningar av gästanvändare i alla Microsoft 365 grupper. Följande video innehåller mer information om återkommande åtkomstgranskningar av gästanvändare:

Du kan sedan bestämma om du vill be varje gäst att granska sin egen åtkomst eller be en eller flera användare att granska varje gästs åtkomst.

Dessa scenarier beskrivs i följande avsnitt.

Be gästerna att granska sitt eget medlemskap i en grupp

Du kan använda åtkomstgranskningar för att se till att användare som har bjudits in och lagts till i en grupp fortsätter att behöva åtkomst. Du kan enkelt be gäster att granska sitt eget medlemskap i den gruppen.

  1. Om du vill skapa en åtkomstgranskning för gruppen väljer du den granskning som endast ska inkludera gästanvändarmedlemmar och som medlemmarna granskar själva. Mer information finns i Skapa en åtkomstgranskning av grupper eller program.

  2. Be varje gäst att granska sitt eget medlemskap. Som standard får varje gäst som accepterade en inbjudan ett e-postmeddelande från Azure AD med en länk till åtkomstgranskningen. Azure AD har instruktioner för gäster om hur du granskar åtkomst till grupper eller program.

  3. När granskarna har framfört sina åsikter avslutar du åtkomstgranskningen och tillämpar ändringarna. Mer information finns i Slutföra en åtkomstgranskning av grupper eller program.

  4. Förutom de användare som nekade sitt eget behov av fortsatt åtkomst kan du även ta bort användare som inte svarade. Icke-svarande användare kan inte längre få e-post.

  5. Om gruppen inte används för åtkomsthantering kan du också ta bort användare som inte har valts att delta i granskningen eftersom de inte accepterade sin inbjudan. Att inte acceptera kan tyda på att den inbjudna användarens e-postadress hade ett skrivfel. Om en grupp används som en distributionslista kanske vissa gästanvändare inte har valts att delta eftersom de är kontaktobjekt.

Be en sponsor att granska en gästs medlemskap i en grupp

Du kan be en sponsor, till exempel ägare av en grupp, att granska en gästs behov av fortsatt medlemskap i en grupp.

  1. Om du vill skapa en åtkomstgranskning för gruppen väljer du den granskning som endast ska inkludera gästanvändarmedlemmar. Ange sedan en eller flera granskare. Mer information finns i Skapa en åtkomstgranskning av grupper eller program.

  2. Be granskarna att komma med reflektioner. Som standard får de var och en ett e-postmeddelande från Azure AD med en länk till åtkomstpanelen, där de granskar åtkomst till grupper eller program.

  3. När granskarna har framfört sina åsikter avslutar du åtkomstgranskningen och tillämpar ändringarna. Mer information finns i Slutföra en åtkomstgranskning av grupper eller program.

Be gästerna att granska sin egen åtkomst till ett program

Du kan använda åtkomstgranskningar för att säkerställa att användare som har bjudits in för ett visst program fortsätter att behöva åtkomst. Du kan enkelt be gästerna själva att granska sina egna behov av åtkomst.

  1. Om du vill skapa en åtkomstgranskning för programmet väljer du recensionen för att endast inkludera gäster och att användarna granskar sin egen åtkomst. Mer information finns i Skapa en åtkomstgranskning av grupper eller program.

  2. Be varje gäst att granska sin egen åtkomst till programmet. Som standard får varje gäst som accepterade en inbjudan ett e-postmeddelande från Azure AD. E-postmeddelandet har en länk till åtkomstgranskningen i din organisations åtkomstpanel. Azure AD har instruktioner för gäster om hur du granskar åtkomst till grupper eller program.

  3. När granskarna har framfört sina åsikter avslutar du åtkomstgranskningen och tillämpar ändringarna. Mer information finns i Slutföra en åtkomstgranskning av grupper eller program.

  4. Förutom användare som nekade sitt eget behov av fortsatt åtkomst kan du även ta bort gästanvändare som inte svarade. Icke-svarande användare kan inte längre få e-post. Du kan också ta bort gästanvändare som inte har valts att delta, särskilt om de inte nyligen har bjudits in. Dessa användare accepterade inte sin inbjudan och hade därför inte åtkomst till programmet.

Be en sponsor att granska en gästs åtkomst till ett program

Du kan be en sponsor, till exempel ägaren av ett program, att granska gästens behov av fortsatt åtkomst till programmet.

  1. Om du vill skapa en åtkomstgranskning för programmet väljer du den granskning som endast ska inkludera gäster. Ange sedan en eller flera användare som granskare. Mer information finns i Skapa en åtkomstgranskning av grupper eller program.

  2. Be granskarna att komma med reflektioner. Som standard får de var och en ett e-postmeddelande från Azure AD med en länk till åtkomstpanelen, där de granskar åtkomst till grupper eller program.

  3. När granskarna har framfört sina åsikter avslutar du åtkomstgranskningen och tillämpar ändringarna. Mer information finns i Slutföra en åtkomstgranskning av grupper eller program.

Be gästerna att granska deras behov av åtkomst, i allmänhet

I vissa organisationer kanske gästerna inte känner till sina gruppmedlemskap.

Anteckning

Tidigare versioner av Azure Portal tillät inte administrativ åtkomst av användare med UserType of Guest. I vissa fall kan en administratör i din katalog ha ändrat en gästs UserType-värde till Medlem med hjälp av PowerShell. Om den här ändringen tidigare har inträffat i din katalog kanske den tidigare frågan inte innehåller alla gästanvändare som tidigare hade administratörsbehörighet. I det här fallet måste du antingen ändra gästens UserType eller manuellt inkludera gästen i gruppmedlemskapet.

  1. Skapa en säkerhetsgrupp i Azure AD med gästerna som medlemmar, om det inte redan finns en lämplig grupp. Du kan till exempel skapa en grupp med ett manuellt underhållet medlemskap för gäster. Eller så kan du skapa en dynamisk grupp med ett namn som "Gäster i Contoso" för användare i Contoso-klientorganisationen som har attributet UserType som gäst. För effektivitet ska du se till att gruppen är övervägande gäster – välj inte en grupp som har medlemsanvändare, eftersom medlemsanvändare inte behöver granskas. Tänk också på att en gästanvändare som är medlem i gruppen kan se de andra medlemmarna i gruppen.

  2. Om du vill skapa en åtkomstgranskning för gruppen väljer du de granskare som själva ska vara medlemmar. Mer information finns i Skapa en åtkomstgranskning av grupper eller program.

  3. Be varje gäst att granska sitt eget medlemskap. Som standard får varje gäst som accepterade en inbjudan ett e-postmeddelande från Azure AD med en länk till åtkomstgranskningen i din organisations åtkomstpanel. Azure AD har instruktioner för gäster om hur du granskar åtkomst till grupper eller program. De gäster som inte accepterade sin inbjudan visas i granskningsresultatet som "Inte meddelad".

  4. När granskarna har angett indata stoppar du åtkomstgranskningen. Mer information finns i Slutföra en åtkomstgranskning av grupper eller program.

  5. Du kan automatiskt ta bort gästanvändare Azure AD B2B-konton som en del av en åtkomstgranskning när du konfigurerar en åtkomstgranskning för Välj team + grupper. Det här alternativet är inte tillgängligt för alla Microsoft 365 grupper med gästanvändare.

Skärmbild som visar sidan för att skapa åtkomstgranskning.

Om du vill göra det väljer du Tillämpa resultat automatiskt på resursen eftersom användaren tas bort automatiskt från resursen. Om granskaren inte svarar ska anges till Ta bort åtkomst och Åtgärd som ska tillämpas på nekade gästanvändare bör också anges till Blockera från att logga in i 30 dagar och sedan ta bort användaren från klientorganisationen.

Detta blockerar omedelbart inloggningen till gästanvändarkontot och tar sedan automatiskt bort deras Azure AD B2B-konto efter 30 dagar.

Nästa steg

Skapa en åtkomstgranskning av grupper eller program