Hantera extern åtkomst med Microsoft Entra-berättigandehantering

Använd funktionen berättigandehantering för att hantera identitets- och åtkomstlivscykeln. Du kan automatisera arbetsflöden för åtkomstbegäran, åtkomsttilldelningar, granskningar och förfallodatum. Delegerade icke-administratörer använder berättigandehantering för att skapa åtkomstpaket som externa användare, från andra organisationer, kan begära åtkomst till. Ett och flera arbetsflöden för godkännande kan konfigureras för att utvärdera begäranden och etablera användare för tidsbegränsad åtkomst med återkommande granskningar. Använd berättigandehantering för principbaserad etablering och avetablering av externa konton.

Läs mer:

• Vad är berättigandehantering?
• Vad är åtkomstpaket och vilka resurser kan jag hantera med dem?
• Vad är etablering?

Innan du börjar

Den här artikeln är nummer 6 i en serie med 10 artiklar. Vi rekommenderar att du granskar artiklarna i ordning. Gå till avsnittet Nästa steg för att se hela serien.

Aktivera berättigandehantering

Följande viktiga begrepp är viktiga att förstå för berättigandehantering.

Åtkomstpaket

Ett åtkomstpaket är grunden för berättigandehantering: grupper av principstyrda resurser så att användare kan samarbeta i ett projekt eller utföra andra uppgifter. Ett åtkomstpaket kan till exempel innehålla:

• Åtkomst till SharePoint-webbplatser
• Företagsprogram, inklusive dina anpassade interna appar och SaaS-appar (programvara som en tjänst), till exempel Salesforce
• Microsoft Teams
• Microsoft 365 Groups

Kataloger

Åtkomstpaket finns i kataloger. När du vill gruppera relaterade resurser och komma åt paket och delegera deras hantering skapar du en katalog. Först lägger du till resurser i en katalog och sedan kan du lägga till resurser för att komma åt paket. Du kan till exempel skapa en ekonomikatalog och delegera dess hantering till en medlem i ekonomiteamet. Den personen kan lägga till resurser, skapa åtkomstpaket och hantera åtkomstgodkännande.

Läs mer:

• Skapa och hantera en katalog med resurser i berättigandehantering
• Delegering och roller i berättigandehantering
• Lägga till resurser i en katalog

Följande diagram visar en typisk styrningslivscykel för en extern användare som får åtkomst till ett åtkomstpaket med en förfallotid.

Extern åtkomst med självbetjäning

Du kan göra åtkomstpaket tillgängliga via Microsoft Entra My Access-portalen så att externa användare kan begära åtkomst. Principer avgör vem som kan begära ett åtkomstpaket. Se Begär åtkomst till ett åtkomstpaket i berättigandehantering.

Du anger vem som får begära åtkomstpaketet:

• Anslut organisationer
  • Se Lägga till en ansluten organisation i berättigandehantering
• Konfigurerade anslutna organisationer
• Användare från organisationer
• Medlemmar eller gästanvändare i din klientorganisation

Godkännanden

Åtkomstpaket kan innehålla obligatoriskt godkännande för åtkomst. Godkännanden kan vara enkla eller flera steg och bestäms av principer. Om interna och externa användare behöver komma åt samma paket kan du konfigurera åtkomstprinciper för kategorier av anslutna organisationer och för interna användare.

Viktigt!

Implementera godkännandeprocesser för externa användare.

Förfallodatum

Åtkomstpaket kan innehålla ett förfallodatum eller ett antal dagar som du har angett för åtkomst. När åtkomstpaketet upphör att gälla och åtkomsten upphör kan B2B-gästanvändarobjektet som representerar användaren tas bort eller blockeras från att logga in. Vi rekommenderar att du framtvingar förfallodatum för åtkomstpaket för externa användare. Alla åtkomstpaket har inte förfallodatum.

Viktigt!

Utför regelbundna åtkomstgranskningar för paket utan förfallodatum.

Åtkomstgranskningar

Åtkomstpaket kan kräva regelbundna åtkomstgranskningar, vilket kräver att paketägaren eller en designmottagare intygar det fortsatta behovet av användarnas åtkomst. Se Hantera gäståtkomst med åtkomstgranskningar.

Innan du konfigurerar din granskning ska du fastställa följande kriterier:

• Vem
  • Kriterier för fortsatt åtkomst
  • Granskare
• Hur ofta
  • Inbyggda alternativ är månadsvis, kvartalsvis, BI-årligen eller årligen
  • Vi rekommenderar kvartalsvisa eller mer frekventa granskningar för paket som stöder extern åtkomst

Viktigt!

Granskningar av åtkomstpaket undersöker åtkomst som beviljats via berättigandehantering. Konfigurera andra processer för att granska åtkomsten till externa användare, utanför berättigandehantering.

Läs mer: Planera distribution av Microsoft Entra-åtkomstgranskningar.

Använda automatisering av berättigandehantering

• Arbeta med API för Microsoft Entra-berättigandehantering
• accessPackage resurstyp
• Microsoft Entra-åtkomstgranskningar
• connectedOrganization resurstyp
• entitlementManagementSettings resurstyp

Rekommendationer för styrning av extern åtkomst

Bästa praxis

Vi rekommenderar följande metoder för att styra extern åtkomst med berättigandehantering.

• För projekt med en eller flera affärspartner skapar och använder du åtkomstpaket för att registrera och ge åtkomst till resurser.
  • Skapa ett nytt åtkomstpaket i berättigandehantering
• Om du har B2B-användare i din katalog kan du tilldela dem åtkomst till paket.
• Du kan tilldela åtkomst i Azure-portalen eller med Microsoft Graph
  • Visa, lägga till och ta bort tilldelningar för ett åtkomstpaket i berättigandehantering
  • Skapa ett nytt åtkomstpaket i berättigandehantering

Identitetsstyrning – Inställningar

Använd Identitetsstyrning – Inställningar för att ta bort användare från din katalog när deras åtkomstpaket upphör att gälla. Följande inställningar gäller för användare som registrerats med berättigandehantering.

Delegera katalog- och pakethantering

Du kan delegera katalog- och pakethantering till företagsägare som har mer information om vem som ska komma åt. Se Delegering och roller i berättigandehanteringar

Framtvinga förfallodatum för åtkomstpaket

Du kan framtvinga att åtkomsten upphör att gälla för externa användare. Se Ändra livscykelinställningar för ett åtkomstpaket i berättigandehantering.

• För slutdatumet för ett projektbaserat åtkomstpaket använder du På-datum för att ange datumet.
  • Annars rekommenderar vi att förfallotiden inte längre är 365 dagar, såvida det inte är ett flerårigt projekt
• Tillåt användare att utöka åtkomsten
  • Kräv godkännande för att bevilja tillägget

Framtvinga granskningar av gäståtkomstpaket

Du kan tillämpa granskningar av gäståtkomstpaket för att undvika olämplig åtkomst för gäster. Se Hantera gäståtkomst med åtkomstgranskningar.

• Framtvinga kvartalsvisa granskningar
• För efterlevnadsrelaterade projekt anger du granskarna som granskare i stället för självgranskning för externa användare.
  • Du kan använda åtkomstpakethanterare som granskare
• För mindre känsliga projekt minskar användarnas självgranskning belastningen att ta bort åtkomst från användare som inte längre är med organisationen.

Läs mer: Styra åtkomsten för externa användare i berättigandehantering

Nästa steg

Använd följande artikelserie för att lära dig mer om hur du skyddar extern åtkomst till resurser. Vi rekommenderar att du följer den angivna ordningen.

1. Fastställa din säkerhetsstatus för extern åtkomst med Microsoft Entra-ID

2. Identifiera det aktuella tillståndet för externt samarbete i din organisation

3. Skapa en säkerhetsplan för extern åtkomst till resurser

4. Skydda extern åtkomst med grupper i Microsoft Entra ID och Microsoft 365

5. Övergång till reglerat samarbete med Microsoft Entra B2B-samarbete

6. Hantera extern åtkomst med Microsoft Entra-berättigandehantering (du är här)

7. Hantera extern åtkomst till resurser med principer för villkorlig åtkomst

8. Kontrollera extern åtkomst till resurser i Microsoft Entra-ID med känslighetsetiketter

9. Skydda extern åtkomst till Microsoft Teams, SharePoint och OneDrive för företag med Microsoft Entra-ID

10. Konvertera lokala gästkonton till Microsoft Entra B2B-gästkonton