分享方式:

使用存取權檢閱來監視和清除過時的來賓帳戶

  • 文章

當使用者與外部合作夥伴共同作業時,隨著時間推移,可能會在 Microsoft Entra 租用戶中建立許多來賓帳戶。 當共同作業結束且使用者不再存取您的租用戶時,來賓帳戶可能會變得過時。 系統管理員可以使用非使用中來賓深入解析大規模監視來賓帳戶。 系統管理員也可以使用存取權檢閱,自動檢閱非使用中來賓使用者、封鎖其登入,然後再從目錄中刪除這些使用者。

如需深入了解,請參閱如何管理 Microsoft Entra ID 中的非使用中使用者帳戶

監視和清除過時的來賓帳戶時,您可以使用下列有效的建議模式:

  1. 使用非使用中來賓報告,大規模監視來賓帳戶,並提供組織中非使用中來賓的智慧型深入解析。 根據您組織的需求,自訂非使用中閾值,縮小您想要監視的來賓使用者範圍,以及識別可能非使用中的來賓使用者。

  2. 建立多階段檢閱,讓來賓自行證明是否需要存取權。 第二階段檢閱者會評估結果並做出最終決策。 系統會停用拒絕存取的來賓,並在稍後刪除。

  3. 建立檢閱以移除非使用中的外部來賓。 系統管理員會以天數定義非使用中期間。 他們會停用並稍後刪除未在該時間範圍內登入租用戶的來賓。 根據預設,這不會影響最近建立的使用者。 進一步了解如何識別非使用中帳戶

使用下列指示來了解如何大規模增強非使用中來賓帳戶的監視,並建立遵循這些模式的存取權檢閱。 請考慮設定建議,然後進行符合環境的必要變更。

授權需求

使用此功能需要 Microsoft Entra ID 控管或 Microsoft Entra 套件授權。 若要找到適合您需求的授權,請參閱 Microsoft Entra ID 控管授權基本概念

使用非使用中來賓深入解析大規模監視來賓帳戶

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

  1. 登入 Microsoft Entra 系統管理中心。

  2. 瀏覽至 [身分識別治理]>[儀表板]

  3. 瀏覽至來賓存取控管卡片,然後選取 [檢視非使用中來賓],以存取非使用中來賓帳戶報告。

  4. 您會看到非使用中來賓報告,這會根據 90 天的非使用狀態,提供非使用中來賓使用者的深入解析。 閾值會預設設定為 90 天,但可根據組織的需求使用「編輯非活動狀態閾值」進行設定。

  5. 下列深入解析會作為此報告的一部分提供:

    • 來賓帳戶概觀 (來賓和非使用中來賓總數,且進一步分類從未登入或至少登入一次的來賓)
    • 來賓非使用狀態分佈 (根據上次登入後的天數,來賓使用者的分佈百分比)
    • 來賓非使用狀態概觀 (用以設定非使用狀態閾值的來賓非使用狀態指引)
    • 來賓帳戶摘要 (可匯出的表格式檢視,其中包含所有來賓帳戶的詳細資料,以及其活動狀態的深入解析。根據設定的非使用狀態閾值,活動狀態可以是使用中或非使用中)

  6. 如果使用者至少登入一次,則會根據上次登入日期計算非使用中的天數。 對於從未登入的使用者,會根據建立日期計算非使用中的天數。

注意

您可使用「下載所有資料」來下載具有來賓深入解析的報告。 視來賓使用者計數而定,要下載的每個動作可能需要一些時間,而且能夠最多下載 1 百萬個來賓使用者。

建立多階段檢閱,讓來賓可以自我證明持續存取

  1. 針對您要檢閱的來賓使用者,建立動態群組。 例如,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. 若要針對動態群組建立存取權檢閱,請瀏覽至 [Microsoft Entra ID] > [身分識別治理] > [存取權檢閱]

  3. 選取 [新增存取權檢閱]

  4. 設定檢閱類型。

    屬性
    選取待檢閱的項目 小組 + 群組
    檢閱範圍 選取小組 + 群組
    群組 選取動態群組
    範圍 僅限來賓使用者
    (選用) 檢閱非使用中來賓 核取 [僅限非使用中使用者 (租用戶層級)] 方塊。
    輸入構成非使用狀態的天數。

    螢幕擷取畫面:顯示多階段檢閱的檢閱類型對話方塊,讓來賓可以自證持續存取。

  5. 選取 [下一步:檢閱]

  6. 設定檢閱:

    屬性
    第一階段檢閱
    多階段檢閱 核取方塊
    選取檢閱者 使用者檢閱自身存取權
    階段持續時間 (天) 輸入天數
    第二階段檢閱
    選取檢閱者 群組擁有者選取的使用者或群組
    階段持續時間 (天) 輸入天數。
    (選用) 指定後援檢閱者。
    指定檢閱週期
    檢閱週期 從下拉式清單選取您的喜好設定
    開始日期 選取日期
    尾端 選取您的喜好設定
    指定檢閱對象前往下一個階段
    檢閱對象正在前往下一個階段 選取檢閱對象。 例如,選取自我核准或回應不知道的使用者。

    螢幕擷取畫面:顯示多階段檢閱的第一階段檢閱,讓來賓可以自證持續存取。

  7. 選取 [下一步:設定]

  8. 配置設定:

    屬性
    完成時的設定
    自動將結果套用至資源 核取方塊
    若檢閱者未回應 移除存取權
    要套用至已拒絕來賓使用者的動作 讓使用者無法登入 30 天,然後從該租用戶移除使用者
    (選用) 在檢閱結束時,傳送通知給 指定要通知的其他使用者或群組。
    啟用檢閱者決策協助程式
    檢閱者電子郵件的其他內容 為檢閱者新增自訂訊息
    所有其他欄位 保留其餘選項的預設值。

    螢幕擷取畫面:顯示多階段檢閱的設定對話方塊,讓來賓可以自證持續存取。

  9. 選取 [下一步:檢閱 + 建立]

  10. 輸入存取權檢閱名稱。 (選用) 提供描述。

  11. 選取 建立

建立檢閱以移除非使用中的外部來賓

  1. 針對您要檢閱的來賓使用者,建立動態群組。 例如,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. 若要針對動態群組建立存取權檢閱,請瀏覽至 [Microsoft Entra ID] > [身分識別治理] > [存取權檢閱]

  3. 選取 [新增存取權檢閱]

  4. 設定檢閱類型:

    屬性
    選取待檢閱的項目 小組 + 群組
    檢閱範圍 選取小組 + 群組
    群組 選取動態群組
    範圍 僅限來賓使用者
    僅限非使用中使用者 (租用戶層級) 核取方塊
    非使用中的天數 輸入構成非使用狀態的天數

    注意

    您設定的非使用狀態時間不會影響最近建立的使用者。 存取權檢閱會檢查使用者是否在您設定的時間範圍內建立,並忽略至少該時間量不存在的使用者。 例如,如果您將非使用中狀態時間設定為 90 天,且來賓使用者的建立/邀請時間不到 90 天,則該來賓使用者將不在存取權檢閱的範圍內。 這可確保來賓可以在移除之前登入一次。

    螢幕擷取畫面:顯示要移除非使用中外部來賓的檢閱類型對話方塊。

  5. 選取 [下一步:檢閱]

  6. 設定檢閱:

    屬性
    指定檢閱者
    選取檢閱者 選取 [群組擁有者] 或使用者或群組。
    (選用) 若要讓程序保持自動化,請選取不會採取任何動作的檢閱者。
    指定檢閱週期
    持續時間 (天) 根據您的喜好設定輸入或選取值
    檢閱週期 從下拉式清單選取您的喜好設定
    開始日期 選取日期
    尾端 選擇某個選項

  7. 選取 [下一步:設定]

    螢幕擷取畫面:顯示要移除非使用中外部來賓的 [檢閱] 對話方塊。

  8. 配置設定:

    屬性
    完成時的設定
    自動將結果套用至資源 核取方塊
    如果檢閱沒有回應 移除存取權
    要套用至已拒絕來賓使用者的動作 讓使用者無法登入 30 天,然後從該租用戶移除使用者
    啟用檢閱者決策協助程式
    30 天內沒有任何登入 核取方塊
    所有其他欄位 根據您的喜好設定核取/取消核取方塊。

    螢幕擷取畫面:顯示要移除非使用中外部來賓的 [設定] 對話方塊。

  9. 完成時,選取下一步:檢閱 + 建立

  10. 輸入存取權檢閱名稱。 (選用) 提供描述。

  11. 選取 建立

在您設定的天數內未登入租用戶的來賓使用者會停用 30 天,然後刪除。 刪除之後,可以還原來賓最多 30 天,之後就需要新的邀請。

注意

如果尚未套用存取權檢閱決策,API accessReviewInstance:stopApplyDecisions 可用來停止作用中的套用決策。