使用 Microsoft Entra ID 控管,來檢閱和移除不再具有資源存取權的外部使用者
本文說明可讓您找出並選取外部身分識別的功能和方法,讓您可以在不再需要的情況下進行檢閱並將其從 Microsoft Entra ID 中移除。 雲端可讓您比以往更輕鬆的方式與內部或外部使用者共同作業。 在採用 Office 365,當使用者在資料、文件或數位工作區 (例如 Teams) 共同作業時,組織會開始看到外部身分識別的激增 (包括來賓)。 組織需要平衡、啟用共同作業,並符合安全性和治理需求。 這些工作的一部分應該包括外部使用者的評估和清除,這些使用者已獲邀至您的租用戶共同作業,這些使用者來自合作夥伴組織,並在不再需要時將這些使用者從 Microsoft Entra ID 中移除。
注意
需要有效的 Microsoft Entra ID P2 或 Microsoft Entra ID 控管、Enterprise Mobility + Security E5 付費或試用版授權,才能使用 Microsoft Entra 存取權檢閱。 如需詳細資訊,請參閱 Microsoft Entra 版本。
在大部分的組織中,終端使用者會起始邀請商務合作夥伴和廠商進行共同作業的流程。 共同作業的需要會驅使組織,為資源擁有者和終端使用者提供定期評估及證明外部使用者的方式。 將新的共同作業合作夥伴上線的流程通常是經過規劃和考慮的,但有許多共同作業並沒有清楚的結束日期,因此使用者不再需要存取權時不一定顯而易見。 此外,身分識別生命週期管理可驅使企業保持 Microsoft Entra ID 的乾淨,並移除不再需要存取組織資源的使用者。 針對目錄中的合作夥伴和廠商只保留相關的身分識別參考,有助於降低員工的風險,即不慎選取並授與應移除的外部使用者存取權。 本文件將逐步引導您完成數個選項,範圍從建議的主動式建議到回應和清除活動,以管理外部身分識別。
權利管理功能使具有資源存取權的外部身分識別自動化生命週期。 藉由建立可透過權利管理來管理存取權的流程和程序,以及透過存取套件發佈資源,讓追蹤外部使用者對資源的存取權變成較不復雜的問題。 當您在 Microsoft Entra ID 中透過權利管理存取套件來管理存取權時,您的組織可以集中定義和管理使用者的存取權,以及來自合作夥伴組織的使用者。 權利管理會使用存取套件的核准和指派,來追蹤外部使用者要求和指派存取權的位置。 如果外部使用者遺失所有指派,權利管理可以將這些外部使用者從租用戶中自動移除。
當員工獲得授權可與外部使用者共同作業時,其可邀請組織外部的任意數量的使用者。 尋找外部合作夥伴並將其分組至與公司保持一致的組動態成員資格群組並加以檢閱可能不可行,因為可能有太多需要檢閱的不同個人公司,或是該組織沒有任何負責人或贊助者。 Microsoft 提供樣本 PowerShell 指令碼,可協助您分析在租用戶中使用外部身分識別的方式。 指令碼會列舉外部身分識別,並將其分類。 指令碼可協助您找出並清除可能不再需要的外部身分識別。 在指令碼的輸出中,指令碼樣本支援自動建立安全性群組,其中包含已識別的無群組外部合作夥伴 – 可供進一步分析和使用 Microsoft Entra 存取權檢閱。 指令碼可在 GitHub 上取得。 在指令碼執行完成之後,其會產生 HTML 輸出檔,該檔案會概述外部身分識別:
- 租用戶中不再具有任何群組成員資格
- 在租用戶中具有特殊權限角色的指派
- 在租用戶中具有應用程式的指派
輸出也包含每個外部身分識別的個別網域。
注意
上述指令碼是一個樣本指令碼,可檢查 Microsoft Entra ID 中的群組成員資格、角色指派和應用程式指派。 在 Microsoft Entra ID 以外,外部使用者收到的應用程式中可能有其他指派,例如 SharePoint (直接成員資格指派) 或 Azure RBAC 或 Azure DevOps。
如果您有使用資源 (例如 Teams 或其他尚未受權利管理管理的應用程式) 的外部身分識別,您可能會想要定期檢閱這些資源的存取權。 Microsoft Entra 存取權檢閱可讓您藉由讓資源擁有者、外部身分識別或您信任的其他委派人員證明您是否需要繼續存取,來檢閱外部身分識別的存取權。 存取權檢閱的目標是資源,並建立檢閱活動,其範圍僅限可存取資源的每一位使用者或來賓使用者。 檢閱者接著會看到所需檢閱的使用者清單,也就是所有使用者,包括貴組織的員工或外部身分識別。
建立由資源擁有者所驅使的檢閱文化有助於管理外部身分識別的存取權。 負責所擁有資訊的存取、可用性和安全性的資源擁有者,在大部分情況下,是您的最佳受眾,可推動其資源存取的決策,比起中央 IT 或管理許多外部資源的贊助者,這類擁有者更接近存取這些資源的使用者。
如果使用者無法再使用組織,則不再能夠存取租用戶中任何資源的使用者就會遭到移除。 在您封鎖和刪除這些外部身分識別之前,您可能會想要與這些外部使用者聯繫,並確定您未忽略其仍需要的專案或常設存取權。 當您建立包含所有外部身分識別的群組,作為您找到無法存取租用戶中任何資源的成員時,您可以使用存取權檢閱,讓所有外部成員自我證明其是否仍需要或具有存取權,或未來仍需要存取權。 作為檢閱的一部分,存取權檢閱中的檢閱建立者可以使用需要核准的原因,來要求外部使用者提供持續存取的理由,讓您可以了解他們在租用戶中仍需要存取的位置和方式。 此外,您可以啟用 [檢閱者電子郵件功能的其他內容] 設定,讓使用者知道,如果他們沒有回應,而且,如果他們仍然需要存取權,則需要理由。 如果您想要繼續進行,讓存取權檢閱停用並刪除外部身分識別,則如果其無法回應或提供有效的持續存取原因,您可以如下一節所述,使用 [停用] 和 [刪除] 選項。
若要建立外部身分識別的存取權檢閱,請遵循下列步驟:
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [群組] > [所有群組]。
搜尋包含外部身分識別成員的群組,這些成員無法存取您租用戶中的資源,並記下此群組。 若要使用符合此準則的成員自動建立群組,請參閱:收集外部身分識別激增的相關資訊。
瀏覽至 [身分識別治理] > [存取權檢閱]。
選取 [+ 新增存取權檢閱]。
選取 [Teams + 群組],然後選取您先前記下其中包含外部身分識別的群組,以設定 [檢閱範圍]。
在 [完成時的設定] 區段中,您可以在 [要套用至已拒絕使用者的動作] 選項底下選取 [讓使用者無法登入 30 天,然後從該租用戶移除使用者]。 如需詳細資訊,請參閱透過 Microsoft Entra 存取權檢閱來停用及刪除外部身分識別。
建立存取權檢閱之後,來賓用戶必須先認證其存取權,才能完成檢閱。 這是由在「我的存取權」入口網站中核准或未核准其存取權的來賓完成。 如需完整逐步指南,請參閱:在存取權檢閱中檢閱群組與應用程式的存取權。
當檢閱完成時,[結果] 頁面會顯示每個外部身分識別所提供的回應概觀。 您可以選擇自動套用結果,並讓存取權檢閱停用並刪除這些結果。 或者,您可以查看所提供的回應,並決定是否要移除使用者的存取權,或使用這些回應來進行後續追蹤並取得其他資訊,然後再進行決策。 如果某些使用者仍可存取您尚未檢閱的資源,您可以在探索過程中使用此檢閱,並擴充下一個檢閱和證明週期。
如需詳細逐步指南,請參閱:在 Microsoft Entra ID 中建立群組和應用程式的存取權檢閱。
除了從群組或應用程式之類的資源移除不必要的外部身分識別之外,Microsoft Entra 存取權檢閱可以封鎖外部身分識別,使其無法登入租用戶,並在 30 天後將外部身分識別從租用戶中刪除。 一旦您選取 [阻止使用者登入 30 天,然後將使用者從租用戶中移除],檢閱會保持在「套用中」狀態 30 天。 在這段期間內,將無法檢視或設定目前檢閱底下的設定、結果、檢閱者或稽核記錄。
此設定可讓您從 Microsoft Entra 租用戶識別、封鎖和刪除外部身分識別。 無論資源存取權或群組成員資格為何,都將封鎖並刪除檢閱者已檢閱並拒絕繼續存取的外部身分識別。 這項設定最適合用在您驗證檢閱中外部使用者已不再擁有資源存取權,且可以安全地從租用戶中移除 的最後一個步驟,或如果您想要確保其已移除 (不論其常設存取權為何)。 [停用和刪除] 功能會先封鎖外部使用者,讓他們無法登入租用戶並存取資源。 在這個階段中不會撤銷資源存取權,如果您想要重新具現化外部使用者,則可以重新設定其登入能力。 如果沒有進一步的動作,系統會在 30 天後將封鎖的外部身分識別從目錄中刪除,並移除帳戶以及其存取權。