Share via

使用存取權檢閱監視和清除過時的來賓帳戶

  • 發行項

當使用者與外部合作夥伴共同作業時,可能會隨著時間在 Microsoft Entra 租使用者中建立許多來賓帳戶。 當共同作業結束且使用者不再存取您的租使用者時,來賓帳戶可能會過時。 管理員istrators 可以使用非使用中來賓深入解析大規模監視來賓帳戶。 管理員istrators 也可以使用存取權檢閱來自動檢閱非使用中的來賓使用者、封鎖他們登入,以及從目錄中刪除它們。

深入瞭解 如何在 Microsoft Entra ID 中管理非使用中的使用者帳戶。

有一些建議的模式可有效監視和清除過時的來賓帳戶:

  1. 使用非使用中來賓報告,大規模監視來賓帳戶,並深入解析組織中的非使用中來賓。 根據您的組織需求自訂非使用中閾值,縮小您想要監視的來賓使用者範圍,並識別可能非使用中的來賓使用者。

  2. 建立多階段檢閱,讓來賓自行證明他們是否需要存取權。 第二階段檢閱者會評估結果並做出最終決定。 拒絕存取的來賓已停用,稍後會予以刪除。

  3. 建立檢閱以移除非使用中的外部來賓。 管理員會將非使用中定義為天數。 他們會停用及稍後刪除未在該時間範圍內登入租使用者的來賓。 根據預設,這不會影響最近建立的使用者。 深入瞭解如何識別非使用中的帳戶

使用下列指示來瞭解如何大規模增強非使用中來賓帳戶的監視,並建立遵循這些模式的存取權檢閱。 請考慮設定建議,然後進行適合您環境的必要變更。

授權需求

使用此功能需要Microsoft Entra ID 控管授權。 若要尋找您需求的正確授權,請參閱 Microsoft Entra ID 控管授權基本概念

使用非使用中來賓深入解析大規模監視來賓帳戶

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

  1. 登入 Microsoft Entra 系統管理中心。

  2. 流覽至 [ 身分識別治理 > 儀表板]

  3. 流覽至來賓存取治理 卡片,然後選取 [檢視非使用中的來賓 ] 來存取非作用中的 來賓帳戶報告。

  4. 您會看到非使用中來賓報告,這會根據 90 天的閒置狀態,提供非使用中來賓使用者的見解。 閾值預設會設定為 90 天,但可以根據組織的需求使用「編輯非活動閾值」來設定。

  5. 下列深入解析會作為此報表的一部分提供:

    • 來賓帳戶概觀(來賓總數和非使用中來賓,並進一步分類從未登入或至少登入過一次的來賓)
    • 來賓閒置發佈 (根據上次登入後的天數,來賓使用者分佈百分比)
    • 來賓閒置概觀 (設定無活動閾值的來賓無活動指引)
    • 來賓帳戶摘要 (可匯出的表格式檢視,其中包含所有來賓帳戶的詳細資料,並深入瞭解其活動狀態。活動狀態可以是使用中或非使用中,根據設定的非活動閾值)

  6. 如果使用者至少登入一次,則會根據上次登入日期計算非使用中的天數。 對於從未登入的使用者,會根據建立日期計算非使用中的天數。

注意

您可以使用「下載所有資料」來下載具有來賓深入解析的報告。 下載的每個動作可能需要一些時間,視來賓使用者計數而定,並啟用最多 1 百萬位來賓使用者的下載。

建立多階段檢閱,讓來賓自我證明持續存取

  1. 為您要檢閱的來賓使用者建立 動態群組 。 例如,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. 若要 建立動態群組的存取權檢閱 ,請流覽至 Microsoft Entra ID > Identity Governance > Access Reviews

  3. 選取 [ 新增存取權檢閱 ]。

  4. 設定檢閱類型。

    屬性
    選取待檢閱的項目 Teams + 群組
    檢閱範圍 選取 Teams + 群組
    群組 選取動態群組
    範圍 僅限來賓使用者
    (選擇性)檢閱非使用中來賓 核取非使用 中使用者 (在租使用者層級上) 的方塊。
    輸入構成閒置的天數。

    Screenshot shows the review type dialog for multi-stage review for guests to self-attest continued access.

  5. 選取 [ 下一步:評論 ]。

  6. 設定檢閱:

    屬性
    第一階段檢閱
    多階段檢閱 核取方塊
    選取檢閱者 使用者檢閱自己的存取權
    階段持續時間(以天為單位) 輸入天數
    第二階段檢閱
    選取檢閱者 群組擁有者(s) 選取的使用者或群組(s)
    階段持續時間(以天為單位) 輸入天數。
    (選擇性)指定後援檢閱者。
    指定檢閱的週期
    檢閱週期 從下拉式清單中選取您的喜好設定
    開始日期 選取日期
    結束 選取您的喜好設定
    指定要進入下一個階段的檢閱者
    檢閱者前往下一個階段 選取檢閱者。 例如,選取自我核准或回應 不知道 的使用者。

    Screenshot shows the first stage review for multi-stage review for guests to self-attest continued access.

  7. 選取 [ 下一步]:設定

  8. 設定設定:

    屬性
    完成設定時
    自動將結果套用至資源 核取方塊
    如果檢閱者沒有回應 移除存取權
    對拒絕來賓使用者套用的動作 封鎖使用者登入 30 天,然後從租使用者中移除使用者
    (選擇性)在檢閱結束時,將通知傳送至 指定要通知的其他使用者或群組。
    啟用檢閱者決策協助程式
    檢閱者電子郵件的其他內容 為檢閱者新增自訂訊息
    所有其他欄位 保留其餘選項的預設值。

    Screenshot shows the settings dialog for multi-stage review for guests to self-attest continued access.

  9. 選取 [下一步:檢閱 + 建立]

  10. 輸入存取權檢閱名稱。 (選擇性)提供描述。

  11. 選取 建立

建立檢閱以移除非使用中的外部來賓

  1. 為您要檢閱的來賓使用者建立 動態群組 。 例如,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. 若要 建立動態群組的存取權檢閱 ,請流覽至 Microsoft Entra ID > Identity Governance > Access Reviews

  3. 選取 [ 新增存取權檢閱 ]。

  4. 設定檢閱類型:

    屬性
    選取待檢閱的項目 Teams + 群組
    檢閱範圍 選取 Teams + 群組
    群組 選取動態群組
    範圍 僅限來賓使用者
    僅限非使用中使用者 (在租使用者層級) 核取方塊
    非使用中的天數 輸入構成閒置的天數

    注意

    您設定的閒置時間不會影響最近建立的使用者。 存取權檢閱會檢查使用者是否已在您設定的時間範圍內建立,並忽略至少不存在該時間量的使用者。 例如,如果您將閒置時間設定為 90 天,且來賓使用者于 90 天前建立/邀請,則來賓使用者將不會位於存取權檢閱的範圍內。 這可確保來賓可以在移除之前先登入一次。

    Screenshot shows the review type dialog to remove inactive external guests.

  5. 選取 [ 下一步:評論 ]。

  6. 設定檢閱:

    屬性
    指定檢閱者
    選取檢閱者 選取 [群組擁有者] 或 [使用者或群組]。
    (選擇性)若要讓程式保持自動化,請選取不會採取任何動作的檢閱者。
    指定檢閱的週期
    持續時間 (天) 根據您的喜好設定輸入或選取值
    檢閱週期 從下拉式清單中選取您的喜好設定
    開始日期 選取日期
    結束 選擇某個選項

  7. 選取 [ 下一步]:設定

    Screenshot shows the Reviews dialog to remove inactive external guests.

  8. 設定設定:

    屬性
    完成設定時
    自動將結果套用至資源 核取方塊
    如果評論沒有回應 移除存取權
    對拒絕來賓使用者套用的動作 封鎖使用者登入 30 天,然後從租使用者中移除使用者
    啟用檢閱者決策協助程式
    30 天內沒有登入 核取方塊
    所有其他欄位 根據您的喜好設定核取/取消核取方塊。

    Screenshot shows the Settings dialog to remove inactive external guests.

  9. 完成時,選取 [下一步:檢閱 + 建立]。

  10. 輸入存取權檢閱名稱。 (選擇性)提供描述。

  11. 選取 建立

未登入租使用者的來賓使用者已停用您設定的天數 30 天,然後刪除。 刪除之後,您最多可以還原 30 天的來賓,之後需要新的邀請。