Partager via

使用访问评审监视和清理过时的来宾帐户

当用户与外部合作伙伴协作时,随着时间的推移,Microsoft Entra 租户中可能会创建许多来宾帐户。 协作结束后,当用户不再访问您的租户时,来宾帐户可能会变得不再活跃。 管理员可以使用非活跃来宾洞察,规模化监控来宾帐户。 管理员还可以使用访问评审来自动评审非活动来宾用户,阻止他们登录,并从目录中删除它们。

请详细了解如何管理 Microsoft Entra ID 中的非活动用户帐户

有一些建议的模式在监视和清理过时来宾帐户方面非常有效:

  1. 使用非活动来宾报表,通过智能洞察对组织中非活动来宾账户进行大规模监控。 根据组织的需求自定义非活动阈值,缩小要监视的来宾用户的范围,并确定可能处于非活动状态的来宾用户。

  2. 创建多阶段评审,以便来宾自行证明他们是否仍需要访问权限。 第二阶段审阅者评估结果并做出最终决策。 被拒绝访问的来宾将被禁用,并在以后删除。

  3. 创建审查以删除不活跃的外部来宾。 管理员将非活动期定义为天数。 他们禁用未在该时间范围内登录到租户的来宾,并在以后将其删除。 默认情况下,这不会影响最近创建的用户。 详细了解如何识别非活动帐户

使用以下说明了解如何大规模增强对非活动来宾帐户的监视,并创建遵循这些模式的访问评审。 请考虑配置建议,然后做出适合环境的所需更改。

许可要求

使用此功能需要 Microsoft Entra ID 治理或 Microsoft Entra 套件许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。

利用非活动来宾洞见,大规模监视来宾帐户

  1. 登录 Microsoft Entra 管理中心

  2. 访问 ID 治理>仪表板

  3. 导航到“来宾访问治理”卡片,然后选择“查看非活动来宾”来访问非活动来宾帐户报表。

  4. 非活跃访客报告基于 90 天没有活动的情况,提供关于这些访客的见解。 默认情况下,阈值设置为 90 天,但可以根据组织的需求使用 “编辑非活动”阈值 对其进行配置。

  5. 以下见解作为此报表的一部分提供:

    • 来宾帐户概述(来宾总数和非活动来宾数,并进一步分为从未登录或至少登录过一次的来宾)
    • 访客不活动分布(根据最近一次登录后的天数来计算的访客用户百分比分布)
    • 来宾非活动概述(来宾非活动指南,用于配置非活动阈值)
    • 来宾帐户摘要(一个可导出的表格视图,其中包含所有来宾帐户的详细信息,还有对其活动状态的见解)。根据所配置的非活动阈值,活动状态可能为“活动”或“非活动”)

  6. 如果用户至少登录过一次,则根据上次登录日期计算非活动天数。 对于从未登录的用户,非活动天数是根据创建日期计算的。

注意

可以使用 “下载所有数据”下载具有来宾见解的报告。 下载的每个操作可能需要一些时间,具体取决于来宾用户的数量,并且最多支持 100 万来宾用户进行下载。

创建多阶段审核,使来宾可以自行确认持续访问权限

  1. 为要评审的来宾用户创建动态组。 例如,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. 若要为动态组创建访问评审,请导航到“Microsoft Entra ID”>“Identity Governance”>“访问评审”。

  3. 选择“新建访问审核”。

  4. 配置评审类型。

    属性
    选择要评审的内容 团队与组
    评审范围 选择“团队 + 组”
    选择动态组
    Scope 仅限来宾用户
    (可选)评审非活动来宾 选中“仅限非活动用户(在租户级别)”对应的框。
    输入形成非活动状态的天数。

    该屏幕截图显示多阶段评审的类型选择对话框,来宾可以自行确认其需要继续访问。

  5. 选择“下一步: 评审”。

  6. 设置评审:

    属性
    第一阶段评审
    多阶段审阅 选中对应框
    选择审阅者 用户检查自己的权限
    阶段持续时间(以天为单位) 输入天数
    第二阶段评审
    选择审阅者 “组所有者”或“选定的用户或组”
    阶段持续时间(以天为单位) 输入天数。
    (可选)指定回退审阅者。
    指定评审的重复周期
    评审周期性 从下拉列表中选择首选项
    开始日期 选择日期
    结束 选择首选项
    指定受审阅人以转到下一阶段
    转到下一阶段的受审阅人 选择审阅对象。 例如,选择已自我批准或响应了“不知道”的用户。

    该屏幕截图显示了多阶段评审的第一阶段,来宾可通过这一阶段自我证明继续访问。

  7. 选择“下一步: 设置”。

  8. 配置设置:

    属性
    完成后的设置
    自动向资源应用结果 选中对应框
    如果审阅者未响应 删除访问权限
    对被拒绝的来宾用户应用的操作 在 30 天内阻止用户登录,然后从租户中删除用户
    (可选)审阅结束时,将通知发送到 指定要通知的其他用户或组。
    启用审阅者决策辅助工具
    审阅者电子邮件的其他内容 为审阅者添加自定义消息
    所有其他字段 将其余选项保留为默认值。

    该屏幕截图显示多阶段评审的设置对话框,用于使访客可以自行证明其继续访问的权限。

  9. 选择“下一步:查看 + 创建”。

  10. 输入访问评审名称。 (可选)提供说明。

  11. 选择“创建” 。

创建审核以删除不活跃外部来宾

  1. 为要评审的来宾用户创建动态组。 例如,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. 若要为动态组创建访问评审,请导航到“Microsoft Entra ID” > “Identity Governance” > “访问评审”

  3. 选择“新建访问评审”。

  4. 配置“评审类型”:

    属性
    选择要评审的内容 团队和群组
    评审范围 选择团队和群组
    选择动态组
    Scope 仅限来宾用户
    仅限非活动用户(租户层级) 选中对应框
    不活动天数 输入形成非活动状态的天数

    注意

    配置的不活动时间不会影响最近创建的用户。 访问审核将检查用户是否在您配置的时间范围内创建,并忽略那些未满该时间期限的用户。 例如,如果将非活动时间设置为 90 天,并且来宾用户创建/邀请的时间少于 90 天前,则来宾用户不在访问评审范围内。 这确保了来宾在被删除之前可以登录一次。

    屏幕截图中显示了审核类型对话框,此对话框用于删除非活动外部来宾。

  5. 选择“下一步: 评审”。

  6. 设置评审:

    属性
    指定审阅者
    选择审阅者 选择组所有者或用户或组。
    (可选)若要使流程保持自动化,请选择不采取任何操作的审阅者。
    指定评审的重复周期
    持续时间(以天为单位) 根据你的喜好输入或选择值
    评审周期性 从下拉列表中选择首选项
    开始日期 选择日期
    结束 选择一个选项

  7. 选择“下一步: 设置”。

    该屏幕截图显示“审核”对话框,用于删除非活动的外部来宾。

  8. 配置设置:

    属性
    完成后的设置
    自动向资源应用结果 选中对应框
    如果评审未响应 删除访问权限
    对被拒绝的来宾用户应用的操作 在 30 天内阻止用户登录,然后从租户中删除用户
    启用审阅者决策辅助工具
    30 天内未登录 选中对应框
    所有其他字段 根据你的喜好选中/取消选中这些框。

    该屏幕截图显示用于删除非活动外部来宾的“设置”对话框。

  9. 选择“下一步:查看 + 创建”。

  10. 输入访问评审名称。 (可选)提供说明。

  11. 选择“创建” 。

在你配置的天数内未登录到租户的来宾用户将被禁用 30 天,然后被删除。 删除后,在最多 30 天的时间内可以还原来宾,之后便需要新的邀请。

注意

如果尚未应用访问评审决策,API accessReviewInstance:stopApplyDecisions 可用于停止主动应用决策。

  • Last updated on