Microsoft用于管理来宾和合作伙伴访问的 Entra ID 治理部署指南

2025-09-12

部署方案是有关如何合并和测试Microsoft安全产品和服务的指导。你可以了解功能如何协同工作以提高工作效率、增强安全性，还有助于满足合规性和法规要求。

本指南中显示了以下产品和服务：

使用此方案可帮助确定 Microsoft Entra ID Governance 为组织创建和授予访问权限的需求。了解如何管理环境中的来宾用户。

时间线

时间线显示大致的交付阶段持续时间，并基于方案复杂性。时间是估计值，具体取决于环境。

载入和发现 - 2 小时
自动分配资源 - 1 小时
自定义工作流 - 2 小时
转换外部用户 - 1 小时
访问评审 - 1 小时

方案要求

若要启用方案，请确保满足以下要求：

Microsoft Entra ID P1 或 P2 许可证
Microsoft Entra ID Governance SKU
- Microsoft逻辑应用和自动分配策略
两个租户，目标和源
要批准和访问的目标租户上的云用户帐户
要请求访问的源租户上的云用户
目标租户上的帐户：
- 用户管理员，
- 标识治理管理员，
- 特权角色管理员，或
- 全局管理员

B2B 协作和来宾用户

若要与来宾用户协作，可以使用他们的首选标识登录到应用或其他企业应用：SaaS、自定义开发等。通常，B2B 协作用户作为来宾用户位于目录中。

在概述中了解详细信息， B2B 与外部来宾协作，供员工使用。

载入和发现

使用 Microsoft标识治理仪表板，发现有关租户中配置的标识功能的使用情况信息。查看环境的当前状态，确定响应作，并查找指向文档的链接。

外部用户见解

随着时间的推移，外部用户帐户在 Microsoft Entra 租户中创建。当外部用户或来宾停止访问租户时，外部用户帐户会过时。

可以使用访问评审监视和清理过时的来宾访问帐户。

外部用户属性管理

审批者允许或拒绝访问包的请求。为了帮助审批者就加入外部用户做出访问决策，可以在访问请求流中包含自定义问题。存储应用或其他进程的请求者信息。

权利管理

分散式标识解决方案使个人能够控制其数字标识和管理标识数据，而无需依赖集中式颁发机构或中介。减少对新员工或业务合作伙伴执行自我证明的需求。简化审批流程并简化合规性状况。

外部用户分配和访问包

当外部用户请求初始访问权限时，系统会邀请他们访问目录并分配访问权限。在权利管理中，使用访问包分配对多个资源的访问权限。确保访问包位于名为目录的容器中，该容器包含可添加到访问包的资源。

部署外部用户访问

有关更多详细信息，请参阅权利管理中外部用户的治理访问权限。

分配和删除资源

若要了解如何分配访问权限、删除访问权限和其他指南，请转到方案 2：分配员工对资源的访问权限。

使用 Azure 逻辑应用的自定义工作流

若要使用 Azure 逻辑应用创建和运行自动化工作流，请了解自定义用例等，或转到方案 2：分配员工对资源的访问。

管理外部用户生命周期

在权利管理中，外部用户有三种状态：已治理、未治理和空白。邀请到租户的外部用户将被禁用。未授权者可能会丢失其最后一个访问包分配，但仍无限期地保留在租户中。若要管理生命周期，请将其转换为受管理，同时具有访问权限。

了解如何在权利管理中管理外部用户的访问权限。

部署来宾用户生命周期

访问权限审查

若要了解如何启用定期访问评审，请转到方案 2：分配员工对资源的访问权限。

多阶段评审

了解可减轻审阅者负担的多阶段评审，请转到方案 2：分配员工对资源的访问权限。

非活动用户

可以执行非活动用户评审来识别过时的帐户。若要了解详细信息，请转到方案 2：分配员工对资源的访问权限。

用户到组关联

用户到组关联功能可帮助你根据机器学习派生的建议做出访问决策。若要了解详细信息，请转到方案 2：分配员工对资源的访问权限。

Microsoft Teams 和 Microsoft 365 组中的来宾用户风险

访问评审包括具有来宾用户的新组，以及具有最近添加的来宾的组。查看建议基于上次登录详细信息。作为一个选项，被拒绝的来宾将被阻止登录，然后删除该帐户。

了解详细信息：

来宾用户访问评审

执行访问评审时，可以查看具有来宾用户成员的组。或者，可以查看具有分配的来宾用户的应用。来宾在 30 天后处于非活动状态，无需登录。

“ 新建访问评审 ”对话框，其中突出显示了 “审阅类型 ”选项卡和来宾用户选项。

创建访问评审历史记录报告

若要了解有关可下载评审历史记录报告的详细信息，请参阅方案 2：分配员工对资源的访问权限。

部署访问评审指南

有关部署说明，请转到方案 2：分配员工对资源的访问权限。

通过