Udostępnij za pośrednictwem

Użyj Microsoft Entra ID Governance do przeglądu i usuwania użytkowników zewnętrznych, którzy nie mają już dostępu do zasobów.

  • Artykuł

W tym artykule opisano funkcje i metody, które umożliwiają wskazanie i wybranie tożsamości zewnętrznych, dzięki czemu można je przejrzeć i usunąć z identyfikatora Entra firmy Microsoft, jeśli nie są już potrzebne. Chmura ułatwia współpracę z użytkownikami wewnętrznymi lub zewnętrznymi. Kiedy organizacje wdrażają Office 365, zaczynają dostrzegać powstawanie tożsamości zewnętrznych (w tym gości), ponieważ użytkownicy współpracują nad danymi, dokumentami lub cyfrowymi obszarami roboczymi, takimi jak Teams. Organizacje muszą równoważyć współpracę i spełniać wymagania dotyczące zabezpieczeń i ładu. Część tych wysiłków powinna obejmować ocenę i usuwanie zewnętrznych użytkowników, którzy zostali zaproszeni do współpracy w Twojej dzierżawie, a pochodzących z organizacji partnerskich, oraz ich usunięcie z Microsoft Entra ID, gdy nie są już potrzebni.

Uwaga

Aby korzystać z przeglądów dostępu Microsoft Entra, wymagany jest ważny identyfikator Microsoft Entra ID P2, Microsoft Entra ID Governance, płatna lub próbna wersja Enterprise Mobility + Security E5. Aby uzyskać więcej informacji, zobacz Edycje Microsoft Entra.

Dlaczego warto przeglądać użytkowników z organizacji zewnętrznych w dzierżawie?

W większości organizacji użytkownicy końcowi inicjują proces zapraszania partnerów biznesowych i dostawców do współpracy. Konieczność współpracy napędza organizacje w celu zapewnienia właścicielom zasobów i użytkownikom końcowym sposobu regularnego oceniania i potwierdzania użytkowników zewnętrznych. Często proces dołączania nowych partnerów do współpracy jest planowany i uwzględniany, ale przy wielu współpracy nie ma jasnej daty zakończenia, nie zawsze jest oczywiste, gdy użytkownik nie potrzebuje już dostępu. Ponadto zarządzanie tożsamościami napędza przedsiębiorstwa w celu zachowania czystego identyfikatora Entra firmy Microsoft i usuwania użytkowników, którzy nie potrzebują już dostępu do zasobów organizacji. Zachowanie jedynie odpowiednich odniesień do tożsamości partnerów i dostawców w katalogu pomaga zmniejszyć ryzyko, że pracownicy przypadkowo wybiorą i udzielą dostępu użytkownikom zewnętrznym, którzy powinni być usunięci. W tym dokumencie przedstawiono kilka opcji, od zalecanych proaktywnych sugestii do działań reaktywnych i oczyszczania w celu zarządzania tożsamościami zewnętrznymi.

Udzielanie i odwoływanie dostępu za pomocą zarządzania upoważnieniami

Funkcje zarządzania uprawnieniami umożliwiają zautomatyzowany cykl życia tożsamości zewnętrznych posiadających dostęp do zasobów. Ustanowienie procesów i procedur zarządzania dostępem za pośrednictwem zarządzania upoważnieniami i publikowania zasobów za pośrednictwem pakietów dostępu, śledzenie dostępu użytkowników zewnętrznych do zasobów staje się znacznie mniej skomplikowanym problemem do rozwiązania. Podczas zarządzania dostępem za pomocą pakietów dostępu do zarządzania upoważnieniami w usłudze Microsoft Entra ID organizacja może centralnie definiować dostęp użytkowników i użytkowników z organizacji partnerskich oraz zarządzać nimi. Usługa Entitlement Management używa zatwierdzeń i przypisań pakietów dostępu w celu śledzenia, gdzie użytkownicy zewnętrzni zażądali i otrzymali dostęp. Jeśli użytkownik zewnętrzny utraci wszystkie swoje przypisania, Zarządzanie Uprawnieniami może automatycznie usunąć takich użytkowników zewnętrznych z dzierżawy.

Znajdowanie gości, którzy nie są zapraszani za pośrednictwem zarządzania upoważnieniami

Gdy pracownicy są upoważnieni do współpracy z użytkownikami zewnętrznymi, mogą zapraszać dowolną liczbę użytkowników spoza organizacji. Szukanie i grupowanie partnerów zewnętrznych w grupach członkostwa dynamicznego zgodnego z firmą oraz przeglądanie ich może nie być możliwe, ponieważ może być zbyt wiele różnych indywidualnych firm do sprawdzenia, lub nie ma właściciela ani sponsora dla organizacji. Firma Microsoft udostępnia przykładowy skrypt PowerShell, który może pomóc w analizie wykorzystania tożsamości zewnętrznych u dzierżawcy. Skrypt wylicza tożsamości zewnętrzne i kategoryzuje je. Skrypt może pomóc w zidentyfikowaniu i usunięciu tożsamości zewnętrznych, które mogą już nie być wymagane. W ramach danych wyjściowych skryptu przykładowy skrypt obsługuje automatyczne tworzenie grup zabezpieczeń zawierających zidentyfikowanych partnerów zewnętrznych bez grup — do dalszej analizy i użycia z przeglądami dostępu firmy Microsoft Entra. Skrypt jest dostępny w witrynie GitHub. Po zakończeniu działania skryptu generuje plik wyjściowy HTML, który zawiera opis tożsamości zewnętrznych, które:

  • Nie ma już żadnego członkostwa w grupie najemcy
  • Przypisanie roli uprzywilejowanej w dzierżawie
  • Mieć przypisanie do aplikacji w dzierżawie

Dane wyjściowe obejmują również poszczególne domeny dla każdej z tych tożsamości zewnętrznych.

Uwaga

Wcześniej odwołany skrypt jest przykładowym skryptem, który sprawdza członkostwo w grupie, przypisania ról i przypisania aplikacji w identyfikatorze Entra firmy Microsoft. W aplikacjach mogą istnieć inne przypisania, które użytkownicy zewnętrzni otrzymali poza identyfikatorem Entra firmy Microsoft, takimi jak SharePoint (bezpośrednie przypisanie członkostwa) lub Azure RBAC lub Azure DevOps.

Przegląd zasobów używanych przez tożsamości zewnętrzne

Jeśli masz tożsamości zewnętrzne korzystające z zasobów, takich jak Teams lub inne aplikacje, które nie są jeszcze zarządzane przez zarządzanie upoważnieniami, możesz również regularnie przeglądać dostęp do tych zasobów. Przeglądy dostępu Microsoft Entra umożliwiają sprawdzenie dostępu tożsamości zewnętrznych poprzez pozwolenie właścicielowi zasobu, samym tożsamościom zewnętrznym lub innej zaufanej, delegowanej osobie na potwierdzenie, czy potrzebny jest dalszy dostęp. Przeglądy dostępu obejmują zasób i tworzą działanie przeglądu, które jest ograniczone do wszystkich użytkowników mających dostęp do zasobu lub tylko dla użytkowników-gości. Następnie recenzent widzi wynikową listę użytkowników, których musi przejrzeć – wszystkich użytkowników, w tym pracowników organizacji oraz tożsamości zewnętrznych.

Ustanowienie kultury przeglądu kierowanej przez właścicieli zasobów pomaga zarządzać dostępem do identyfikatorów zewnętrznych. Właściciele zasobów, odpowiedzialni za dostęp, dostępność i bezpieczeństwo posiadanych informacji, są w większości przypadków najlepszymi osobami do podejmowania decyzji dotyczących dostępu do swoich zasobów i są bliżej użytkowników, którzy uzyskują do nich dostęp, niż centralny zespół IT lub sponsor, który zarządza wieloma zewnętrznymi współpracownikami.

Tworzenie przeglądów dostępu dla tożsamości zewnętrznych

Użytkownicy, którzy nie mają już dostępu do żadnych zasobów w dzierżawie, mogą zostać usunięci, jeśli nie będą już współpracować z twoją organizacją. Przed zablokowaniem i usunięciem tych tożsamości zewnętrznych, powinni Państwo skontaktować się z tymi użytkownikami zewnętrznymi i upewnić się, że nie pominięto żadnego projektu ani stałego dostępu, który może być im potrzebny. Podczas tworzenia grupy zawierającej wszystkie tożsamości zewnętrzne jako członków, które stwierdziłeś, że nie mają dostępu do żadnych zasobów w Twojej dzierżawie, możesz użyć Przeglądów Dostępu, aby umożliwić wszystkim zewnętrznym użytkownikom samodzielne potwierdzenie, czy nadal potrzebują lub mają dostęp — lub czy będą potrzebować dostępu w przyszłości. W ramach przeglądu, twórca przeglądu w Access Reviews może użyć funkcji Wymagaj podania przyczyny przy zatwierdzaniu, aby wymagać od użytkowników zewnętrznych uzasadnienia dalszego dostępu, co pozwala dowiedzieć się, gdzie i jak nadal potrzebują dostępu w Twojej dzierżawie. Ponadto możesz włączyć ustawienie Dodatkowa zawartość dla funkcji poczty e-mail recenzenta, aby poinformować użytkowników, że tracą dostęp, jeśli nie odpowiadają i, jeśli nadal potrzebują dostępu, wymagane jest uzasadnienie. Jeżeli chcesz zezwolić, aby Przeglądy Dostępu wyłączały i usuwały tożsamości zewnętrzne w przypadku, gdy nie odpowiedzą lub nie podadzą uzasadnionej przyczyny dalszego dostępu, możesz skorzystać z opcji Wyłącz i usuń, jak opisano w następnej sekcji.

Aby utworzyć przegląd dostępu dla tożsamości zewnętrznych, postępuj w następujący sposób:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako Administrator ds. Zarządzania Tożsamością.

  2. Przejdź do Tożsamość>Grupy>Wszystkie grupy.

  3. Wyszukaj grupę zawierającą członków, którzy są tożsamościami zewnętrznymi, którzy nie mają dostępu do zasobów w Twojej dzierżawie, i odnotuj tę grupę. Aby zautomatyzować tworzenie grupy z członkami, którzy spełniają te kryteria, zobacz Zbieranie informacji dotyczących rozprzestrzeniania się tożsamości zewnętrznych.

  4. Przejdź do Ład tożsamości>Przeglądy dostępu.

  5. Wybierz + Nowy przegląd dostępu.

  6. Wybierz pozycję Teams + Groups, a następnie wybierz zanotowaną wcześniej grupę zawierającą tożsamości zewnętrzne, aby ustawić zakres przeglądu.

  7. Ustaw Zakres jako tylko użytkownicy goście. Zrzut ekranu przedstawiający ograniczenie zakresu przeglądu tylko do użytkowników-gości.

  8. W sekcji Ustawienia po zakończeniu możesz wybrać pozycję Zablokuj użytkownikom możliwość logowania się przez 30 dni, a następnie usuń użytkownika z dzierżawy w obszarze Akcja do zastosowania dla użytkowników z odmową dostępu. Aby uzyskać więcej informacji, zobacz: Wyłączanie i usuwanie tożsamości zewnętrznych za pomocą przeglądów dostępu Microsoft Entra.

  9. Po utworzeniu przeglądu dostępu użytkownik-gość musi certyfikować swój dostęp przed zakończeniem przeglądu. Dzieje się to poprzez zatwierdzenie lub niezatwierdzenie dostępu przez gościa w portalu Mój Dostęp. Aby uzyskać pełny przewodnik krok po kroku, zobacz: Przeglądanie dostępu do grup i aplikacji w przeglądach dostępu.

Po zakończeniu przeglądu na stronie Wyniki zostanie wyświetlone omówienie odpowiedzi podanej przez każdą tożsamość zewnętrzną. Możesz wybrać automatyczne stosowanie wyników i pozwolić Przeglądom Dostępu na ich wyłączenie i usunięcie. Alternatywnie możesz przejrzeć podane odpowiedzi i zdecydować, czy chcesz usunąć dostęp użytkownika, czy kontynuować pracę, i uzyskać dodatkowe informacje przed podjęciem decyzji. Jeśli niektórzy użytkownicy nadal mają dostęp do zasobów, których jeszcze nie przejrzeno, możesz użyć przeglądu w ramach odnajdywania i wzbogacania następnego cyklu przeglądania i zaświadczania.

Aby uzyskać szczegółowy przewodnik krok po kroku, zobacz: Tworzenie przeglądu dostępu grup i aplikacji w usłudze Microsoft Entra ID.

Wyłączanie i usuwanie tożsamości zewnętrznych za pomocą przeglądów dostępu firmy Microsoft Entra

Oprócz opcji usuwania niechcianych tożsamości zewnętrznych z zasobów, takich jak grupy lub aplikacje, przeglądy dostępu firmy Microsoft Entra mogą blokować logowanie się tożsamości zewnętrznych do dzierżawy i usuwać tożsamości zewnętrzne z dzierżawy po upływie 30 dni. Po wybraniu opcji Blokuj logowanie użytkownika przez 30 dni, a następnie usuń użytkownika z dzierżawy, przegląd pozostanie w statusie "zastosowanie" przez 30 dni. W tym okresie ustawienia, wyniki, recenzenci lub dzienniki inspekcji w ramach bieżącej recenzji nie są widoczne ani konfigurowalne.

po zakończeniu ustawień

To ustawienie umożliwia identyfikowanie, blokowanie i usuwanie zewnętrznych tożsamości z Twojej dzierżawy Microsoft Entra. Tożsamości zewnętrzne, które są przeanalizowane i odrzucone przez recenzenta, będą blokowane i usuwane, niezależnie od posiadanego dostępu do zasobów lub członkostwa w grupach. To ustawienie najlepiej jest używać jako ostatni krok po zweryfikowaniu, że zewnętrzni użytkownicy będący w przeglądzie nie mają już dostępu do zasobów i można ich bezpiecznie usunąć z dzierżawy, lub jeśli chcesz upewnić się, że zostaną usunięci, niezależnie od ich obecnego dostępu. Funkcja "Wyłącz i usuń" najpierw blokuje użytkownika zewnętrznego, uniemożliwiając mu logowanie się do twojej dzierżawy i uzyskiwanie dostępu do zasobów. Dostęp do zasobów nie zostanie odwołany na tym etapie, a jeśli chcesz ponownie zainicjować użytkownika zewnętrznego, można ponownie skonfigurować ich możliwość logowania. Jeśli nie zostaną podjęte dalsze działania, zablokowana tożsamość zewnętrzna zostanie usunięta z katalogu po 30 dniach, co usunie konto i dostęp.

Następne kroki