Поделиться через

Управление пользовательским и гостевым доступом с помощью проверок доступа

  • Статья

С помощью проверок доступа вы можете легко убедиться, что у пользователей или гостей есть соответствующий доступ. Для этого предложите самому пользователю или руководителю пройти проверку доступа и повторно сертифицировать (или подтвердить) права доступа пользователя. Оценщики могут предоставить свое мнение о необходимости продолжающегося доступа каждого пользователя на основе предложений из Microsoft Entra ID. По завершении проверки доступа можно внести изменения и отозвать разрешение на доступ для пользователей, которым он больше не нужен.

Примечание.

В этой статье рассматриваются проверки доступа для пользователей и приложений. Сведения о выполнении обзора доступа для нескольких ресурсов в пакетах доступа см. здесь: Просмотрите доступ к пакету доступа в службе управления правами Microsoft Entra. Если вы хотите просмотреть доступ пользователя или служебного субъекта к ролям Microsoft Entra ID или Azure, ознакомьтесь с инструкцией Запуск проверки доступа в Microsoft Entra Управление привилегированными идентификаторами.

Предварительные условия

Для использования этой функции требуются лицензии Microsoft Entra ID Governance или Microsoft Entra Suite. Чтобы выбрать подходящую лицензию для ваших требований, обратитесь к основам лицензирования Microsoft Entra ID Governance.

Создание и выполнение проверки доступа для пользователей

Сначала необходимо быть назначенным на одну из следующих ролей.

  • Администратор пользователей
  • Администратор управления удостоверениями
  • Администратор привилегированных ролей (только для проверок групп с возможностью назначения ролей)
  • (предварительная версия) Владелец группы безопасности Microsoft 365 или Microsoft Entra Security Group, который необходимо проверить

Затем перейдите на страницу Управление удостоверениями, чтобы убедиться, что проверка доступа для вашей организации готова.

Проверку доступа могут выполнять один или несколько пользователей в качестве проверяющих.

  1. Выберите группу в идентификаторе Microsoft Entra с одним или несколькими участниками. Или выберите приложение, подключенное к идентификатору Microsoft Entra, которому назначено одно или несколько пользователей.

  2. Решите, будет ли каждый пользователь проверять собственный доступ или один или несколько пользователей будут проверять доступ всех.

  3. В одной из ранее перечисленных ролей перейдите на страницу Identity Governance.

  4. Создайте проверку доступа. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  5. Когда начнется проверка доступа, попросите проверяющих предоставить входные данные. По умолчанию каждый из них получает сообщение электронной почты от идентификатора Microsoft Entra с ссылкой на панель доступа, где они просматривают доступ к группам или приложениям.

  6. Если рецензенты не предоставили входные данные, вы можете попросить идентификатора Microsoft Entra отправить им напоминание. По умолчанию идентификатор Microsoft Entra ID автоматически отправляет напоминание на полпути к дате окончания для всех рецензентов.

  7. После предоставления рецензентами входных данных остановите проверку доступа и примените изменения. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

Управление гостевым доступом с помощью проверок доступа Microsoft Entra

С помощью идентификатора Microsoft Entra вы можете легко включить сотрудничество через организационные границы, используя функцию Microsoft Entra B2B. Администраторы или другие пользователи могут пригласить гостевых пользователей из других клиентов. Эта возможность также касается социальных идентификаторов, например, учетных записей Microsoft.

Создание и выполнение проверки доступа для гостей

Для создания проверки доступа для гостей необходимы те же роли, которые применялись для создания проверки доступа для пользователей. Дополнительные сведения см. в разделе о создании и выполнении проверки доступа для пользователей.

Идентификатор Microsoft Entra включает несколько сценариев для просмотра гостевых пользователей.

Вы можете выполнить одну из следующих проверок:

  • Группа в идентификаторе Microsoft Entra, которая содержит одного или нескольких гостей в качестве участников.
  • Приложение, подключенное к идентификатору Microsoft Entra, которому назначено одно или несколько гостевых пользователей.

При проверке доступа гостевых пользователей к группам Microsoft 365 можно либо создать проверку для каждой группы по отдельности, либо включить автоматические, периодические проверки доступа гостевых пользователей во всех группах Microsoft 365. В следующем видео приведены дополнительные сведения о периодических проверках доступа гостевых пользователей.

Определив сценарий, можно решить, предлагать ли каждому гостю самому проверять свой доступ или попросить одного или нескольких пользователей проверять доступ каждого гостя.

Эти сценарии подробно рассматриваются разделах ниже.

Попросите гостей проверить своё членство в группе.

Проверки доступа можно использовать, чтобы проверять актуальность потребности в доступе пользователей, приглашенных и добавленных в группу. Вы можете легко предложить гостям проверять их членство в группе.

  1. Чтобы запустить проверку доступа для группы, выберите проверку с участием только гостевых пользователей, которую они сами должны выполнить. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  2. Попросите каждого гостя проверить свое участие в группе. По умолчанию каждый гость, принимающий приглашение, получает сообщение электронной почты от идентификатора Microsoft Entra с ссылкой на проверку доступа. Идентификатор Microsoft Entra содержит инструкции для гостей о том, как просмотреть доступ к группам или приложениям.

  3. После предоставления рецензентами входных данных остановите проверку доступа и примените изменения. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

  4. Кроме пользователей, которые сами отказались от дальнейшего доступа, вы также можете удалить пользователей, не ответивших.

  5. Если группа не используется для управления доступом, можно также удалить пользователей, которые не приняли приглашения и, таким образом, не участвовали в проверке доступа. Отказ может указывать на то, что в адресе электронной почты приглашенного пользователя была опечатка. Если группа используется в качестве распределительного списка, возможно, некоторые гостевые пользователи не были выбраны, так как они являются контактными объектами.

Попросите спонсора проверить членство гостя в группе

Проверить необходимость дальнейшего членства гостя в группе может спонсор, например владелец группы.

  1. Чтобы создать проверку доступа для группы, выберите проверку с участием только гостевых пользователей. Укажите одного или нескольких рецензентов. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  2. Попросите рецензентов предоставить входные данные. По умолчанию каждый из них получает сообщение электронной почты от идентификатора Microsoft Entra с ссылкой на панель доступа, где они просматривают доступ к группам или приложениям.

  3. После предоставления рецензентами входных данных остановите проверку доступа и примените изменения. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

Примечание.

Вы можете заблокировать возможность входа внешних удостоверений в ваш клиент и удалить эти удостоверения из клиента через 30 дней. В течение этого времени настройки, результаты, рецензенты или журналы аудита в текущей проверке будут недоступны для просмотра или настройки. Для получения дополнительной информации см. раздел "Отключение и удаление внешних удостоверений с использованием проверок доступа Microsoft Entra".

Попросите гостей проверить их доступ к приложению

Проверки доступа можно использовать, чтобы проверить актуальность потребности в доступе пользователей, которые были приглашены в определенное приложение. Можно легко попросить гостей самих оценить их необходимость в доступе.

  1. Чтобы создать проверку доступа для приложения, выберите проверку, включающую только гостей, и чтобы пользователи проверяли свой собственный доступ. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  2. Попросите каждого гостя проверить свой доступ к приложению. По умолчанию каждый гость, принимающий приглашение, получает сообщение электронной почты от идентификатора Microsoft Entra. Это сообщение содержит ссылку на проверку доступа на панели доступа вашей организации. Идентификатор Microsoft Entra содержит инструкции для гостей о том, как просмотреть доступ к группам или приложениям.

  3. После предоставления рецензентами входных данных остановите проверку доступа и примените изменения. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

  4. В дополнение к пользователям, отказавшимся от необходимости продолжать доступ, вы также можете удалить гостевых пользователей, от которых не получили ответа. Кроме того, можно удалить гостевых пользователей, которые не были выбраны для участия, особенно если они не были недавно приглашены. Эти пользователи не приняли приглашение и поэтому не имеют доступа к приложению.

Попросите спонсора проверить доступ гостя к приложению

Проверить необходимость дальнейшего доступа гостя к приложению может спонсор, например владелец приложения.

  1. Чтобы создать проверку доступа к приложению, выберите проверку с участием только гостевых пользователей. Укажите одного или нескольких пользователей в качестве рецензентов. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  2. Попросите рецензентов предоставить входные данные. По умолчанию каждый из них получает сообщение электронной почты от идентификатора Microsoft Entra с ссылкой на панель доступа, где они просматривают доступ к группам или приложениям.

  3. После предоставления рецензентами входных данных остановите проверку доступа и примените изменения. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

Попросите гостей пересмотреть свою необходимость в доступе в целом

В некоторых организациях гости могут не знать, какая роль им назначена в группе.

  1. Создайте группу безопасности в идентификаторе Microsoft Entra с гостями в качестве участников, если подходящая группа еще не существует. Например, вы можете создать группу, вручную добавив гостей как участников. Вы можете также создать динамическую группу, например "Гости Contoso", для пользователей клиента Contoso со значением Guest для атрибута UserType. Обратите внимание, что гостевой пользователь, который является членом группы, может видеть других членов группы.

  2. Чтобы создать проверку доступа для этой группы, выберите в качестве рецензентов ее участников. Дополнительные сведения см. в статье Создание проверки доступа для групп и приложений.

  3. Попросите каждого гостя проверить свое участие в группе. По умолчанию каждый гость, принимающий приглашение, получает сообщение электронной почты от идентификатора Microsoft Entra с ссылкой на проверку доступа на панели доступа вашей организации. Идентификатор Microsoft Entra содержит инструкции для гостей о том, как просмотреть доступ к группам или приложениям.

  4. После предоставления рецензентами входных данных остановите проверку доступа. Дополнительные сведения см. в статье Выполнение проверки доступа для групп и приложений.

  5. Отключите доступ для гостей, которые были отклонены, не завершили проверку или не приняли приглашение раньше. Если некоторые из гостей являются контактами, которые были выбраны для участия в проверке или они ранее не приняли приглашение, вы можете отключить свои учетные записи с помощью Центра администрирования Microsoft Entra или PowerShell. Если гостевой пользователь больше не нуждается в доступе и не является контактом, его объект пользователя можно удалить из каталога с помощью Центра администрирования Microsoft Entra или PowerShell для удаления объекта гостевого пользователя.

Следующие шаги

Создание проверки доступа групп или приложений