Správa přístupu hostů pomocí kontrol přístupu

  • Článek

Pomocí kontrol přístupu můžete snadno povolit spolupráci napříč hranicemi organizace pomocí funkce Microsoft Entra B2B. Uživatele typu host z jiných tenantů můžou pozvat správci nebo jiní uživatelé. Tato funkce se vztahuje také na sociální identity, jako jsou účty Microsoft.

Můžete také snadno zajistit, aby uživatelé typu host měli odpovídající přístup. Můžete se zeptat samotných hostů nebo rozhodovacího tvůrce, aby se zúčastnili kontroly přístupu a znovu je certifikovali (nebo potvrdili) pro přístup hostů. Kontroloři můžou poskytnout svůj vstup o potřebě každého uživatele k trvalému přístupu na základě návrhů z ID Microsoft Entra. Po dokončení kontroly přístupu můžete provést změny a odebrat přístup pro hosty, kteří ho už nepotřebují.

Poznámka:

Tento dokument se zaměřuje na kontrolu přístupu uživatelů typu host. Pokud chcete zkontrolovat přístup všech uživatelů, nejen hostů, projděte si téma Správa přístupu uživatelů pomocí kontrol přístupu. Pokud chcete zkontrolovat členství uživatelů v rolích pro správu, jako je například globální správce, projděte si téma věnované spuštění kontroly přístupu ve službě Microsoft Entra Privileged Identity Management.

Požadavky

  • Zásady správného řízení ID Microsoft Entra ID P2 nebo Microsoft Entra ID

Další informace najdete v licenčních požadavcích.

Vytvoření a provedení kontroly přístupu pro hosty

Nejprve musíte mít přiřazenou jednu z následujících rolí:

  • globální správce
  • Správce uživatelů
  • (Preview) Vlastník skupiny zabezpečení Microsoft 365 nebo Microsoft Entra, která se má zkontrolovat

Pak přejděte na stránku Zásad správného řízení identit a ujistěte se, že jsou kontroly přístupu pro vaši organizaci připravené.

Microsoft Entra ID umožňuje zkontrolovat uživatele typu host v několika scénářích.

Můžete si projít jednu z těchto akcí:

  • Skupina v Microsoft Entra ID, která má jednoho nebo více hostů jako členy.
  • Aplikace připojená k MICROSOFT Entra ID, které má přiřazených jednoho nebo více uživatelů typu host.

Při kontrole přístupu uživatelů typu host ke skupinám Microsoft 365 můžete buď vytvořit kontrolu pro každou skupinu jednotlivě, nebo zapnout automatickou opakovanou kontrolu přístupu uživatelů typu host ve všech skupinách Microsoftu 365. Následující video obsahuje další informace o opakovaných kontrolách přístupu uživatelů typu host:

Pak se můžete rozhodnout, jestli chcete každého hosta požádat, aby zkontroloval svůj vlastní přístup, nebo požádat jednoho nebo více uživatelů, aby zkontroloval přístup každého hosta.

Tyto scénáře jsou popsané v následujících částech.

Požádejte hosty, aby zkontrolovali své vlastní členství ve skupině.

Pomocí kontrol přístupu můžete zajistit, aby uživatelé, kteří byli pozvaní a přidaní do skupiny, měli dál přístup. Můžete snadno požádat hosty, aby zkontrolovali své vlastní členství v této skupině.

  1. Pokud chcete pro skupinu vytvořit kontrolu přístupu, vyberte kontrolu, která bude zahrnovat pouze členy uživatele typu host a že se členové sami zkontrolují. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  2. Požádejte každého hosta, aby zkontroloval vlastní členství. Ve výchozím nastavení každý host, který přijal pozvánku, obdrží e-mail z Microsoft Entra ID s odkazem na kontrolu přístupu. Id Microsoft Entra obsahuje pokyny pro hosty, jak zkontrolovat přístup ke skupinám nebo aplikacím.

  3. Jakmile revidující poskytnou potřebné informace, zastavte kontrolu přístupu a proveďte příslušné změny. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

  4. Kromě uživatelů, kteří odmítli vlastní potřebu dalšího přístupu, můžete také odebrat uživatele, kteří neodpověděli. Uživatelé, kteří nereagují, už nemusí dostávat e-maily.

  5. Pokud se skupina nepoužívá ke správě přístupu, můžete odebrat uživatele, kteří se nezúčastní kontroly, protože nepřijmou pozvánku. Nepřijmutí může znamenat, že e-mailová adresa pozvaných uživatelů měla překlep. Pokud se skupina používá jako distribuční seznam, možná někteří uživatelé typu host nebyli vybráni k účasti, protože jsou kontaktními objekty.

Požádejte autorizovaného uživatele, aby zkontroloval členství hosta ve skupině.

Můžete požádat autorizovaného uživatele, například vlastníka skupiny, aby zkontroloval potřebu hosta pokračovat v členství ve skupině.

  1. Pokud chcete vytvořit kontrolu přístupu pro skupinu, vyberte kontrolu, která bude obsahovat pouze členy uživatele typu host. Pak zadejte jednoho nebo více revidujících. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  2. Požádejte revidující o informace. Ve výchozím nastavení každý obdrží e-mail od Microsoft Entra ID s odkazem na přístupový panel, kde zkontrolují přístup ke skupinám nebo aplikacím.

  3. Jakmile revidující poskytnou potřebné informace, zastavte kontrolu přístupu a proveďte příslušné změny. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

Požádejte hosty, aby zkontrolovali svůj vlastní přístup k aplikaci.

Kontroly přístupu můžete použít k zajištění toho, aby uživatelé, kteří byli pozvaní pro konkrétní aplikaci, nadále potřebovali přístup. Můžete se snadno zeptat samotných hostů, aby zkontrolovali vlastní potřebu přístupu.

  1. Pokud chcete vytvořit kontrolu přístupu pro aplikaci, vyberte kontrolu, která bude zahrnovat pouze hosty a že uživatelé kontrolují svůj vlastní přístup. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  2. Požádejte každého hosta, aby zkontroloval svůj vlastní přístup k aplikaci. Ve výchozím nastavení každý host, který přijal pozvánku, obdrží e-mail z Microsoft Entra ID. Tento e-mail obsahuje odkaz na kontrolu přístupu na přístupovém panelu vaší organizace. Id Microsoft Entra obsahuje pokyny pro hosty, jak zkontrolovat přístup ke skupinám nebo aplikacím.

  3. Jakmile revidující poskytnou potřebné informace, zastavte kontrolu přístupu a proveďte příslušné změny. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

  4. Kromě uživatelů, kteří odmítli vlastní potřebu dalšího přístupu, můžete také odebrat uživatele typu host, kteří neodpověděli. Uživatelé, kteří nereagují, už nemusí dostávat e-maily. Můžete také odebrat uživatele typu host, kteří nebyli vybráni k účasti, zejména pokud nebyli nedávno pozváni. Tito uživatelé pozvánku nepřijali a neměli tak přístup k aplikaci.

Požádejte autorizovaného uživatele, aby zkontroloval přístup hosta k aplikaci.

Můžete požádat autorizovaného uživatele, například vlastníka aplikace, aby zkontroloval potřebu hosta pro pokračování přístupu k aplikaci.

  1. Pokud chcete pro aplikaci vytvořit kontrolu přístupu, vyberte kontrolu, která bude obsahovat pouze hosty. Pak zadejte jednoho nebo více uživatelů jako revidujících. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  2. Požádejte revidující o informace. Ve výchozím nastavení každý obdrží e-mail od Microsoft Entra ID s odkazem na přístupový panel, kde zkontrolují přístup ke skupinám nebo aplikacím.

  3. Jakmile revidující poskytnou potřebné informace, zastavte kontrolu přístupu a proveďte příslušné změny. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

Požádejte hosty, aby zkontrolovali, jestli potřebují přístup, obecně

V některých organizacích si hosté nemusí být vědomi členství ve skupinách.

Poznámka:

Dřívější verze portálu nepovolily přístup pro správu uživatelů s typem userType hosta. V některých případech mohl správce ve vašem adresáři změnit hodnotu UserType hosta na Člen pomocí PowerShellu. Pokud k této změně dříve došlo ve vašem adresáři, předchozí dotaz nemusí obsahovat všechny uživatele typu host, kteří měli historicky přístupová práva pro správu. V takovém případě musíte změnit typ uživatele hosta nebo ručně zahrnout hosta do členství ve skupině.

  1. Vytvořte skupinu zabezpečení v Microsoft Entra ID s hosty jako členy, pokud ještě neexistuje vhodná skupina. Můžete například vytvořit skupinu s ručně udržovaným členstvím hostů. Nebo můžete vytvořit dynamickou skupinu s názvem, například "Hosté contoso" pro uživatele v tenantovi Contoso, kteří mají hodnotu atributu UserType hosta. Pokud chcete zajistit efektivitu, ujistěte se, že skupina je převážně hosty – nevybírejte skupinu, která má členské uživatele, protože členové uživatelé se nemusí kontrolovat. Mějte také na paměti, že uživatel typu host, který je členem skupiny, vidí ostatní členy skupiny.

  2. Pokud chcete vytvořit kontrolu přístupu pro tuto skupinu, vyberte revidujícím, aby byli členy sami. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  3. Požádejte každého hosta, aby zkontroloval vlastní členství. Ve výchozím nastavení každý host, který pozvánku přijal, obdrží e-mail od Microsoft Entra ID s odkazem na kontrolu přístupu na přístupovém panelu vaší organizace. Id Microsoft Entra obsahuje pokyny pro hosty, jak zkontrolovat přístup ke skupinám nebo aplikacím. Tito hosté, kteří pozvánku nepřijme, se zobrazí ve výsledcích kontroly jako Neoznamováno.

  4. Jakmile revidujícím udělíte vstup, zastavte kontrolu přístupu. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

  5. Účty Microsoft Entra B2B můžete automaticky odstranit v rámci kontroly přístupu, když konfigurujete kontrolu přístupu pro výběr týmu a skupin. Tato možnost není dostupná pro všechny skupiny Microsoftu 365 u uživatelů typu host.

Screenshot showing page to create access review.

Uděláte to tak, že vyberete Možnost Automaticky použít výsledky na prostředek , protože tím se automaticky odebere uživatel z prostředku. Pokud revidující nereaguje , měla by být nastavena možnost Odebrat přístup a akce, která se má použít u odepřených uživatelů typu host, měla by být také nastavena možnost Blokovat přihlášení po dobu 30 dnů, pak odeberte uživatele z tenanta.

Tím se okamžitě zablokuje přihlášení k uživatelskému účtu typu host a po 30 dnech se účet Microsoft Entra B2B automaticky odstraní.

Další kroky