A Microsoft Entra ID-kezelés használatával áttekintheti és eltávolíthatja azokat a külső felhasználókat, akik már nem rendelkeznek erőforrás-hozzáféréssel

  • Cikk

Ez a cikk olyan funkciókat és módszereket ismertet, amelyek lehetővé teszik a külső identitások rögzítését és kiválasztását, hogy áttekinthesse őket, és eltávolíthassa őket a Microsoft Entra-azonosítóból, ha már nincs rájuk szükség. A felhő minden eddiginél egyszerűbbé teszi a belső vagy külső felhasználókkal való együttműködést. Az Office 365-et átfogva a szervezetek megkezdik a külső identitások (köztük a vendégek) elterjedését, mivel a felhasználók együtt dolgoznak az adatokon, dokumentumokon vagy digitális munkaterületeken, például a Teamsben. A szervezeteknek ki kell egyensúlyozniuk, lehetővé téve az együttműködést, valamint a biztonsági és szabályozási követelményeknek való megfelelést. Ezeknek az erőfeszítéseknek a része a külső felhasználók kiértékelése és eltávolítása, akiket meghívtak a bérlővel való együttműködésre, partnerszervezetektől származó, és eltávolítják őket a Microsoft Entra-azonosítóból, amikor már nincs rájuk szükség.

Feljegyzés

A Microsoft Entra hozzáférési felülvizsgálatainak használatához érvényes Microsoft Entra-azonosítójú P2 vagy Microsoft Entra ID-kezelés, Nagyvállalati mobilitás + Biztonsági E5 fizetős vagy próbaverziós licenc szükséges. További információ: Microsoft Entra-kiadások.

Miért érdemes áttekinteni a bérlő külső szervezeteinek felhasználóit?

A legtöbb szervezetben a végfelhasználók kezdeményezik az üzleti partnerek és szállítók együttműködésre való meghívását. Az együttműködés szükségessége arra ösztönzi a szervezeteket, hogy az erőforrás-tulajdonosok és a végfelhasználók számára lehetővé teszik a külső felhasználók rendszeres kiértékelését és igazolását. Gyakran az új együttműködési partnerek előkészítésének folyamatát tervezik és számolják el, de mivel sok együttműködés nem rendelkezik egyértelmű befejezési dátummal, nem mindig nyilvánvaló, ha a felhasználónak már nincs szüksége hozzáférésre. Emellett az identitás életciklusának kezelése arra ösztönzi a vállalatokat, hogy tisztán tartsák a Microsoft Entra-azonosítókat, és eltávolítsák azokat a felhasználókat, akiknek már nincs szükségük a szervezet erőforrásaihoz való hozzáférésre. Ha csak a partnerekre és szállítókra vonatkozó identitáshivatkozásokat tartja a címtárban, azzal csökkenti az alkalmazottak kockázatát, véletlenül kiválasztja és hozzáférést biztosít azoknak a külső felhasználóknak, akiket el kellett volna távolítani. Ez a dokumentum az ajánlott proaktív javaslatoktól a reaktív és tisztítási tevékenységeken át a külső identitások szabályozásához számos lehetőséget kínál.

Hozzáférés engedélyezése és visszavonása a jogosultságkezelés használatával

A jogosultságkezelési funkciók lehetővé teszik az erőforrásokhoz való hozzáféréssel rendelkező külső identitások automatizált életciklusát. A jogosultságkezelésen keresztüli hozzáférés kezelésére szolgáló folyamatok és eljárások létrehozásával, valamint az erőforrások Access-csomagokon keresztüli közzétételével a külső felhasználók erőforrásokhoz való hozzáférésének nyomon követése sokkal kevésbé bonyolult megoldási problémává válik. Amikor a Microsoft Entra ID-ban a jogosultságkezelési hozzáférési csomagokon keresztül kezeli a hozzáférést, a szervezet központilag definiálhatja és kezelheti a felhasználók és a partnerszervezetek felhasználóinak hozzáférését. A jogosultságkezelés az Access-csomagok jóváhagyásait és hozzárendeléseit használja annak nyomon követésére, hogy a külső felhasználók hol kérték és rendelték hozzá a hozzáférést. Ha egy külső felhasználó elveszíti az összes hozzárendelését, a Jogosultságkezelés automatikusan eltávolíthatja ezeket a külső felhasználókat a bérlőből.

A jogosultságkezelésen keresztül nem meghívott vendégek megkeresése

Ha az alkalmazottak jogosultak külső felhasználókkal való együttműködésre, tetszőleges számú felhasználót meghívhatnak a szervezeten kívülről. Előfordulhat, hogy külső partnereket keresünk és csoportosítunk vállalathoz igazított dinamikus csoportokba, és áttekintjük őket, mivel lehet, hogy túl sok különböző vállalat van, hogy áttekintse őket, vagy nincs tulajdonos vagy szponzor a szervezet számára. A Microsoft egy PowerShell-példaszkriptet biztosít, amely segít elemezni a külső identitások használatát egy bérlőben. A szkript számba adja a külső identitásokat, és kategorizálja őket. A szkript segíthet azonosítani és törölni azokat a külső identitásokat, amelyekre már nincs szükség. A szkript kimenetének részeként a szkriptminta támogatja az azonosított csoport nélküli külső partnereket tartalmazó biztonsági csoportok automatikus létrehozását– a Microsoft Entra hozzáférési felülvizsgálataival való további elemzéshez és használathoz. A szkript elérhető a GitHubon. A szkript futtatása után létrehoz egy HTML-kimeneti fájlt, amely a következő külső identitásokat tagolja:

  • Már nincs csoporttagság a bérlőben
  • Jogosultsági szerepkör hozzárendelése a bérlőben
  • Hozzárendelés hozzárendelése egy alkalmazáshoz a bérlőben

A kimenet az egyes külső identitásokhoz tartozó tartományokat is tartalmazza.

Feljegyzés

A korábban hivatkozott szkript egy mintaszkript, amely a Microsoft Entra ID-ban ellenőrzi a csoporttagságokat, a szerepkör-hozzárendeléseket és az alkalmazás-hozzárendeléseket. Előfordulhatnak olyan más hozzárendelések az alkalmazásokban, amelyeket külső felhasználók a Microsoft Entra-azonosítón kívül kaptak, például a SharePoint (közvetlen tagsági hozzárendelés) vagy az Azure RBAC vagy az Azure DevOps.

Külső identitások által használt erőforrások áttekintése

Ha olyan külső identitásokkal rendelkezik, amelyek olyan erőforrásokat használnak, mint a Teams vagy más, a jogosultságkezelés által még nem szabályozott alkalmazások, érdemes lehet rendszeresen áttekinteni az erőforrásokhoz való hozzáférést is. A Microsoft Entra Access véleményei lehetővé teszi a külső identitások hozzáférésének áttekintését azáltal, hogy lehetővé teszi, hogy az erőforrás tulajdonosa, a külső identitások maguk vagy egy másik meghatalmazott személy, akiben megbízik, igazolja, hogy szükség van-e további hozzáférésre. Az Access-felülvizsgálatok egy erőforrást céloznak meg, és létrehoznak egy felülvizsgálati tevékenységet, amely vagy mindenki számára elérhető, aki csak az erőforráshoz vagy a vendégfelhasználókhoz fér hozzá. A véleményező ezután látja azoknak a felhasználóknak az eredményül kapott listáját, akiket felül kell vizsgálniuk – vagy az összes felhasználót, beleértve a szervezet alkalmazottait vagy a külső identitásokat is.

Az erőforrás tulajdonosalapú felülvizsgálati kultúrájának létrehozása segít szabályozni a külső identitások hozzáférését. Az erőforrások tulajdonosai, akik felelősek a hozzáférésükért, a rendelkezésre állásukért és a saját adataik biztonságáért, a legtöbb esetben a legjobb célközönséget képezik az erőforrásokhoz való hozzáféréssel kapcsolatos döntések meghozatalához, és közelebb állnak azokhoz a felhasználókhoz, akik hozzáférnek hozzájuk, mint a központi informatikai részleg vagy a sok külsőt kezelő szponzor.

Hozzáférési felülvizsgálatok létrehozása külső identitásokhoz

Azok a felhasználók, akiknek már nincs hozzáférésük a bérlőben lévő erőforrásokhoz, eltávolíthatók, ha már nem dolgoznak a szervezettel. Mielőtt letiltja és törli ezeket a külső identitásokat, érdemes lehet kapcsolatba lépnie ezekkel a külső felhasználókat, és győződjön meg arról, hogy nem hagyott figyelmen kívül egy projektet vagy állandó hozzáférést, amelyhez még szükségük van. Amikor olyan csoportot hoz létre, amely az összes külső identitást tartalmazza, mivel a tagok nem férnek hozzá a bérlőben lévő erőforrásokhoz, az Access-felülvizsgálatokkal önigazolhatja, hogy az összes külső személynek szüksége van-e rá, vagy rendelkezik hozzáféréssel – vagy a jövőben is szüksége lesz hozzáférésre. A felülvizsgálat részeként az Access-felülvizsgálatok véleményezője a Jóváhagyási ok megkövetelése függvénnyel megkövetelheti a külső felhasználóktól a folyamatos hozzáférés indoklását, amellyel megtudhatja, hogy hol és hogyan kell továbbra is hozzáférniük a bérlőhöz. Emellett engedélyezheti a További tartalom beállítását a véleményező e-mail funkcióhoz, hogy a felhasználók tudják, hogy elveszítik a hozzáférést, ha nem válaszolnak, és ha továbbra is hozzáférésre van szükségük, indoklásra van szükség. Ha szeretné engedélyezni, hogy az Access Reviews letiltsa és törölje a külső identitásokat, ha nem válaszolnak, vagy érvényes okot adnak a folyamatos hozzáférésre, használhatja a Letiltás és törlés lehetőséget a következő szakaszban leírtak szerint.

Ha külső identitásokhoz szeretne hozzáférési felülvizsgálatot létrehozni, kövesse az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

  2. Tallózással keresse meg a Minden csoport identitáscsoportot>>.

  3. Keresse meg azt a csoportot, amely olyan külső identitásokat tartalmazó tagokat tartalmaz, amelyek nem rendelkeznek hozzáféréssel a bérlő erőforrásaihoz, és jegyezze fel ezt a csoportot. A feltételeknek megfelelő tagokból álló csoport létrehozásának automatizálásához tekintse meg a következő témakört: Információk gyűjtése a külső identitások elterjedése körül.

  4. Keresse meg az identitásszabályozási>hozzáférési felülvizsgálatokat.

  5. Válassza az + Új hozzáférés áttekintése lehetőséget.

  6. Válassza a Teams + Csoportok lehetőséget, majd válassza ki a korábban feljegyzett csoportot, amely a külső identitásokat tartalmazza a Véleményezés hatókör beállításához.

  7. Csak vendégfelhasználóként állítsa be a hatókört. Képernyőkép a felülvizsgálat hatókörének csak a vendégfelhasználókra való korlátozásáról.

  8. A Befejezési beállítások szakaszban kiválaszthatja, hogy 30 napig tiltsa le a felhasználók bejelentkezését, majd távolítsa el a felhasználót a bérlőről a Művelet alatt, hogy alkalmazza a megtagadott felhasználókra vonatkozó beállítást. További információ: Külső identitások letiltása és törlése a Microsoft Entra hozzáférési felülvizsgálataival.

  9. A hozzáférési felülvizsgálat létrehozása után a vendégfelhasználónak igazolnia kell a hozzáférését, mielőtt a felülvizsgálat befejeződik. Ezt a vendég jóváhagyja, vagy nem jóváhagyja a hozzáférést a Saját hozzáférés portálon. Részletes útmutató a csoportokhoz és alkalmazásokhoz való hozzáférés áttekintéséhez a hozzáférési felülvizsgálatokban.

Amikor a véleményezés befejeződött, az Eredmények lap áttekintést nyújt az összes külső identitás által adott válaszról. Dönthet úgy, hogy automatikusan alkalmazza az eredményeket, és engedélyezi az Access-felülvizsgálatok letiltását és törlését. Másik lehetőségként áttekintheti a kapott válaszokat, és eldöntheti, hogy el szeretné-e távolítani egy felhasználó hozzáférését vagy nyomon követését, és további információkat kaphat a döntés előtt. Ha egyes felhasználók továbbra is hozzáférnek azokhoz az erőforrásokhoz, amelyeket még nem tekintett át, a felülvizsgálatot a felderítés részeként használhatja, és bővítheti a következő felülvizsgálati és igazolási ciklust.

Részletes útmutató lépésről lépésre: Csoportok és alkalmazások hozzáférési felülvizsgálatának létrehozása a Microsoft Entra-azonosítóban.

Külső identitások letiltása és törlése a Microsoft Entra hozzáférési felülvizsgálataival

Amellett, hogy eltávolítja a nem kívánt külső identitásokat az erőforrásokból, például csoportokból vagy alkalmazásokból, a Microsoft Entra hozzáférési ellenőrzései megakadályozhatják, hogy a külső identitások bejelentkezhessenek a bérlőbe, és 30 nap után törölhessék a külső identitásokat a bérlőről. Ha 30 napig letiltja a felhasználó bejelentkezését, majd eltávolítja a felhasználót a bérlőből, a felülvizsgálat 30 napig "alkalmaz" állapotban marad. Ebben az időszakban az aktuális felülvizsgálat alatt lévő beállítások, eredmények, véleményezők vagy auditnaplók nem tekinthetők meg vagy konfigurálhatók.

a befejezési beállítások megadásakor

Ez a beállítás lehetővé teszi külső identitások azonosítását, blokkolását és törlését a Microsoft Entra-bérlőből. A véleményező által áttekintett és megtagadott külső identitások le lesznek tiltva és törölve lesznek, függetlenül attól, hogy az erőforrás-hozzáférésük vagy csoporttagságuk van-e. Ezt a beállítást érdemes utolsó lépésként használni annak ellenőrzése után, hogy a felülvizsgálat alatt álló külső felhasználók már nem rendelkeznek erőforrás-hozzáféréssel, és biztonságosan eltávolíthatók a bérlőből, vagy ha meg szeretné győződni róla, hogy el lettek távolítva, függetlenül attól, hogy azok elérhetők-e. A "Letiltás és törlés" funkció először letiltja a külső felhasználót, így nem tud bejelentkezni a bérlőbe, és hozzáférni az erőforrásokhoz. Ebben a szakaszban az erőforrás-hozzáférés nem lesz visszavonva, és ha újra szeretné beállítani a külső felhasználót, a bejelentkezés lehetősége újrakonfigurálható. További művelet nélkül a letiltott külső identitás 30 nap elteltével törlődik a címtárból, eltávolítva a fiókot és a hozzáférésüket.

Következő lépések