Vendéghozzáférés kezelése hozzáférési felülvizsgálatokkal
A hozzáférési felülvizsgálatokkal egyszerűen engedélyezheti a szervezeti határokon átnyúló együttműködést a Microsoft Entra B2B funkcióval. A többi bérlő vendégfelhasználóit a rendszergazdák vagy más felhasználók is meghívhatják. Ez a funkció a közösségi identitásokra, például a Microsoft-fiókokra is vonatkozik.
Azt is könnyedén biztosíthatja, hogy a vendégfelhasználók megfelelő hozzáféréssel rendelkezzenek. Megkérheti a vendégeket vagy a döntéshozókat, hogy vegyenek részt a hozzáférési felülvizsgálatban, és ismét hitelesíthetik (vagy tanúsíthatják) a vendégek hozzáférését. A véleményezők a Microsoft Entra ID javaslatai alapján adhatják meg, hogy minden felhasználónak szüksége van-e a folyamatos hozzáférésre. Ha a hozzáférési felülvizsgálat befejeződött, módosításokat végezhet, és eltávolíthatja a hozzáférést azoknak a vendégeknek, akiknek már nincs rá szükségük.
Feljegyzés
Ez a dokumentum a vendégfelhasználók hozzáférésének áttekintésére összpontosít. Ha minden felhasználó hozzáférését szeretné felülvizsgálni, és nem csak a vendégfelhasználókét, akkor tekintse meg az azzal foglalkozó részt, hogyan lehet kezelni a felhasználók hozzáférését a hozzáférési felülvizsgálatokkal. Ha a rendszergazdai szerepkörrel rendelkező felhasználók (például a globális rendszergazdák) tagságát szeretné felülvizsgálni, tekintse meg a hozzáférési felülvizsgálat a Microsoft Entra Privileged Identity Management alkalmazásban történő indításával foglalkozó cikket.
Előfeltételek
- Microsoft Entra ID P2 vagy Microsoft Entra ID-kezelés
További információ: Licenckövetelmények.
Hozzáférési felülvizsgálat létrehozása és végrehajtása a vendégek számára
Először a következő szerepkörök egyikét kell hozzárendelni:
- globális rendszergazda
- Felhasználói rendszergazda
- (Előzetes verzió) A felülvizsgálandó csoport Microsoft 365-ös vagy Microsoft Entra biztonsági csoporttulajdonosa
Ezután lépjen az Identitásszabályozás lapra , és győződjön meg arról, hogy a hozzáférési felülvizsgálatok készen állnak a szervezet számára.
A Microsoft Entra ID több forgatókönyvet is lehetővé tesz a vendégfelhasználók áttekintéséhez.
Az alábbiakat tekintheti át:
- Egy Csoport a Microsoft Entra-azonosítóban, amelynek egy vagy több vendége van tagként.
- Egy Microsoft Entra-azonosítóhoz csatlakoztatott alkalmazás, amelyhez egy vagy több vendégfelhasználó van hozzárendelve.
A Vendégfelhasználók Microsoft 365-csoportokhoz való hozzáférésének áttekintésekor külön-külön is létrehozhat felülvizsgálatot az egyes csoportokhoz, vagy bekapcsolhatja az összes Microsoft 365-csoport vendégfelhasználóinak automatikus, ismétlődő hozzáférési felülvizsgálatát. Az alábbi videó további információt nyújt a vendégfelhasználók ismétlődő hozzáférési felülvizsgálatáról:
Ezután eldöntheti, hogy megkéri-e az egyes vendégeket, hogy tekintse át a saját hozzáférésüket, vagy kérjenek meg egy vagy több felhasználót, hogy tekintse át minden vendég hozzáférését.
Ezeket a forgatókönyveket a következő szakaszok ismertetik.
Kérje meg a vendégeket, hogy tekintsék át saját csoporttagságukat
Hozzáférési felülvizsgálatokkal biztosíthatja, hogy a meghívott és a csoporthoz felvett felhasználóknak továbbra is hozzáférésre van szükségük. Egyszerűen megkérheti a vendégeket, hogy tekintsék át a csoporthoz tartozó saját tagságukat.
Ha hozzáférési felülvizsgálatot szeretne létrehozni a csoporthoz, jelölje ki azt a felülvizsgálatot, amely csak a vendégfelhasználói tagokat és magukat a tagokat tartalmazza. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának létrehozása.
Kérje meg minden vendéget, hogy tekintse át a saját tagságát. Alapértelmezés szerint minden vendég, aki elfogadta a meghívást, kap egy e-mailt a Microsoft Entra-azonosítótól a hozzáférési felülvizsgálatra mutató hivatkozással. A Microsoft Entra ID útmutatást tartalmaz a vendégek számára a csoportokhoz vagy alkalmazásokhoz való hozzáférés áttekintéséhez.
Ha mindenki elvégezte a felülvizsgálatot, állítsa le a hozzáférési felülvizsgálatot, és alkalmazza a módosításokat. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának befejezése.
Azon felhasználók mellett, akik megtagadták a saját igényüket a folyamatos hozzáférésre, eltávolíthatja a nem válaszoló felhasználókat is. A nem válaszoló felhasználók valószínűleg már nem kapnak e-mailt.
Ha a csoportot nem a hozzáférés-kezeléshez használják, eltávolíthatja azokat a felhasználókat is, akiket nem választottak ki a véleményezésben való részvételre, mert nem fogadták el a meghívásukat. Ha nem fogadja el, az azt jelezheti, hogy a meghívott felhasználó e-mail-címe elírást kapott. Ha egy csoportot terjesztési listaként használnak, előfordulhat, hogy egyes vendégfelhasználók nem lettek kiválasztva a részvételre, mert partnerobjektumok.
Kérje meg a jogosult felhasználót, hogy tekintse át egy vendég csoporttagságát
Megkérhet egy jogosult felhasználót, például egy csoport tulajdonosát, hogy tekintse át, hogy a vendégnek szüksége van-e a csoporttagság folytatására.
Ha hozzáférési felülvizsgálatot szeretne létrehozni a csoporthoz, válassza ki a felülvizsgálatot, hogy csak a vendégfelhasználók tagjait vegye fel. Ezután adjon meg egy vagy több véleményezőt. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának létrehozása.
Kérje meg a felülvizsgálókat, hogy nyilvánítsanak véleményt. Alapértelmezés szerint mindegyik e-mailt kap a Microsoft Entra-azonosítótól a hozzáférési panelre mutató hivatkozással, ahol áttekintik a csoportokhoz vagy alkalmazásokhoz való hozzáférést.
Ha mindenki elvégezte a felülvizsgálatot, állítsa le a hozzáférési felülvizsgálatot, és alkalmazza a módosításokat. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának befejezése.
Kérje meg a vendégeket, hogy tekintsék át saját hozzáférésüket egy alkalmazáshoz
Hozzáférési felülvizsgálatokkal biztosíthatja, hogy az adott alkalmazáshoz meghívott felhasználóknak továbbra is hozzáférésre van szükségük. Könnyedén megkérheti a vendégeket, hogy tekintsék át saját hozzáférési igényüket.
Ha hozzáférési felülvizsgálatot szeretne létrehozni az alkalmazáshoz, válassza ki a felülvizsgálatot, hogy csak a vendégeket vegye fel, és hogy a felhasználók áttekintsék a saját hozzáférésüket. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának létrehozása.
Kérje meg minden vendéget, hogy tekintse át saját hozzáférését az alkalmazáshoz. Alapértelmezés szerint minden meghívót elfogadó vendég kap egy e-mailt a Microsoft Entra-azonosítótól. Ez az e-mail a szervezet hozzáférési paneljén található hozzáférési felülvizsgálatra mutató hivatkozással rendelkezik. A Microsoft Entra ID útmutatást tartalmaz a vendégek számára a csoportokhoz vagy alkalmazásokhoz való hozzáférés áttekintéséhez.
Ha mindenki elvégezte a felülvizsgálatot, állítsa le a hozzáférési felülvizsgálatot, és alkalmazza a módosításokat. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának befejezése.
Azon felhasználókon kívül, akik megtagadták a saját igényüket a folyamatos hozzáférésre, eltávolíthatja a nem válaszoló vendégfelhasználókat is. A nem válaszoló felhasználók valószínűleg már nem kapnak e-mailt. Eltávolíthatja azokat a vendégfelhasználókat is, akiket nem választottak ki a részvételre, különösen akkor, ha nemrég nem hívták meg őket. Ezek a felhasználók nem fogadták el a meghívást, így nem fértek hozzá az alkalmazáshoz.
Kérje meg a jogosult felhasználót, hogy tekintse át egy vendég alkalmazáshoz való hozzáférését
Megkérhet egy jogosult felhasználót, például egy alkalmazás tulajdonosát, hogy tekintse át, hogy a vendégnek szüksége van-e az alkalmazáshoz való folyamatos hozzáférésre.
Ha hozzáférési felülvizsgálatot szeretne létrehozni az alkalmazáshoz, válassza ki a felülvizsgálatot, hogy csak a vendégeket vegye fel. Ezután adjon meg egy vagy több felhasználót véleményezőként. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának létrehozása.
Kérje meg a felülvizsgálókat, hogy nyilvánítsanak véleményt. Alapértelmezés szerint mindegyik e-mailt kap a Microsoft Entra-azonosítótól a hozzáférési panelre mutató hivatkozással, ahol áttekintik a csoportokhoz vagy alkalmazásokhoz való hozzáférést.
Ha mindenki elvégezte a felülvizsgálatot, állítsa le a hozzáférési felülvizsgálatot, és alkalmazza a módosításokat. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának befejezése.
Kérje meg a vendégeket, hogy tekintsék át a hozzáférés iránti igényüket, általában
Egyes szervezetekben előfordulhat, hogy a vendégek nem ismerik a csoporttagságukat.
Feljegyzés
A portál korábbi verziói nem engedélyeznek rendszergazdai hozzáférést a vendég UserType-jával rendelkező felhasználók számára. Bizonyos esetekben előfordulhat, hogy a címtár rendszergazdája a PowerShell használatával tagra módosította a vendég UserType értékét. Ha ez a változás korábban a címtárban történt, előfordulhat, hogy az előző lekérdezés nem tartalmazza az összes olyan vendégfelhasználót, aki korábban rendszergazdai hozzáférési jogosultságokkal rendelkezett. Ebben az esetben vagy módosítania kell a vendég UserType tulajdonságát, vagy manuálisan kell felvennie a vendéget a csoporttagságba.
Hozzon létre egy biztonsági csoportot a Microsoft Entra-azonosítóban a vendégekkel tagként, ha még nem létezik megfelelő csoport. Létrehozhat például egy csoportot manuálisan fenntartott vendégtagsággal. Dinamikus csoportot is létrehozhat például "Contoso vendégei" néven a Contoso-bérlő azon felhasználói számára, akik a Vendég UserType attribútumértékével rendelkeznek. A hatékonyság érdekében győződjön meg arról, hogy a csoport túlnyomórészt vendégek – ne jelöljön ki tagfelhasználóval rendelkező csoportot, mivel a tagfelhasználóknak nem kell áttekintenie őket. Ne feledje továbbá, hogy a csoporttag vendégfelhasználók láthatják a csoport többi tagját is.
Ha hozzáférési felülvizsgálatot szeretne létrehozni a csoporthoz, jelölje ki a véleményezőket, hogy maguk legyenek a tagok. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának létrehozása.
Kérje meg minden vendéget, hogy tekintse át a saját tagságát. Alapértelmezés szerint minden vendég, aki elfogadta a meghívást, kap egy e-mailt a Microsoft Entra-azonosítótól, amely a szervezet hozzáférési paneljén található hozzáférési felülvizsgálatra mutató hivatkozással rendelkezik. A Microsoft Entra ID útmutatást tartalmaz a vendégek számára a csoportokhoz vagy alkalmazásokhoz való hozzáférés áttekintéséhez. Azok a vendégek, akik nem fogadták el a meghívásukat, "Nem értesített" néven jelennek meg a felülvizsgálat eredményei között.
Miután a véleményezők bemenetet adtak, állítsa le a hozzáférési felülvizsgálatot. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának befejezése.
A Microsoft Entra B2B-fiókokat automatikusan törölheti a hozzáférési felülvizsgálat részeként, amikor hozzáférési felülvizsgálatot konfigurál a Csoport és csoportok kiválasztása beállításhoz. Ez a beállítás nem érhető el a Vendégfelhasználókkal rendelkező Összes Microsoft 365-csoport esetében.
Ehhez válassza az Automatikus alkalmazás az erőforrásra lehetőséget, mivel ez automatikusan eltávolítja a felhasználót az erőforrásból. Ha a véleményező nem válaszol , akkor a Hozzáférés eltávolítása és a megtagadott vendégfelhasználókra vonatkozó művelet beállításnál azt is meg kell adni, hogy 30 napig tiltsa le a bejelentkezést, majd távolítsa el a felhasználót a bérlőből.
Ez azonnal letiltja a vendégfelhasználói fiókba való bejelentkezést, majd 30 nap után automatikusan törli a Microsoft Entra B2B-fiókját.