Vendéghozzáférés kezelése hozzáférési felülvizsgálatokkal

  • Cikk

A hozzáférési felülvizsgálatokkal egyszerűen engedélyezheti a szervezeti határokon átnyúló együttműködést a Microsoft Entra B2B funkcióval. A többi bérlő vendégfelhasználóit a rendszergazdák vagy más felhasználók is meghívhatják. Ez a funkció a közösségi identitásokra, például a Microsoft-fiókokra is vonatkozik.

Azt is könnyedén biztosíthatja, hogy a vendégfelhasználók megfelelő hozzáféréssel rendelkezzenek. Megkérheti a vendégeket vagy a döntéshozókat, hogy vegyenek részt a hozzáférési felülvizsgálatban, és ismét hitelesíthetik (vagy tanúsíthatják) a vendégek hozzáférését. A véleményezők a Microsoft Entra ID javaslatai alapján adhatják meg, hogy minden felhasználónak szüksége van-e a folyamatos hozzáférésre. Ha a hozzáférési felülvizsgálat befejeződött, módosításokat végezhet, és eltávolíthatja a hozzáférést azoknak a vendégeknek, akiknek már nincs rá szükségük.

Feljegyzés

Ez a dokumentum a vendégfelhasználók hozzáférésének áttekintésére összpontosít. Ha minden felhasználó hozzáférését szeretné felülvizsgálni, és nem csak a vendégfelhasználókét, akkor tekintse meg az azzal foglalkozó részt, hogyan lehet kezelni a felhasználók hozzáférését a hozzáférési felülvizsgálatokkal. Ha a rendszergazdai szerepkörrel rendelkező felhasználók (például a globális rendszergazdák) tagságát szeretné felülvizsgálni, tekintse meg a hozzáférési felülvizsgálat a Microsoft Entra Privileged Identity Management alkalmazásban történő indításával foglalkozó cikket.

Előfeltételek

  • Microsoft Entra ID P2 vagy Microsoft Entra ID-kezelés

További információ: Licenckövetelmények.

Hozzáférési felülvizsgálat létrehozása és végrehajtása a vendégek számára

Először a következő szerepkörök egyikét kell hozzárendelni:

  • globális rendszergazda
  • Felhasználói rendszergazda
  • (Előzetes verzió) A felülvizsgálandó csoport Microsoft 365-ös vagy Microsoft Entra biztonsági csoporttulajdonosa

Ezután lépjen az Identitásszabályozás lapra , és győződjön meg arról, hogy a hozzáférési felülvizsgálatok készen állnak a szervezet számára.

A Microsoft Entra ID több forgatókönyvet is lehetővé tesz a vendégfelhasználók áttekintéséhez.

Az alábbiakat tekintheti át:

  • Egy Csoport a Microsoft Entra-azonosítóban, amelynek egy vagy több vendége van tagként.
  • Egy Microsoft Entra-azonosítóhoz csatlakoztatott alkalmazás, amelyhez egy vagy több vendégfelhasználó van hozzárendelve.

A Vendégfelhasználók Microsoft 365-csoportokhoz való hozzáférésének áttekintésekor külön-külön is létrehozhat felülvizsgálatot az egyes csoportokhoz, vagy bekapcsolhatja az összes Microsoft 365-csoport vendégfelhasználóinak automatikus, ismétlődő hozzáférési felülvizsgálatát. Az alábbi videó további információt nyújt a vendégfelhasználók ismétlődő hozzáférési felülvizsgálatáról:

Ezután eldöntheti, hogy megkéri-e az egyes vendégeket, hogy tekintse át a saját hozzáférésüket, vagy kérjenek meg egy vagy több felhasználót, hogy tekintse át minden vendég hozzáférését.

Ezeket a forgatókönyveket a következő szakaszok ismertetik.

Kérje meg a vendégeket, hogy tekintsék át saját csoporttagságukat

Hozzáférési felülvizsgálatokkal biztosíthatja, hogy a meghívott és a csoporthoz felvett felhasználóknak továbbra is hozzáférésre van szükségük. Egyszerűen megkérheti a vendégeket, hogy tekintsék át a csoporthoz tartozó saját tagságukat.

  1. Ha hozzáférési felülvizsgálatot szeretne létrehozni a csoporthoz, jelölje ki azt a felülvizsgálatot, amely csak a vendégfelhasználói tagokat és magukat a tagokat tartalmazza. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának létrehozása.

  2. Kérje meg minden vendéget, hogy tekintse át a saját tagságát. Alapértelmezés szerint minden vendég, aki elfogadta a meghívást, kap egy e-mailt a Microsoft Entra-azonosítótól a hozzáférési felülvizsgálatra mutató hivatkozással. A Microsoft Entra ID útmutatást tartalmaz a vendégek számára a csoportokhoz vagy alkalmazásokhoz való hozzáférés áttekintéséhez.

  3. Ha mindenki elvégezte a felülvizsgálatot, állítsa le a hozzáférési felülvizsgálatot, és alkalmazza a módosításokat. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának befejezése.

  4. Azon felhasználók mellett, akik megtagadták a saját igényüket a folyamatos hozzáférésre, eltávolíthatja a nem válaszoló felhasználókat is. A nem válaszoló felhasználók valószínűleg már nem kapnak e-mailt.

  5. Ha a csoportot nem a hozzáférés-kezeléshez használják, eltávolíthatja azokat a felhasználókat is, akiket nem választottak ki a véleményezésben való részvételre, mert nem fogadták el a meghívásukat. Ha nem fogadja el, az azt jelezheti, hogy a meghívott felhasználó e-mail-címe elírást kapott. Ha egy csoportot terjesztési listaként használnak, előfordulhat, hogy egyes vendégfelhasználók nem lettek kiválasztva a részvételre, mert partnerobjektumok.

Kérje meg a jogosult felhasználót, hogy tekintse át egy vendég csoporttagságát

Megkérhet egy jogosult felhasználót, például egy csoport tulajdonosát, hogy tekintse át, hogy a vendégnek szüksége van-e a csoporttagság folytatására.

  1. Ha hozzáférési felülvizsgálatot szeretne létrehozni a csoporthoz, válassza ki a felülvizsgálatot, hogy csak a vendégfelhasználók tagjait vegye fel. Ezután adjon meg egy vagy több véleményezőt. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának létrehozása.

  2. Kérje meg a felülvizsgálókat, hogy nyilvánítsanak véleményt. Alapértelmezés szerint mindegyik e-mailt kap a Microsoft Entra-azonosítótól a hozzáférési panelre mutató hivatkozással, ahol áttekintik a csoportokhoz vagy alkalmazásokhoz való hozzáférést.

  3. Ha mindenki elvégezte a felülvizsgálatot, állítsa le a hozzáférési felülvizsgálatot, és alkalmazza a módosításokat. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának befejezése.

Kérje meg a vendégeket, hogy tekintsék át saját hozzáférésüket egy alkalmazáshoz

Hozzáférési felülvizsgálatokkal biztosíthatja, hogy az adott alkalmazáshoz meghívott felhasználóknak továbbra is hozzáférésre van szükségük. Könnyedén megkérheti a vendégeket, hogy tekintsék át saját hozzáférési igényüket.

  1. Ha hozzáférési felülvizsgálatot szeretne létrehozni az alkalmazáshoz, válassza ki a felülvizsgálatot, hogy csak a vendégeket vegye fel, és hogy a felhasználók áttekintsék a saját hozzáférésüket. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának létrehozása.

  2. Kérje meg minden vendéget, hogy tekintse át saját hozzáférését az alkalmazáshoz. Alapértelmezés szerint minden meghívót elfogadó vendég kap egy e-mailt a Microsoft Entra-azonosítótól. Ez az e-mail a szervezet hozzáférési paneljén található hozzáférési felülvizsgálatra mutató hivatkozással rendelkezik. A Microsoft Entra ID útmutatást tartalmaz a vendégek számára a csoportokhoz vagy alkalmazásokhoz való hozzáférés áttekintéséhez.

  3. Ha mindenki elvégezte a felülvizsgálatot, állítsa le a hozzáférési felülvizsgálatot, és alkalmazza a módosításokat. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának befejezése.

  4. Azon felhasználókon kívül, akik megtagadták a saját igényüket a folyamatos hozzáférésre, eltávolíthatja a nem válaszoló vendégfelhasználókat is. A nem válaszoló felhasználók valószínűleg már nem kapnak e-mailt. Eltávolíthatja azokat a vendégfelhasználókat is, akiket nem választottak ki a részvételre, különösen akkor, ha nemrég nem hívták meg őket. Ezek a felhasználók nem fogadták el a meghívást, így nem fértek hozzá az alkalmazáshoz.

Kérje meg a jogosult felhasználót, hogy tekintse át egy vendég alkalmazáshoz való hozzáférését

Megkérhet egy jogosult felhasználót, például egy alkalmazás tulajdonosát, hogy tekintse át, hogy a vendégnek szüksége van-e az alkalmazáshoz való folyamatos hozzáférésre.

  1. Ha hozzáférési felülvizsgálatot szeretne létrehozni az alkalmazáshoz, válassza ki a felülvizsgálatot, hogy csak a vendégeket vegye fel. Ezután adjon meg egy vagy több felhasználót véleményezőként. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának létrehozása.

  2. Kérje meg a felülvizsgálókat, hogy nyilvánítsanak véleményt. Alapértelmezés szerint mindegyik e-mailt kap a Microsoft Entra-azonosítótól a hozzáférési panelre mutató hivatkozással, ahol áttekintik a csoportokhoz vagy alkalmazásokhoz való hozzáférést.

  3. Ha mindenki elvégezte a felülvizsgálatot, állítsa le a hozzáférési felülvizsgálatot, és alkalmazza a módosításokat. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának befejezése.

Kérje meg a vendégeket, hogy tekintsék át a hozzáférés iránti igényüket, általában

Egyes szervezetekben előfordulhat, hogy a vendégek nem ismerik a csoporttagságukat.

Feljegyzés

A portál korábbi verziói nem engedélyeznek rendszergazdai hozzáférést a vendég UserType-jával rendelkező felhasználók számára. Bizonyos esetekben előfordulhat, hogy a címtár rendszergazdája a PowerShell használatával tagra módosította a vendég UserType értékét. Ha ez a változás korábban a címtárban történt, előfordulhat, hogy az előző lekérdezés nem tartalmazza az összes olyan vendégfelhasználót, aki korábban rendszergazdai hozzáférési jogosultságokkal rendelkezett. Ebben az esetben vagy módosítania kell a vendég UserType tulajdonságát, vagy manuálisan kell felvennie a vendéget a csoporttagságba.

  1. Hozzon létre egy biztonsági csoportot a Microsoft Entra-azonosítóban a vendégekkel tagként, ha még nem létezik megfelelő csoport. Létrehozhat például egy csoportot manuálisan fenntartott vendégtagsággal. Dinamikus csoportot is létrehozhat például "Contoso vendégei" néven a Contoso-bérlő azon felhasználói számára, akik a Vendég UserType attribútumértékével rendelkeznek. A hatékonyság érdekében győződjön meg arról, hogy a csoport túlnyomórészt vendégek – ne jelöljön ki tagfelhasználóval rendelkező csoportot, mivel a tagfelhasználóknak nem kell áttekintenie őket. Ne feledje továbbá, hogy a csoporttag vendégfelhasználók láthatják a csoport többi tagját is.

  2. Ha hozzáférési felülvizsgálatot szeretne létrehozni a csoporthoz, jelölje ki a véleményezőket, hogy maguk legyenek a tagok. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának létrehozása.

  3. Kérje meg minden vendéget, hogy tekintse át a saját tagságát. Alapértelmezés szerint minden vendég, aki elfogadta a meghívást, kap egy e-mailt a Microsoft Entra-azonosítótól, amely a szervezet hozzáférési paneljén található hozzáférési felülvizsgálatra mutató hivatkozással rendelkezik. A Microsoft Entra ID útmutatást tartalmaz a vendégek számára a csoportokhoz vagy alkalmazásokhoz való hozzáférés áttekintéséhez. Azok a vendégek, akik nem fogadták el a meghívásukat, "Nem értesített" néven jelennek meg a felülvizsgálat eredményei között.

  4. Miután a véleményezők bemenetet adtak, állítsa le a hozzáférési felülvizsgálatot. További információ: Csoportok vagy alkalmazások hozzáférési felülvizsgálatának befejezése.

  5. A Microsoft Entra B2B-fiókokat automatikusan törölheti a hozzáférési felülvizsgálat részeként, amikor hozzáférési felülvizsgálatot konfigurál a Csoport és csoportok kiválasztása beállításhoz. Ez a beállítás nem érhető el a Vendégfelhasználókkal rendelkező Összes Microsoft 365-csoport esetében.

Screenshot showing page to create access review.

Ehhez válassza az Automatikus alkalmazás az erőforrásra lehetőséget, mivel ez automatikusan eltávolítja a felhasználót az erőforrásból. Ha a véleményező nem válaszol , akkor a Hozzáférés eltávolítása és a megtagadott vendégfelhasználókra vonatkozó művelet beállításnál azt is meg kell adni, hogy 30 napig tiltsa le a bejelentkezést, majd távolítsa el a felhasználót a bérlőből.

Ez azonnal letiltja a vendégfelhasználói fiókba való bejelentkezést, majd 30 nap után automatikusan törli a Microsoft Entra B2B-fiókját.

Következő lépések