Использование Управление идентификацией Microsoft Entra для проверки и удаления внешних пользователей, у которых больше нет доступа к ресурсам

В этой статье описываются функции и методы, позволяющие определить и выбрать внешние удостоверения, чтобы их можно было просмотреть и удалить из идентификатора Microsoft Entra, если они больше не нужны. Облако упрощает совместную работу внутренних и внешних пользователей. По мере использования Office 365 организации наблюдают увеличение числа внешних удостоверений (в том числе гостей), поскольку пользователи совместно работают с данными, документами или цифровыми рабочими областями, такими как Teams. Организациям следует обеспечить баланс, введя требования к системам безопасности и управления, связанным с совместной работой и собраниями. Часть этих усилий должна включать оценку и очистку внешних пользователей, которые были приглашены для совместной работы в вашем клиенте, которые исходя из партнерских организаций, и удаление их из идентификатора Microsoft Entra, когда они больше не нужны.

Примечание.

Для использования проверок доступа Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra, Enterprise Mobility + Security E5 требуется допустимая лицензия Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra, Enterprise Mobility + Security E5. Дополнительные сведения см . в выпусках Microsoft Entra.

Зачем проверять пользователей из внешних организаций в клиенте?

В большинстве организаций конечные пользователи приглашают бизнес-партнеров и поставщиков для совместной работы. Необходимость совместной работы вынуждает организации предоставлять владельцам ресурсов и конечным пользователям способ регулярной оценки и аттестации внешних пользователей. Часто процесс подключения новых партнеров совместной работы планируется и учитывается, но при этом многие совместной работы не имеют четкой даты окончания, это не всегда очевидно, когда пользователю больше не нужен доступ. Кроме того, управление жизненным циклом удостоверений позволяет предприятиям очистить идентификатор Microsoft Entra ID и удалить пользователей, которым больше не нужен доступ к ресурсам организации. Храня в каталоге только актуальные ссылки на удостоверения для партнеров и поставщиков, вы снижаете риск того, что ваши сотрудники непреднамеренно выберут внешний пользователей, которые должны быть удалены, и предоставят им доступ. В этом документе описано несколько вариантов управления внешними удостоверениями, от рекомендуемых профилактических процедур до оперативных действий по очистке.

Использование возможностей управления правами для предоставления и отзыва доступа

Возможности управления правами позволяют автоматизировать жизненный цикл внешних удостоверений с доступом к ресурсам. Устанавливая процессы и процедуры контроля доступа с помощью управления правами и публикуя ресурсы с помощью пакетов для доступа, отслеживать доступ внешних пользователей к ресурсам гораздо проще. При управлении доступом с помощью пакетов доступа для управления правами в идентификаторе Microsoft Entra ваша организация может централизованно определять и управлять доступом для пользователей, а также пользователей из партнерских организаций. Функция управления правами использует утверждения и назначения пакетов для доступа, чтобы следить за тем, где внешние пользователи запросили и получили доступ. Если у внешнего пользователя не осталось назначений, функция управления правами может автоматически удалить его из клиента.

Поиск гостей, которые не приглашены, с помощью функции управления правами

Если сотрудникам разрешено совместно работать с внешними пользователями, они могут пригласить любое число пользователей не из организации. Поиск внешних партнеров и группирование внешних партнеров в динамические группы, выравниваемые компанией, и проверка их может оказаться невозможным, так как может быть слишком много разных отдельных компаний для проверки, или нет владельца или спонсора для организации. Майкрософт предоставляет пример сценария PowerShell, который помогает анализировать использование внешних удостоверений в клиенте. Сценарий перечисляет внешние удостоверения и распределяет их по категориям. Он может помочь в обнаружении и удалении внешних удостоверений, которые больше не требуются. В рамках выходных данных скрипта пример скрипта поддерживает автоматическое создание групп безопасности, содержащих идентифицированных внешних партнеров без групп, для дальнейшего анализа и использования с проверками доступа Microsoft Entra. Сценарий доступен на GitHub. После завершения выполнения сценарий создается выходной файл HTML, где описаны внешние удостоверения, которые:

  • больше не входят ни в одну группу в клиенте;
  • имеют назначение привилегированной роли в клиенте;
  • назначены приложению в клиенте.

Выходные данные также включают отдельные домены для каждого из этих внешних удостоверений.

Примечание.

Приведенный выше скрипт представляет собой пример скрипта, который проверка для членства в группах, назначений ролей и назначений приложений в идентификаторе Microsoft Entra. В приложениях могут быть другие назначения, которые внешние пользователи получили за пределами идентификатора Microsoft Entra, например SharePoint (прямое назначение членства) или Azure RBAC или Azure DevOps.

Проверка ресурсов, используемых внешними удостоверениями

Если у вас есть внешние удостоверения, использующие такие ресурсы, как Teams и другие приложения, которые еще не контролируются с помощью функции управления правами, вам может потребоваться регулярно проверять доступ к этим ресурсам. Проверки доступа Microsoft Entra предоставляют возможность просматривать доступ внешних удостоверений, разрешая владельцу ресурсов, внешним удостоверениям себя или другому делегированному лицу, которому вы доверяете, требуется ли постоянный доступ. Проверка доступа взаимодействует с ресурсом и создает действие проверки для всех пользователей, имеющих доступ к этому ресурсу, или только гостевых пользователей. Затем рецензент увидит результирующий список пользователей, которые они должны проверить, — все пользователи, включая сотрудников вашей организации или внешних удостоверений.

Установка процедур проверки, выполняемых владельцами ресурсов, помогает управлять доступом внешних удостоверений. Владельцы ресурсов, которые несут ответственность за предоставление доступа к соответствующим данным и обеспечение доступности и безопасности таких данных, в большинстве случаев лучше всего подходят для принятия решения о предоставлении доступа к своим ресурсам и находятся ближе к пользователям, получающим доступ, чем специалисты центрального ИТ-отдела или спонсор, управляющий несколькими внешними пользователями.

Создание проверок доступа для внешних удостоверений

Пользователей, у которых больше нет доступа к ресурсам в клиенте, можно удалить, если они больше не работают с вашей организацией. Перед блокировкой и удалением этих внешних удостоверений вы можете обратиться к этим внешним пользователям и убедиться, что у вас нет доступа к проекту или постоянному доступу, который им по-прежнему нужен. При создании группы, содержащей все внешние удостоверения в качестве членов, которые не имеют доступа к каким-либо ресурсам в клиенте, можно использовать проверки доступа, чтобы все внешние пользователи могли самостоятельно оценить, нужен им доступ, есть ли он у них и понадобится ли он им в будущем. В рамках проверки ее создатель в функции проверки доступа может использовать функцию Требовать причину при утверждении, чтобы потребовать от внешних пользователей обоснование постоянного доступа. Так вы сможете узнать, где и какой доступ требуется пользователям в вашем клиенте. Кроме того, можно включить параметр дополнительного содержимого для функции электронной почты рецензента, чтобы сообщить пользователям о том, что они потеряют доступ, если они не отвечают, и, если им по-прежнему нужен доступ, требуется обоснование. Если вы хотите разрешить функции проверки доступа отключать и удалять внешние удостоверения, если соответствующие пользователи на ответят на письмо или не укажут подходящую причину для постоянного доступа, можно использовать параметр Disable and delete (Отключить и удалить), как описано в следующем разделе.

Чтобы создать проверку доступа для внешних удостоверений, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

  2. Перейдите к группам>удостоверений>Все группы.

  3. Найдите группу, содержащую участников, которые являются внешними удостоверениями, у которых нет доступа к ресурсам в клиенте, и запишите эту группу. Чтобы автоматизировать создание группы с участниками, соответствующими этим критериям, см. статью "Сбор сведений о распространении внешних удостоверений".

  4. Перейдите к проверкам доступа к управлению удостоверениями>.

  5. Выберите + Новая проверка доступа.

  6. Выберите Teams + Группы, а затем выберите группу, которую вы указали ранее, которая содержит внешние удостоверения, чтобы задать область проверки.

  7. Задайте областьтолько гостевых пользователей. Screenshot of limiting the scope of the review to guest users only.

  8. В разделе "Параметры завершения" можно выбрать "Блокировать вход пользователей в течение 30 дней", а затем удалить пользователя из клиента в разделе "Действие" для применения к параметру "Отказано". Дополнительные сведения см. в статье "Отключение и удаление внешних удостоверений с помощью проверок доступа Microsoft Entra".

  9. После создания проверки доступа гостевой пользователь должен сертифицировать доступ до завершения проверки. Это делается гостевым утверждением или не утверждением их доступа на портале "Мой доступ". Полное пошаговое руководство см. в статье "Просмотр доступа к группам и приложениям в проверках доступа".

По завершении проверки на странице Результаты отобразится обзор всех ответов, полученных от пользователей внешних удостоверений. Можно автоматически применить результаты и разрешить функции проверки доступа отключать и удалять соответствующие удостоверения. Кроме того, можно просмотреть полученные ответы и решить, следует ли отменить доступ пользователя или продолжить следить за ним, чтобы получить дополнительные сведения перед принятием решения. Если у некоторых пользователей по-прежнему есть доступ к ресурсам, которые вы еще не рассмотрели, вы можете использовать проверку в рамках обнаружения и обогащения следующего цикла проверки и аттестации.

Подробное пошаговое руководство по созданию проверки доступа групп и приложений в идентификаторе Microsoft Entra.

Отключение и удаление внешних удостоверений с помощью проверок доступа Microsoft Entra

Помимо возможности удаления нежелательных внешних удостоверений из таких ресурсов, как группы или приложения, проверки доступа Microsoft Entra могут блокировать вход внешних удостоверений в клиент и удалять внешние удостоверения из клиента через 30 дней. Выбрав "Запретить вход пользователя" в течение 30 дней, а затем удалить пользователя из клиента, проверка остается в состоянии "применить" в течение 30 дней. В течение этого времени настройки, результаты, рецензенты или журналы аудита в текущей проверке будут недоступны для просмотра или настройки.

upon completion settings

Этот параметр позволяет определять, блокировать и удалять внешние удостоверения из клиента Microsoft Entra. Внешние удостоверения, которые проверил рецензент и для которых запретил доступ, будут заблокированы и удалены независимо от того, к каким ресурсам у них есть доступ и в какие группы они входят. Этот параметр лучше всего использовать в качестве последнего шага после проверки того, что внешние пользователи в проверке больше не несут доступ к ресурсам и могут быть безопасно удалены из вашего клиента или если вы хотите убедиться, что они удалены независимо от их постоянного доступа. Функция Disable and delete (Отключить и удалить) сначала блокирует внешнего пользователя, отключая возможность входа в клиент и доступ к ресурсам. Доступ к ресурсам не отменяется на этом этапе, и в случае, если вы хотите перенастроить внешнего пользователя, их возможность входа может быть перенастроена. При отсутствии дальнейших действий заблокированное внешнее удостоверение будет удалено из каталога через 30 дней, удалив учетную запись и доступ к ней.

Следующие шаги