Hantera gäståtkomst med åtkomstgranskningar

  • Artikel

Med åtkomstgranskningar kan du enkelt aktivera samarbete över organisationens gränser med hjälp av Microsoft Entra B2B-funktionen. Gästanvändare från andra klienter kan bjudas in av administratörer eller av andra användare. Den här funktionen gäller även för sociala identiteter som Microsoft-konton.

Du kan också enkelt se till att gästanvändare har lämplig åtkomst. Du kan be gästerna själva eller en beslutsfattare att delta i en åtkomstgranskning och omcertifiera (eller intyga) till gästernas åtkomst. Granskarna kan ge sina indata om varje användares behov av fortsatt åtkomst, baserat på förslag från Microsoft Entra-ID. När en åtkomstgranskning är klar kan du sedan göra ändringar och ta bort åtkomsten för gäster som inte längre behöver den.

Kommentar

Det här dokumentet fokuserar på att granska gästanvändares åtkomst. Om du vill granska alla användares åtkomst, inte bara gäster, kan du läsa Hantera användaråtkomst med åtkomstgranskningar. Om du vill granska användares medlemskap i administrativa roller, som global administratör, läser du Starta en åtkomstgranskning i Microsoft Entra Privileged Identity Management.

Förutsättningar

  • Microsoft Entra ID P2 eller Microsoft Entra ID-styrning

Mer information finns i Licenskrav.

Skapa och utföra en åtkomstgranskning för gäster

Först måste du tilldelas någon av följande roller:

  • global administratör
  • Användaradministratör
  • (Förhandsversion) Microsoft 365- eller Microsoft Entra-säkerhetsgruppens ägare av gruppen som ska granskas

Gå sedan till sidan Identitetsstyrning för att se till att åtkomstgranskningar är redo för din organisation.

Microsoft Entra ID möjliggör flera scenarier för granskning av gästanvändare.

Du kan granska något av följande:

  • En grupp i Microsoft Entra-ID som har en eller flera gäster som medlemmar.
  • Ett program som är anslutet till Microsoft Entra-ID som har en eller flera gästanvändare tilldelade.

När du granskar gästanvändarens åtkomst till Microsoft 365-grupper kan du antingen skapa en granskning för varje grupp individuellt eller aktivera automatiska återkommande åtkomstgranskningar av gästanvändare i alla Microsoft 365-grupper. Följande video innehåller mer information om återkommande åtkomstgranskningar av gästanvändare:

Du kan sedan bestämma om du vill be varje gäst att granska sin egen åtkomst eller be en eller flera användare att granska varje gästs åtkomst.

Dessa scenarier beskrivs i följande avsnitt.

Be gästerna att granska sitt eget medlemskap i en grupp

Du kan använda åtkomstgranskningar för att se till att användare som har bjudits in och lagts till i en grupp fortsätter att behöva åtkomst. Du kan enkelt be gäster att granska sitt eget medlemskap i gruppen.

  1. Om du vill skapa en åtkomstgranskning för gruppen väljer du den granskning som endast ska inkludera gästanvändarmedlemmar och att medlemmarna granskar sig själva. Mer information finns i Skapa en åtkomstgranskning av grupper eller program.

  2. Be varje gäst att granska sitt eget medlemskap. Som standard får varje gäst som accepterade en inbjudan ett e-postmeddelande från Microsoft Entra-ID med en länk till åtkomstgranskningen. Microsoft Entra-ID har instruktioner för gäster om hur du granskar åtkomsten till grupper eller program.

  3. När granskarna har framfört sina åsikter avslutar du åtkomstgranskningen och tillämpar ändringarna. Mer information finns i Slutföra en åtkomstgranskning av grupper eller program.

  4. Förutom de användare som nekade sitt eget behov av fortsatt åtkomst kan du även ta bort användare som inte svarade. Icke-svarande användare kan eventuellt inte längre få e-post.

  5. Om gruppen inte används för åtkomsthantering kan du också ta bort användare som inte har valts att delta i granskningen eftersom de inte accepterade inbjudan. Att inte acceptera kan tyda på att den inbjudna användarens e-postadress hade ett skrivfel. Om en grupp används som en distributionslista kanske vissa gästanvändare inte har valts att delta eftersom de är kontaktobjekt.

Be en behörig användare att granska en gästs medlemskap i en grupp

Du kan be en behörig användare, till exempel ägaren till en grupp, att granska en gästs behov av fortsatt medlemskap i en grupp.

  1. Om du vill skapa en åtkomstgranskning för gruppen väljer du den granskning som endast ska inkludera gästanvändarmedlemmar. Ange sedan en eller flera granskare. Mer information finns i Skapa en åtkomstgranskning av grupper eller program.

  2. Be granskarna att komma med reflektioner. Som standard får de var och en ett e-postmeddelande från Microsoft Entra-ID med en länk till åtkomstpanelen, där de granskar åtkomsten till grupper eller program.

  3. När granskarna har framfört sina åsikter avslutar du åtkomstgranskningen och tillämpar ändringarna. Mer information finns i Slutföra en åtkomstgranskning av grupper eller program.

Be gästerna att granska sin egen åtkomst till ett program

Du kan använda åtkomstgranskningar för att se till att användare som bjudits in för ett visst program fortsätter att behöva åtkomst. Du kan enkelt be gästerna själva att granska sina egna behov av åtkomst.

  1. Om du vill skapa en åtkomstgranskning för programmet väljer du den granskning som endast ska inkludera gäster och att användarna granskar sin egen åtkomst. Mer information finns i Skapa en åtkomstgranskning av grupper eller program.

  2. Be varje gäst att granska sin egen åtkomst till programmet. Som standard får varje gäst som accepterade en inbjudan ett e-postmeddelande från Microsoft Entra-ID. E-postmeddelandet har en länk till åtkomstgranskningen i din organisations åtkomstpanel. Microsoft Entra-ID har instruktioner för gäster om hur du granskar åtkomsten till grupper eller program.

  3. När granskarna har framfört sina åsikter avslutar du åtkomstgranskningen och tillämpar ändringarna. Mer information finns i Slutföra en åtkomstgranskning av grupper eller program.

  4. Förutom användare som nekat sitt eget behov av fortsatt åtkomst kan du även ta bort gästanvändare som inte svarade. Icke-svarande användare kan eventuellt inte längre få e-post. Du kan också ta bort gästanvändare som inte har valts att delta, särskilt om de inte har bjudits in nyligen. Dessa användare accepterade inte sin inbjudan och hade därför inte åtkomst till programmet.

Be en behörig användare att granska en gästs åtkomst till ett program

Du kan be en behörig användare, till exempel ägaren av ett program, att granska gästens behov av fortsatt åtkomst till programmet.

  1. Om du vill skapa en åtkomstgranskning för programmet väljer du den granskning som endast ska inkludera gäster. Ange sedan en eller flera användare som granskare. Mer information finns i Skapa en åtkomstgranskning av grupper eller program.

  2. Be granskarna att komma med reflektioner. Som standard får de var och en ett e-postmeddelande från Microsoft Entra-ID med en länk till åtkomstpanelen, där de granskar åtkomsten till grupper eller program.

  3. När granskarna har framfört sina åsikter avslutar du åtkomstgranskningen och tillämpar ändringarna. Mer information finns i Slutföra en åtkomstgranskning av grupper eller program.

Be gästerna att granska behovet av åtkomst i allmänhet

I vissa organisationer kanske gäster inte känner till sina gruppmedlemskap.

Kommentar

Tidigare versioner av portalen tillät inte administrativ åtkomst för användare med UserType of Guest. I vissa fall kan en administratör i din katalog ha ändrat en gästs UserType-värde till Medlem med hjälp av PowerShell. Om den här ändringen tidigare har inträffat i din katalog kanske den tidigare frågan inte innehåller alla gästanvändare som tidigare hade administratörsbehörighet. I det här fallet måste du antingen ändra gästens UserType eller inkludera gästen manuellt i gruppmedlemskapet.

  1. Skapa en säkerhetsgrupp i Microsoft Entra-ID med gäster som medlemmar, om det inte redan finns en lämplig grupp. Du kan till exempel skapa en grupp med ett manuellt underhållet medlemskap för gäster. Eller så kan du skapa en dynamisk grupp med ett namn som "Gäster i Contoso" för användare i Contoso-klientorganisationen som har attributet UserType som gäst. Se till att gruppen huvudsakligen är gäster – välj inte en grupp som har medlemsanvändare eftersom medlemsanvändare inte behöver granskas. Tänk också på att en gästanvändare som är medlem i gruppen kan se de andra medlemmarna i gruppen.

  2. Om du vill skapa en åtkomstgranskning för den gruppen väljer du granskarna som medlemmar själva. Mer information finns i Skapa en åtkomstgranskning av grupper eller program.

  3. Be varje gäst att granska sitt eget medlemskap. Som standard får varje gäst som accepterade en inbjudan ett e-postmeddelande från Microsoft Entra-ID med en länk till åtkomstgranskningen i din organisations åtkomstpanel. Microsoft Entra-ID har instruktioner för gäster om hur du granskar åtkomsten till grupper eller program. De gäster som inte accepterade sin inbjudan visas i granskningsresultatet som "Inte meddelad".

  4. När granskarna har angett indata stoppar du åtkomstgranskningen. Mer information finns i Slutföra en åtkomstgranskning av grupper eller program.

  5. Du kan automatiskt ta bort gästanvändaren Microsoft Entra B2B-konton som en del av en åtkomstgranskning när du konfigurerar en åtkomstgranskning för Välj team + grupper. Det här alternativet är inte tillgängligt för Alla Microsoft 365-grupper med gästanvändare.

Screenshot showing page to create access review.

Om du vill göra det väljer du Tillämpa resultat automatiskt på resursen eftersom användaren automatiskt tas bort från resursen. Om granskaren inte svarar bör anges till Ta bort åtkomst och Åtgärd som ska tillämpas på nekade gästanvändare bör också anges till Blockera från att logga in i 30 dagar, tar du bort användaren från klientorganisationen.

Detta blockerar omedelbart inloggningen till gästanvändarkontot och tar sedan automatiskt bort deras Microsoft Entra B2B-konto efter 30 dagar.

Nästa steg