使用 Microsoft Entra ID 控管 來檢閱和移除不再具有資源存取權的外部使用者
本文說明可讓您找出並選取外部身分識別的功能和方法,以便在不再需要外部身分識別時,檢閱它們並從 Microsoft Entra ID 中移除它們。 雲端可讓您比以往更輕鬆地與內部或外部使用者共同作業。 採用 Office 365,組織會開始看到外部身分識別的激增(包括來賓),因為使用者共同處理數據、檔或 Teams 等數位工作區。 組織需要平衡、啟用共同作業並符合安全性和控管需求。 這些努力的一部分應包括評估和清除外部使用者,這些使用者受邀參與您的租使用者的共同作業、源自合作夥伴組織,並在不再需要時從您的 Microsoft Entra ID 中移除它們。
注意
必須使用有效的 Microsoft Entra ID P2 或 Microsoft Entra ID 控管、Enterprise Mobility + Security E5 付費或試用版授權,才能使用 Microsoft Entra 存取權檢閱。 如需詳細資訊,請參閱 Microsoft Entra 版本。
為何要檢閱租使用者中外部組織的使用者?
在大部分組織中,終端使用者會起始邀請商務夥伴和廠商共同作業的程式。 共同作業需要讓組織提供資源擁有者和終端使用者的方式,以定期評估及證明外部使用者。 上線新共同作業合作夥伴的程式通常已規劃並列入考慮,但有許多共同作業沒有明確的結束日期,當使用者不再需要存取權時,並不一定很明顯。 此外,身分識別生命週期管理會推動企業保持 Microsoft Entra ID 乾淨,並移除不再需要組織資源的存取權的使用者。 只保留目錄中合作夥伴和廠商的相關身分識別參考,有助於降低員工的風險,不小心選取並授與應該移除的外部使用者存取權。 本檔會逐步引導您完成數個選項,範圍從建議的主動式建議到被動式和清除活動,以控管外部身分識別。
使用權利管理來授與和撤銷存取權
權利管理功能可 讓外部身分 識別的自動化生命週期存取資源。 藉由建立透過權利管理來管理存取的程式和程式,以及透過存取套件發佈資源,追蹤外部使用者對資源的存取,會變成較不複雜的問題來解決。 透過 Microsoft Entra 識別碼中的權利管理存取套件 管理存取權時,您的組織可以集中定義和管理使用者的存取權,以及來自合作夥伴組織的使用者。 權利管理會使用存取套件的核准和指派,來追蹤外部使用者要求並獲指派存取權的位置。 如果外部用戶遺失其所有指派,權利管理可以自動從租用戶移除這些外部使用者。
尋找未透過權利管理邀請的來賓
當員工獲授權與外部使用者共同作業時,他們可以邀請來自組織外部的任意數目使用者。 尋找外部合作夥伴並將其分組為公司對齊的動態群組,並檢閱它們可能不可行,因為可能會有太多不同的個別公司進行檢閱,或組織沒有擁有者或贊助者。 Microsoft 提供範例 PowerShell 腳本,可協助您分析租使用者中外部身分識別的使用。 腳本會列舉外部身分識別並加以分類。 腳本可協助您識別及清除不再需要的外部身分識別。 作為腳本輸出的一部分,腳本範例支持自動建立包含無群組外部合作夥伴的安全組,以便進一步分析和與 Microsoft Entra 存取權檢閱搭配使用。 腳本可在 GitHub 上使用。 腳本執行完成之後,會產生 HTML 輸出檔案,其中概述外部身分識別:
- 租使用者中不再有任何群組成員資格
- 在租用戶中擁有特殊許可權角色的指派
- 將指派給租使用者中的應用程式
輸出也包含每個外部身分識別的個別網域。
注意
先前參考的腳本是一個範例腳本,會檢查 Microsoft Entra ID 中的群組成員資格、角色指派和應用程式指派。 應用程式中可能有其他指派,外部使用者從 Microsoft Entra ID 外部接收,例如 SharePoint(直接成員資格指派)或 Azure RBAC 或 Azure DevOps。
檢閱外部身分識別所使用的資源
如果您有外部身分識別使用 Teams 或其他尚未受權利管理的應用程式所控管的資源,您可能也想要定期檢閱這些資源的存取權。 Microsoft Entra Access Reviews 可讓您檢閱外部身分識別的存取權,方法是讓資源擁有者、外部身分識別本身,或您信任的另一個委派人員證明是否需要繼續存取。 存取權檢閱是以資源為目標,並建立範圍限定為可存取資源或來賓使用者的所有人的檢閱活動。 檢閱者接著會看到他們需要檢閱的用戶結果清單,包括所有使用者,包括貴組織的員工或僅限外部身分識別。
建立資源擁有者導向的檢閱文化特性有助於控管外部身分識別的存取權。 資源擁有者負責存取、可用性和安全性的資訊,在大部分情況下,您最好的對像是驅動資源存取決策的最佳物件,而且更接近存取資源的使用者,而不是中央IT或管理許多外部資源的贊助者。
建立外部身分識別的存取權檢閱
如果租使用者不再與貴組織合作,就無法再存取租使用者中的任何資源。 在封鎖和刪除這些外部身分識別之前,您可能想要連絡這些外部使用者,並確定您尚未忽略專案,或他們仍需要常設存取權。 當您建立包含所有外部身分識別的群組,作為您找到的租用戶中沒有任何資源存取權的成員時,您可以使用存取權檢閱,讓所有外部人員自行證明它們是否仍需要或具有存取權,或未來仍需要存取權。 在檢閱中,存取權檢閱中的檢閱建立者可以使用 核准 函式的「需要原因」,要求外部使用者提供繼續存取的理由,讓您了解他們仍然需要租使用者中的存取權的位置和方式。 此外,您可以啟用 [檢閱者電子郵件功能的其他內容] 設定,讓使用者知道,如果使用者沒有回應,他們將會失去存取權,而且,如果他們仍然需要存取權,則需要理由。 如果您想要繼續讓存取權檢閱 停用和刪除 外部身分識別,如果無法回應或提供繼續存取的有效原因,您可以使用 [停用和刪除] 選項,如下一節所述。
若要建立外部身分識別的存取權檢閱,請遵循下列步驟:
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別群組>] [所有群組]。
搜尋包含外部身分識別的成員群組,這些成員無法存取您租使用者中的資源,並記下此群組。 若要使用符合此準則的成員自動建立群組,請參閱: 收集外部身分識別擴散的相關信息。
流覽至 [身分識別治理>存取權檢閱]。
選取 [+ 新增存取權檢閱]。
選取 [Teams + 群組 ],然後選取您稍早注意到的群組,其中包含要設定 [ 檢閱範圍] 的外部身分識別。
將 [ 範圍 ] 設定為 [僅限來賓使用者]。
在 [完成設定] 區段中,您可以選取 [封鎖使用者登入 30 天],然後在 [動作以套用至拒絕的使用者] 選項下,從租使用者中移除使用者。 如需詳細資訊,請參閱: 使用 Microsoft Entra 存取權檢閱停用和刪除外部身分識別。
建立存取權檢閱之後,來賓用戶必須先認證其存取權,才能完成檢閱。 這是由來賓核准或未在我的存取入口網站中核准其存取權來完成。 如需完整逐步指南,請參閱: 在存取權檢閱中檢閱群組和應用程式的存取權。
當檢閱完成時,[ 結果 ] 頁面會顯示每個外部身分識別所提供回應的概觀。 您可以選擇自動套用結果,並讓存取權檢閱停用並加以刪除。 或者,您可以查看指定的回應,並決定是否要移除使用者的存取權或後續操作,並在做出決策之前取得其他資訊。 如果某些使用者仍可存取尚未檢閱的資源,您可以使用檢閱作為探索的一部分,並豐富下一個檢閱和證明週期。
如需詳細的逐步指南,請參閱: 在 Microsoft Entra 標識符中建立群組和應用程式的存取權檢閱。
使用 Microsoft Entra 存取權檢閱停用和刪除外部身分識別
除了從群組或應用程式等資源移除不必要的外部身分識別的選項之外,Microsoft Entra 存取權檢閱還可以封鎖外部身分識別登入您的租使用者,並在 30 天后從租用戶中刪除外部身分識別。 一旦您選取 [ 封鎖使用者登入 30 天],然後從租使用者中移除使用者,檢閱就會保持「套用」狀態 30 天。 在此期間,目前檢閱下的設定、結果、檢視者或稽核記錄無法檢視或設定。
此設定可讓您識別、封鎖及刪除 Microsoft Entra 租使用者的外部身分識別。 檢閱者檢閱和拒絕繼續存取的外部身分識別將會遭到封鎖和刪除,而不論他們擁有的資源存取權或群組成員資格為何。 此設定最好在驗證外部使用者檢閱后不再具有資源存取權,而且可以安全地從您的租用戶中移除,或如果您想要確定已移除,不論其常設存取權為何,此設定最適合作為最後一個步驟。 「停用和刪除」功能會先封鎖外部使用者,並移除他們登入您的租使用者並存取資源的能力。 在此階段中不會撤銷資源存取權,而且如果您想要重新驗證外部使用者,則可以重新設定其登入能力。 未採取任何進一步動作時,將會在 30 天后從目錄刪除封鎖的外部身分識別,並移除帳戶及其存取權。