Monitore e limpe contas de hóspedes obsoletas usando avaliações de acesso
À medida que os usuários colaboram com parceiros externos, é possível que muitas contas de convidado sejam criadas em locatários do Microsoft Entra ao longo do tempo. Quando a colaboração termina e os usuários não acessam mais seu locatário, as contas de convidado podem ficar obsoletas. Os administradores podem monitorar contas de convidados em escala usando informações de convidados inativos. Os administradores também podem usar as Avaliações do Access para revisar automaticamente os usuários convidados inativos, bloqueá-los de entrar e excluí-los do diretório.
Saiba mais sobre como gerenciar contas de usuário inativas no Microsoft Entra ID.
Existem alguns padrões recomendados que são eficazes no monitoramento e limpeza de contas de hóspedes obsoletas:
Monitore contas de hóspedes em escala com informações inteligentes sobre hóspedes inativos em sua organização usando o relatório de convidado inativo. Personalize o limite de inatividade dependendo das necessidades da sua organização, reduza o escopo de usuários convidados que você deseja monitorar e identifique os usuários convidados que podem estar inativos.
Crie uma avaliação em vários estágios, na qual os hóspedes atestem se ainda precisam de acesso. Um revisor de segunda fase avalia os resultados e toma uma decisão final. Os hóspedes com acesso negado são desativados e posteriormente excluídos.
Crie uma avaliação para remover convidados externos inativos. Os administradores definem inativo como período de dias. Desativam e depois eliminam os hóspedes que não iniciam sessão no inquilino dentro desse período. Por padrão, isso não afeta os usuários criados recentemente. Saiba mais sobre como identificar contas inativas.
Use as instruções a seguir para saber como aprimorar o monitoramento de contas de hóspedes inativas em escala e criar avaliações de acesso que sigam esses padrões. Considere as recomendações de configuração e, em seguida, faça as alterações necessárias que se adaptem ao seu ambiente.
Requisitos de licença
O uso desse recurso requer licenças do Microsoft Entra ID Governance ou do Microsoft Entra Suite. Para encontrar a licença certa para seus requisitos, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance.
Monitore as contas de hóspedes em escala com informações inativas dos hóspedes
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Inicie sessão no centro de administração do Microsoft Entra.
Navegue até Painel de governança>de identidade
Acesse o relatório de conta de convidado inativo navegando até o cartão de governança de acesso de convidado e selecione Exibir convidados inativos.
Você verá o relatório de hóspedes inativos, que fornecerá informações sobre usuários convidados inativos com base em 90 dias de inatividade. O limite é definido como 90 dias por padrão, mas pode ser configurado usando "Editar limite de inatividade" com base nas necessidades da sua organização.
Os seguintes insights são fornecidos como parte deste relatório:
- Visão geral da conta de hóspedes (total de hóspedes e hóspedes inativos com categorização adicional de hóspedes que nunca entraram ou entraram pelo menos uma vez)
- Distribuição de inatividade do convidado (Distribuição percentual de usuários convidados com base nos dias desde o último login)
- Visão geral da inatividade do convidado (orientação de inatividade do convidado para configurar o limite de inatividade)
- Resumo das contas de convidado (Uma exibição tabular exportável com detalhes de todas as contas de convidado com informações sobre seu estado de atividade. O estado Activity pode estar ativo ou inativo com base no limite de inatividade configurado)
Os dias inativos são calculados com base na data do último início de sessão se o utilizador tiver iniciado sessão pelo menos uma vez. Para usuários que nunca entraram, os dias inativos são calculados com base na data de criação.
Nota
O relatório com as informações dos hóspedes pode ser baixado usando "Baixar todos os dados". Cada ação para baixar pode levar algum tempo, dependendo da contagem de usuários convidados e permite o download para até 1 milhão de usuários convidados.
Crie uma avaliação em vários estágios para que os hóspedes atestem o acesso contínuo
Crie um grupo dinâmico para os usuários convidados que você deseja revisar. Por exemplo,
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)
Para criar uma Revisão de Acesso para o grupo dinâmico, navegue até Revisões de Acesso de Governança de Identidade > do ID do Microsoft Entra>.
Selecione Nova revisão de acesso.
Configure o tipo de revisão.
Property valor Selecione o que avaliar Equipas + Grupos Âmbito da revisão Selecionar Equipas + grupos Agrupar Selecionar o grupo dinâmico Âmbito Apenas utilizadores convidados (Opcional) Avaliar hóspedes inativos Marque a caixa apenas para Usuários inativos (no nível do locatário).
Insira o número de dias que constituem inatividade.Selecione Next: Reviews.
Configurar comentários:
Property valor Revisão da primeira fase Revisão em várias fases Marque a caixa Selecionar revisores Os utilizadores reveem o seu próprio acesso Duração do estágio (em dias) Insira o número de dias Revisão da segunda fase Selecionar revisores Proprietário(s) do grupo ou Utilizador(es) ou grupo(s) selecionado(s) Duração do estágio (em dias) Insira o número de dias.
(Opcional) Especifique um revisor de fallback.Especificar a recorrência da revisão Recorrência da revisão Selecione a sua preferência na lista pendente Data de início Selecione uma data Fim Selecione a sua preferência Especificar revisores para passar para a próxima etapa Revisores que vão para a próxima fase Selecione os revisores. Por exemplo, selecione os usuários que se autoaprovaram ou responderam Não sei. Selecione Next: Settings.
Definir configurações:
Property valor Após a conclusão, as configurações Aplicar automaticamente os resultados ao recurso Marque a caixa Se os revisores não responderem Remover o acesso Ação a ser aplicada em usuários convidados negados Bloquear o utilizador de iniciar sessão durante 30 dias e, em seguida, remover o utilizador do inquilino (Opcional) No final da revisão, envie uma notificação para Especifique outros usuários ou grupos a serem notificados. Habilitar auxiliares de decisão do revisor Conteúdo adicional para o e-mail do revisor Adicionar uma mensagem personalizada para revisores Todos os outros campos Deixe os valores padrão para as opções restantes. Selecione Seguinte: Rever + Criar
Insira um nome de Revisão de acesso. (Opcional) fornecer uma descrição.
Selecione Criar.
Criar uma avaliação para remover convidados externos inativos
Crie um grupo dinâmico para os usuários convidados que você deseja revisar. Por exemplo,
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)
Para criar uma revisão de acesso para o grupo dinâmico, navegue até Revisões de acesso de governança de > identidade do Microsoft Entra ID>.
Selecione Nova revisão de acesso.
Configure o tipo de revisão:
Property valor Selecione o que avaliar Equipas + Grupos Âmbito da revisão Selecionar Equipas + grupos Agrupar Selecionar o grupo dinâmico Âmbito Apenas utilizadores convidados Somente usuários inativos (no nível do locatário) Marque a caixa Dias inativos Insira o número de dias que constitui inatividade Nota
O tempo de inatividade configurado não afetará os usuários criados recentemente. A Revisão de acesso verificará se o usuário foi criado no período de tempo configurado e ignorará os usuários que não existiram por pelo menos esse período de tempo. Por exemplo, se você definir o tempo de inatividade como 90 dias e um usuário convidado tiver sido criado/convidado há menos de 90 dias, o usuário convidado não estará no escopo da Revisão de acesso. Isso garante que os hóspedes possam entrar uma vez antes de serem removidos.
Selecione Next: Reviews.
Configurar comentários:
Property valor Especificar revisores Selecionar revisores Selecione Proprietário(s) do grupo ou um usuário ou grupo.
(Opcional) Para permitir que o processo permaneça automatizado, selecione um revisor que não tomará nenhuma ação.Especificar a recorrência da revisão Duração (em dias) Insira ou selecione um valor com base em sua preferência Recorrência da revisão Selecione a sua preferência na lista pendente Data de início Selecione uma data Fim Escolha uma opção Selecione Next: Settings.
Definir configurações:
Property valor Após a conclusão, as configurações Aplicar automaticamente os resultados ao recurso Marque a caixa Se as avaliações não responderem Remover o acesso Ação a ser aplicada em usuários convidados negados Bloquear o utilizador de iniciar sessão durante 30 dias e, em seguida, remover o utilizador do inquilino Habilitar auxiliares de decisão do revisor Sem início de sessão no prazo de 30 dias Marque a caixa Todos os outros campos Marque/desmarque as caixas com base na sua preferência. Selecione Seguinte: Rever + Criar.
Insira um nome de Revisão de acesso. (Opcional) fornecer uma descrição.
Selecione Criar.
Os utilizadores convidados que não iniciam sessão no inquilino durante o número de dias que configurou são desativados durante 30 dias e, em seguida, eliminados. Após a exclusão, você pode restaurar os hóspedes por até 30 dias, após os quais um novo convite é necessário.
Nota
Se as decisões de revisão de acesso ainda não forem aplicadas, a API accessReviewInstance: stopApplyDecisions poderá ser usada para interromper decisões de aplicação ativas.