Monitore e limpe contas de hóspedes obsoletas usando avaliações de acesso

À medida que os usuários colaboram com parceiros externos, é possível que muitas contas de convidado sejam criadas em locatários do Microsoft Entra ao longo do tempo. Quando a colaboração termina e os usuários não acessam mais seu locatário, as contas de convidado podem ficar obsoletas. Os administradores podem monitorar contas de convidados em escala usando informações de convidados inativos. Os administradores também podem usar as Avaliações do Access para revisar automaticamente os usuários convidados inativos, bloqueá-los de entrar e excluí-los do diretório.

Saiba mais sobre como gerenciar contas de usuário inativas no Microsoft Entra ID.

Existem alguns padrões recomendados que são eficazes no monitoramento e limpeza de contas de hóspedes obsoletas:

  1. Monitore contas de hóspedes em escala com informações inteligentes sobre hóspedes inativos em sua organização usando o relatório de convidado inativo. Personalize o limite de inatividade dependendo das necessidades da sua organização, reduza o escopo de usuários convidados que você deseja monitorar e identifique os usuários convidados que podem estar inativos.

  2. Crie uma avaliação em vários estágios, na qual os hóspedes atestem se ainda precisam de acesso. Um revisor de segunda fase avalia os resultados e toma uma decisão final. Os hóspedes com acesso negado são desativados e posteriormente excluídos.

  3. Crie uma avaliação para remover convidados externos inativos. Os administradores definem inativo como período de dias. Desativam e depois eliminam os hóspedes que não iniciam sessão no inquilino dentro desse período. Por padrão, isso não afeta os usuários criados recentemente. Saiba mais sobre como identificar contas inativas.

Use as instruções a seguir para saber como aprimorar o monitoramento de contas de hóspedes inativas em escala e criar avaliações de acesso que sigam esses padrões. Considere as recomendações de configuração e, em seguida, faça as alterações necessárias que se adaptem ao seu ambiente.

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID Governance ou do Microsoft Entra Suite. Para encontrar a licença certa para seus requisitos, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance.

Monitore as contas de hóspedes em escala com informações inativas dos hóspedes

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

  1. Inicie sessão no centro de administração do Microsoft Entra.

  2. Navegue até Painel de governança>de identidade

  3. Acesse o relatório de conta de convidado inativo navegando até o cartão de governança de acesso de convidado e selecione Exibir convidados inativos.

  4. Você verá o relatório de hóspedes inativos, que fornecerá informações sobre usuários convidados inativos com base em 90 dias de inatividade. O limite é definido como 90 dias por padrão, mas pode ser configurado usando "Editar limite de inatividade" com base nas necessidades da sua organização.

  5. Os seguintes insights são fornecidos como parte deste relatório:

    • Visão geral da conta de hóspedes (total de hóspedes e hóspedes inativos com categorização adicional de hóspedes que nunca entraram ou entraram pelo menos uma vez)
    • Distribuição de inatividade do convidado (Distribuição percentual de usuários convidados com base nos dias desde o último login)
    • Visão geral da inatividade do convidado (orientação de inatividade do convidado para configurar o limite de inatividade)
    • Resumo das contas de convidado (Uma exibição tabular exportável com detalhes de todas as contas de convidado com informações sobre seu estado de atividade. O estado Activity pode estar ativo ou inativo com base no limite de inatividade configurado)
  6. Os dias inativos são calculados com base na data do último início de sessão se o utilizador tiver iniciado sessão pelo menos uma vez. Para usuários que nunca entraram, os dias inativos são calculados com base na data de criação.

Nota

O relatório com as informações dos hóspedes pode ser baixado usando "Baixar todos os dados". Cada ação para baixar pode levar algum tempo, dependendo da contagem de usuários convidados e permite o download para até 1 milhão de usuários convidados.

Crie uma avaliação em vários estágios para que os hóspedes atestem o acesso contínuo

  1. Crie um grupo dinâmico para os usuários convidados que você deseja revisar. Por exemplo,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Para criar uma Revisão de Acesso para o grupo dinâmico, navegue até Revisões de Acesso de Governança de Identidade > do ID do Microsoft Entra>.

  3. Selecione Nova revisão de acesso.

  4. Configure o tipo de revisão.

    Property valor
    Selecione o que avaliar Equipas + Grupos
    Âmbito da revisão Selecionar Equipas + grupos
    Agrupar Selecionar o grupo dinâmico
    Âmbito Apenas utilizadores convidados
    (Opcional) Avaliar hóspedes inativos Marque a caixa apenas para Usuários inativos (no nível do locatário).
    Insira o número de dias que constituem inatividade.

    A captura de tela mostra a caixa de diálogo tipo de avaliação para avaliação em vários estágios para que os hóspedes atestem o acesso continuado.

  5. Selecione Next: Reviews.

  6. Configurar comentários:

    Property valor
    Revisão da primeira fase
    Revisão em várias fases Marque a caixa
    Selecionar revisores Os utilizadores reveem o seu próprio acesso
    Duração do estágio (em dias) Insira o número de dias
    Revisão da segunda fase
    Selecionar revisores Proprietário(s) do grupo ou Utilizador(es) ou grupo(s) selecionado(s)
    Duração do estágio (em dias) Insira o número de dias.
    (Opcional) Especifique um revisor de fallback.
    Especificar a recorrência da revisão
    Recorrência da revisão Selecione a sua preferência na lista pendente
    Data de início Selecione uma data
    Fim Selecione a sua preferência
    Especificar revisores para passar para a próxima etapa
    Revisores que vão para a próxima fase Selecione os revisores. Por exemplo, selecione os usuários que se autoaprovaram ou responderam Não sei.

    A captura de tela mostra a primeira etapa da avaliação em vários estágios para que os hóspedes atestem o acesso contínuo.

  7. Selecione Next: Settings.

  8. Definir configurações:

    Property valor
    Após a conclusão, as configurações
    Aplicar automaticamente os resultados ao recurso Marque a caixa
    Se os revisores não responderem Remover o acesso
    Ação a ser aplicada em usuários convidados negados Bloquear o utilizador de iniciar sessão durante 30 dias e, em seguida, remover o utilizador do inquilino
    (Opcional) No final da revisão, envie uma notificação para Especifique outros usuários ou grupos a serem notificados.
    Habilitar auxiliares de decisão do revisor
    Conteúdo adicional para o e-mail do revisor Adicionar uma mensagem personalizada para revisores
    Todos os outros campos Deixe os valores padrão para as opções restantes.

    A captura de tela mostra a caixa de diálogo de configurações para revisão em vários estágios para que os hóspedes autoatestem o acesso contínuo.

  9. Selecione Seguinte: Rever + Criar

  10. Insira um nome de Revisão de acesso. (Opcional) fornecer uma descrição.

  11. Selecione Criar.

Criar uma avaliação para remover convidados externos inativos

  1. Crie um grupo dinâmico para os usuários convidados que você deseja revisar. Por exemplo,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Para criar uma revisão de acesso para o grupo dinâmico, navegue até Revisões de acesso de governança de > identidade do Microsoft Entra ID>.

  3. Selecione Nova revisão de acesso.

  4. Configure o tipo de revisão:

    Property valor
    Selecione o que avaliar Equipas + Grupos
    Âmbito da revisão Selecionar Equipas + grupos
    Agrupar Selecionar o grupo dinâmico
    Âmbito Apenas utilizadores convidados
    Somente usuários inativos (no nível do locatário) Marque a caixa
    Dias inativos Insira o número de dias que constitui inatividade

    Nota

    O tempo de inatividade configurado não afetará os usuários criados recentemente. A Revisão de acesso verificará se o usuário foi criado no período de tempo configurado e ignorará os usuários que não existiram por pelo menos esse período de tempo. Por exemplo, se você definir o tempo de inatividade como 90 dias e um usuário convidado tiver sido criado/convidado há menos de 90 dias, o usuário convidado não estará no escopo da Revisão de acesso. Isso garante que os hóspedes possam entrar uma vez antes de serem removidos.

    A captura de tela mostra a caixa de diálogo de tipo de revisão para remover convidados externos inativos.

  5. Selecione Next: Reviews.

  6. Configurar comentários:

    Property valor
    Especificar revisores
    Selecionar revisores Selecione Proprietário(s) do grupo ou um usuário ou grupo.
    (Opcional) Para permitir que o processo permaneça automatizado, selecione um revisor que não tomará nenhuma ação.
    Especificar a recorrência da revisão
    Duração (em dias) Insira ou selecione um valor com base em sua preferência
    Recorrência da revisão Selecione a sua preferência na lista pendente
    Data de início Selecione uma data
    Fim Escolha uma opção
  7. Selecione Next: Settings.

    A captura de tela mostra a caixa de diálogo Comentários para remover convidados externos inativos.

  8. Definir configurações:

    Property valor
    Após a conclusão, as configurações
    Aplicar automaticamente os resultados ao recurso Marque a caixa
    Se as avaliações não responderem Remover o acesso
    Ação a ser aplicada em usuários convidados negados Bloquear o utilizador de iniciar sessão durante 30 dias e, em seguida, remover o utilizador do inquilino
    Habilitar auxiliares de decisão do revisor
    Sem início de sessão no prazo de 30 dias Marque a caixa
    Todos os outros campos Marque/desmarque as caixas com base na sua preferência.

    A captura de tela mostra a caixa de diálogo Configurações para remover convidados externos inativos.

  9. Selecione Seguinte: Rever + Criar.

  10. Insira um nome de Revisão de acesso. (Opcional) fornecer uma descrição.

  11. Selecione Criar.

Os utilizadores convidados que não iniciam sessão no inquilino durante o número de dias que configurou são desativados durante 30 dias e, em seguida, eliminados. Após a exclusão, você pode restaurar os hóspedes por até 30 dias, após os quais um novo convite é necessário.

Nota

Se as decisões de revisão de acesso ainda não forem aplicadas, a API accessReviewInstance: stopApplyDecisions poderá ser usada para interromper decisões de aplicação ativas.