Hantera användar- och gästanvändaråtkomst med åtkomstgranskningar

Med åtkomstgranskningar kan du enkelt se till att användare eller gäster har lämplig åtkomst. Du kan be användarna själva, eller en beslutsfattare, att delta i en åtkomstgranskning och certifiera om (eller intyga) användarnas åtkomst. Granskarna kan ge sina indata om varje användares behov av fortsatt åtkomst baserat på förslag från Microsoft Entra-ID. När en åtkomstgranskning är klar kan du göra ändringar och ta bort åtkomst för användare som inte längre behöver den.

Kommentar

I den här artikeln beskrivs hur du utför åtkomstgranskningar för användare och program. Information om hur du utför en åtkomstgranskning för flera resurser i åtkomstpaket finns här Granska åtkomsten för ett åtkomstpaket i Microsoft Entra-rättighetshantering. Om du vill granska åtkomsten för användaren eller tjänstens huvudnamn till Microsoft Entra-ID eller Azure-resursroller kan du läsa Starta en åtkomstgranskning i Microsoft Entra Privileged Identity Management.

Förutsättningar

  • Microsoft Entra ID P2 eller Microsoft Entra ID-styrning

Mer information finns i Licenskrav.

Skapa och utföra en åtkomstgranskning för användare

Först måste du tilldelas någon av följande roller:

  • Global administratör
  • Användaradministratör
  • Administratör för identitetsstyrning
  • Privilegierad rolladministratör (endast för granskningar av rolltilldelningsbara grupper)
  • (Förhandsversion) Microsoft 365- eller Microsoft Entra-säkerhetsgruppens ägare av gruppen som ska granskas

Kommentar

Efter minst behörighetsåtkomst rekommenderar vi att du använder Administratör för identitetsstyrning eller användaradministratör för dessa uppgifter.

Gå sedan till sidan Identitetsstyrning för att se till att åtkomstgranskningar är redo för din organisation.

Du kan ha en eller flera användare som granskare i en åtkomstgranskning.

  1. Välj en grupp i Microsoft Entra-ID som har en eller flera medlemmar. Eller välj ett program som är anslutet till Microsoft Entra-ID som har en eller flera användare tilldelade till sig.

  2. Bestäm om varje användare ska granska sin egen åtkomst eller om en eller flera användare ska granska allas åtkomst.

  3. I en av de tidigare listade rollerna går du till sidan Identitetsstyrning.

  4. Skapa åtkomstgranskningen. Mer information finns i Skapa en åtkomstgranskning av grupper eller program.

  5. När åtkomstgranskningen startar ber du granskarna att ge indata. Som standard får de var och en ett e-postmeddelande från Microsoft Entra-ID med en länk till åtkomstpanelen, där de granskar åtkomsten till grupper eller program.

  6. Om granskarna inte har gett några indata kan du be Microsoft Entra-ID:t att skicka en påminnelse till dem. Som standard skickar Microsoft Entra-ID automatiskt en påminnelse halvvägs till slutdatumet till alla granskare.

  7. När granskarna har framfört sina åsikter avslutar du åtkomstgranskningen och tillämpar ändringarna. Mer information finns i Slutföra en åtkomstgranskning av grupper eller program.

Hantera gäståtkomst med Microsoft Entra-åtkomstgranskningar

Med Microsoft Entra-ID kan du enkelt aktivera samarbete över organisationens gränser med hjälp av Microsoft Entra B2B-funktionen. Gästanvändare från andra klienter kan bjudas in av administratörer eller av andra användare. Den här funktionen gäller även för sociala identiteter som Microsoft-konton.

Skapa och utföra en åtkomstgranskning för gäster

Samma roller som krävs för att skapa en åtkomstgranskning för användare krävs också för att skapa en åtkomstgranskning för gäster. Mer information finns i Skapa och utföra en åtkomstgranskning för användare.

Microsoft Entra ID möjliggör flera scenarier för granskning av gästanvändare.

Du kan granska något av följande:

  • En grupp i Microsoft Entra-ID som har en eller flera gäster som medlemmar.
  • Ett program som är anslutet till Microsoft Entra-ID som har en eller flera gästanvändare tilldelade.

När du granskar gästanvändarens åtkomst till Microsoft 365-grupper kan du antingen skapa en granskning för varje grupp individuellt eller aktivera automatiska återkommande åtkomstgranskningar av gästanvändare i alla Microsoft 365-grupper. Följande video innehåller mer information om återkommande åtkomstgranskningar av gästanvändare:

Du kan sedan bestämma om du vill be varje gäst att granska sin egen åtkomst eller be en eller flera användare att granska varje gästs åtkomst.

Dessa scenarier beskrivs i följande avsnitt.

Be gästerna att granska sitt eget medlemskap i en grupp

Du kan använda åtkomstgranskningar för att se till att användare som har bjudits in och lagts till i en grupp fortsätter att behöva åtkomst. Du kan enkelt be gäster att granska sitt eget medlemskap i gruppen.

  1. Om du vill skapa en åtkomstgranskning för gruppen väljer du den granskning som endast ska inkludera gästanvändarmedlemmar och att medlemmarna granskar sig själva. Mer information finns i Skapa en åtkomstgranskning av grupper eller program.

  2. Be varje gäst att granska sitt eget medlemskap. Som standard får varje gäst som accepterade en inbjudan ett e-postmeddelande från Microsoft Entra-ID med en länk till åtkomstgranskningen. Microsoft Entra-ID har instruktioner för gäster om hur du granskar åtkomsten till grupper eller program.

  3. När granskarna har framfört sina åsikter avslutar du åtkomstgranskningen och tillämpar ändringarna. Mer information finns i Slutföra en åtkomstgranskning av grupper eller program.

  4. Förutom de användare som nekade sitt eget behov av fortsatt åtkomst kan du även ta bort användare som inte svarade.

  5. Om gruppen inte används för åtkomsthantering kan du också ta bort användare som inte har valts att delta i granskningen eftersom de inte accepterade inbjudan. Att inte acceptera kan tyda på att den inbjudna användarens e-postadress hade ett skrivfel. Om en grupp används som en distributionslista kanske vissa gästanvändare inte har valts att delta eftersom de är kontaktobjekt.

Be en sponsor att granska en gästs medlemskap i en grupp

Du kan be en sponsor, till exempel ägaren till en grupp, att granska en gästs behov av fortsatt medlemskap i en grupp.

  1. Om du vill skapa en åtkomstgranskning för gruppen väljer du den granskning som endast ska inkludera gästanvändarmedlemmar. Ange sedan en eller flera granskare. Mer information finns i Skapa en åtkomstgranskning av grupper eller program.

  2. Be granskarna att komma med reflektioner. Som standard får de var och en ett e-postmeddelande från Microsoft Entra-ID med en länk till åtkomstpanelen, där de granskar åtkomsten till grupper eller program.

  3. När granskarna har framfört sina åsikter avslutar du åtkomstgranskningen och tillämpar ändringarna. Mer information finns i Slutföra en åtkomstgranskning av grupper eller program.

Kommentar

Du kan blockera externa identiteter från att logga in på din klientorganisation och ta bort de externa identiteterna från klientorganisationen efter 30 dagar. Under den här perioden går det inte att visa eller konfigurera inställningar, resultat, granskare eller granskningsloggar under den aktuella granskningen. Mer information finns i Inaktivera och ta bort externa identiteter med Microsoft Entra-åtkomstgranskningar .

Be gästerna att granska sin egen åtkomst till ett program

Du kan använda åtkomstgranskningar för att se till att användare som bjudits in för ett visst program fortsätter att behöva åtkomst. Du kan enkelt be gästerna själva att granska sina egna behov av åtkomst.

  1. Om du vill skapa en åtkomstgranskning för programmet väljer du den granskning som endast ska inkludera gäster och att användarna granskar sin egen åtkomst. Mer information finns i Skapa en åtkomstgranskning av grupper eller program.

  2. Be varje gäst att granska sin egen åtkomst till programmet. Som standard får varje gäst som accepterade en inbjudan ett e-postmeddelande från Microsoft Entra-ID. E-postmeddelandet har en länk till åtkomstgranskningen i din organisations åtkomstpanel. Microsoft Entra-ID har instruktioner för gäster om hur du granskar åtkomsten till grupper eller program.

  3. När granskarna har framfört sina åsikter avslutar du åtkomstgranskningen och tillämpar ändringarna. Mer information finns i Slutföra en åtkomstgranskning av grupper eller program.

  4. Förutom användare som nekat sitt eget behov av fortsatt åtkomst kan du även ta bort gästanvändare som inte svarade. Du kan också ta bort gästanvändare som inte har valts att delta, särskilt om de inte har bjudits in nyligen. Dessa användare accepterade inte sin inbjudan och hade därför inte åtkomst till programmet.

Be en sponsor att granska en gästs åtkomst till ett program

Du kan be en sponsor, till exempel ägaren av ett program, att granska gästens behov av fortsatt åtkomst till programmet.

  1. Om du vill skapa en åtkomstgranskning för programmet väljer du den granskning som endast ska inkludera gäster. Ange sedan en eller flera användare som granskare. Mer information finns i Skapa en åtkomstgranskning av grupper eller program.

  2. Be granskarna att komma med reflektioner. Som standard får de var och en ett e-postmeddelande från Microsoft Entra-ID med en länk till åtkomstpanelen, där de granskar åtkomsten till grupper eller program.

  3. När granskarna har framfört sina åsikter avslutar du åtkomstgranskningen och tillämpar ändringarna. Mer information finns i Slutföra en åtkomstgranskning av grupper eller program.

Be gästerna att granska behovet av åtkomst i allmänhet

I vissa organisationer kanske gäster inte känner till sina gruppmedlemskap.

  1. Skapa en säkerhetsgrupp i Microsoft Entra-ID med gäster som medlemmar, om det inte redan finns en lämplig grupp. Du kan till exempel skapa en grupp med ett manuellt underhållet medlemskap för gäster. Eller så kan du skapa en dynamisk grupp med ett namn som "Gäster i Contoso" för användare i Contoso-klientorganisationen som har attributet UserType som gäst. Tänk på att en gästanvändare som är medlem i gruppen kan se de andra medlemmarna i gruppen.

  2. Om du vill skapa en åtkomstgranskning för den gruppen väljer du granskarna som medlemmar själva. Mer information finns i Skapa en åtkomstgranskning av grupper eller program.

  3. Be varje gäst att granska sitt eget medlemskap. Som standard får varje gäst som accepterade en inbjudan ett e-postmeddelande från Microsoft Entra-ID med en länk till åtkomstgranskningen i din organisations åtkomstpanel. Microsoft Entra-ID har instruktioner för gäster om hur du granskar åtkomsten till grupper eller program.

  4. När granskarna har angett indata stoppar du åtkomstgranskningen. Mer information finns i Slutföra en åtkomstgranskning av grupper eller program.

  5. Ta bort gäståtkomst för gäster som nekades, inte slutförde granskningen eller inte tidigare accepterade inbjudan. Om några av gästerna är kontakter som har valts att delta i granskningen eller om de inte tidigare har accepterat en inbjudan kan du inaktivera deras konton med hjälp av administrationscentret för Microsoft Entra eller PowerShell. Om gästen inte längre behöver åtkomst och inte är en kontakt kan du ta bort deras användarobjekt från din katalog med hjälp av administrationscentret för Microsoft Entra eller PowerShell för att ta bort gästanvändarobjektet.

Nästa steg

Skapa en åtkomstgranskning av grupper eller program