Bereinigung von Gastbenutzerkonten aus Basic Azure AD/ Premium P1 Tenant

Das Bereinigen der blockierten Gastbenutzerkonten aus dem Microsoft365-Tenant ist sehr wichtig, um die Sicherheit Ihres Tenants aufrechtzuerhalten und die Angriffsfläche Ihres Tenants zu reduzieren. Dies ist jedoch eine Herausforderung, wenn Sie die Azure AD-Basis- oder Azure AD-Premium-P1-Lizenz verwenden, da dieser Lizenzplan keine Zugriffsüberprüfungsfunktionen enthält, so dass das Bereinigen des Gastbenutzerkontos eine Herausforderung für die AD-Basislizenzierung des Tenants darstellt.

Aber als M365-Administrator liegt es in unserer Verantwortung, sie zu finden und diese festgefahrenen Gastkonten zu bereinigen. In diesem Artikel erhalten Sie eine Idee, wie Sie Gastbenutzerkonten bereinigen können, ohne die PowerShell zu verwenden.

Rollen, die zur Durchführung dieser Aktivität benötigt werden:

Global Administrator Role
User Administrator Role

Warum sollten wir das Gastkonten bereinigen:

Sobald wir externe Gastbenutzer einladen, mit unserem Microsoft 365-Ressourcen wie Teams, SharePoint, Power BI usw. zusammenzuarbeiten, wurde das Gastbenutzerkonto in unserem Azure AD erstellt, sobald die Einladung gesendet wurde. Die Gastbenutzer-ID erhält eine Benachrichtigung an ihre E-Mail-ID.

Im Folgenden finden Sie die Gründe für das Bereinigen des Gastkontos,

Der Gastbenutzer kann die Einladung aus beliebigen Gründen annehmen oder nicht. Falls das Gastbenutzerkonto (@gmail.com, @abc.com) kompromittiert wird, nachdem wir die Einladung gesendet haben, könnte der Angreifer es mit der Einladung zu unserem Tenant bringen.
Da das IAM-Konto des Gastbenutzers von dessen IT-Team verwaltet wird, kennen wir die Sicherheitshärte des Kontos nicht, so dass eine Bereinigung des Gastkontos unvermeidlich ist.
Der Microsoft 365 Security Score wird auch durch das Gastbenutzerkonto beeinflusst. Da MFA pro Benutzer auch in den Sicherheitsscore einfließt (Beispiel), wenn ein Gastkonto erstellt wird, das nicht angemeldet ist und MFA nicht abgeschlossen hat, wird auch der Sicherheitsscore Ihres Tenants reduziert
Im Idealfall, wenn ein Gastkonto nicht aktiv in unserem Tenant verwendet wird, was ist der Nutzen eines solchen Kontos.

Wie kann ich die blockierten Gastkonten löschen?

Azure AD –> Users –> Filtered with User type as below –> Download Users.

Stellen Sie sicher, dass Sie die Option “Einladungsstatus” in der Exportdatei haben.

Mit der Option “Einladungsstatus” können Sie die “Ausstehenden Einladungen” filtern.
Kopieren Sie die Details dieser ausstehenden Benutzer in eine separate Excel-Datei.
Mit der Bulk-Operation können wir sie alle löschen.

Basierend auf der letzten Anmeldung (30 Tage nicht eingeloggt):

Exportieren Sie die letzten 30 Tage der Benutzer-Anmeldeprotokolle aus Azure AD. –> “letzte 30 Tage” auswählen –> CSV herunterladen –> InteractiveSignIns.
Vergleichen Sie die “Benutzer-ID” dieses Blattes mit der “ID” des exportierten Blattes “Gastbenutzerdetails”. (Die genannten Optionen sind nur in beiden Blättern gleich).
Wenn das Gastkonto in den 30 Tagen Anmeldedaten nicht vorhanden ist, können Sie es löschen.
wenn Sie nur 60 Tage nicht angemeldete Benutzer löschen möchten, sollten Sie die Azure-Anmeldung für 60 Tage haben
Um 60 Tage oder mehr als 30 Tage Anmeldungsprotokolle zu haben, sollten Sie Azure Log Analytics haben, um diese Daten zu speichern.
Laut Microsoft Basis-Azure AD oder Azure AD P1-Abonnement gibt es standardmäßig nur 30 Tage lang SignIn-Daten.
Um diese Kosteninvestition zu vermeiden, müssen Sie möglicherweise den Prozess so definieren wie “Jedes Monatsende (28.) sollten Sie die letzten 30 Tage des Azure SignIn-Berichts für Gastbenutzer herunterladen”.
Dies kann über ein PowerShell-Skript oder manuell nach Ihren Wünschen erfolgen. Durch die Verwendung dieser 60-Tage-Daten (2 Monate 28. Exportiert) können Sie die Gastkonten bereinigen, die mehr als 60 Tage nicht angemeldet sind.
Der gleiche Ansatz kann für zwei Monate einmal oder monatlich verfolgt werden.

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	WooCommerce
Anbieter	Eigentümer dieser Website
Zweck	Hilft WooCommerce festzustellen, wenn sich der Inhalt des Warenkorbs/Daten ändert. Enthält einen eindeutigen Code für jeden Kunden, so dass WooCommerce weiß, wo die Warenkorbdaten in der Datenbank für jeden Kunden zu finden sind. Ermöglicht es den Kunden, die Shop-Benachrichtigungen auszublenden.
Cookie Name	woocommerce_cart_hash, woocommerce_items_in_cart, wp_woocommerce_session_, woocommerce_recently_viewed, store_notice[notice id]
Cookie Laufzeit	Sitzung / 2 Tage

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	Google Tag Manager
Name	Google Tag Manager
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google zur Steuerung der erweiterten Script- und Ereignisbehandlung.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	Proven Expert
Name	Proven Expert
Anbieter	Expert Systems AG
Zweck	Diese Seite nutzt Plugins der Seite provenexpert.com. Wenn Sie eine unserer mit einem ProvenExpert-Plugin ausgestatteten Seiten besuchen, wird eine Verbindung zu den Servern von Expert Systems AG hergestellt.
Datenschutzerklärung	https://www.provenexpert.com/de-de/datenschutzbestimmungen/
Host(s)	s.provenexpert.net
Cookie Laufzeit	Bis der Benutzer den lokalen Speicher löscht.

Wie bereinige ich meine M365- oder Azure AD-Gastbenutzerkonten?

Warum sollten wir das Gastkonten bereinigen:

Neueste Beiträge

Archive

Kategorien