Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Kontroly přístupu Microsoft Entra podporují až tři fáze kontroly, ve kterých se více typů revidujících zabývá určením, kdo stále potřebuje přístup k prostředkům společnosti. Tyto kontroly můžou být určené pro členství ve skupinách nebo týmech, přístup k aplikacím, přiřazení k privilegovaným rolím nebo přiřazování balíčků. Když správci kontroly konfigurují kontrolu pro automatické aplikování rozhodnutí, na konci období kontroly je přístup zrušen pro zamítnuté uživatele.
Případy použití pro vícefázové kontroly
Vícefázové kontroly přístupu umožňují vám a vaší organizaci povolit složitým pracovním postupům pro splnění požadavků na opětovnou certifikaci a audit, kdy je potřeba více hodnotitelů, aby ověřovali přístup uživatelům v konkrétním pořadí. Pomáhá také navrhovat efektivnější kontroly pro vlastníky prostředků a auditory snížením počtu rozhodnutí, za která odpovídá každý kontrolor. Tento přístup umožňuje kombinovat jinak oddělené kontroly pro stejný prostředek, které se mají zkombinovat v rámci jedné kontroly přístupu.
Tady je několik scénářů, které byste mohli zvážit:
- Dosažení konsensu napříč několika sadami revidujících: Umožňuje dvěma cílovým skupinám revidujících nezávisle kontrolovat přístup k prostředku. Recenze můžete nakonfigurovat tak, aby oba stupně recenzentů musely souhlasit se schválením bez toho, aby viděli rozhodnutí toho druhého.
- Přiřaďte náhradní hodnotitele, kteří se vyjádří k nerevidovaným rozhodnutím: Umožněte vlastníkovi prostředku nejprve potvrdit přístup k jejich prostředku. Poté uživatelé, pro které není zaznamenáno žádné rozhodnutí, přejdou k posuzovateli ve druhé fázi, jako je manažer uživatele nebo auditní tým, který přezkoumá nerozhodnuté žádosti.
- Snížení zátěže pro posuzovatele v pozdější fázi: Kontroly je možné nakonfigurovat tak, aby uživatelé, kteří byli odmítnuti v dřívějších fázích, nebyli zkontrolováni v pozdějších fázích, což umožňuje posuzovatelům v pozdějších fázích vidět jen filtrovaný seznam. Tento scénář použijte k filtrování uživatelů k posouzení, fáze po fázi.
Dosáhnout konsensu napříč několika sadami recenzentů
Dosažení kvora pro správný přístup pro uživatele může být obtížné. U zdrojů, které jsou dostupné mnoha uživatelům, nebo pro různorodou skupinu uživatelů, které je potřeba zkontrolovat, je obzvláště obtížné, aby jeden hodnotitel učinil správná rozhodnutí pro všechny hodnocené. Dosažení konsensu tím, že dává až tři různé skupiny revidujících příležitost zaznamenávat rozhodnutí a tím, že ukazuje, co uvedli dřívější revidující, pomáhá podpořit konsensus o tom, kdo by měl mít přístup k prostředku.
Příkladem by byla kontrola, která se skládá ze tří fází, které určují členství ve skupině, která řídí přístup k prostředku. V nastavení recenze se správce rozhodne nezobrazovat rozhodnutí recenzentů z předchozí fáze. Tato konfigurace umožňuje publiku kontroly, například manažerovi uživatele, vlastníkovi skupiny a bezpečnostnímu pracovníkovi, aby nezávisle kontrolovali přístup. Tři fáze jsou seřazeny se zvýšenou důležitostí váhy publika recenzenta, přičemž rozhodnutí od poslední skupiny recenzentů mohou potenciálně přepíší rozhodnutí recenzentů z dřívější fáze.
Konfigurace pro tento scénář by vypadala takto:
| Vlastnost | Konfigurace |
|---|---|
| Vícefázová kontrola | Povoleno |
| Kontroloři první fáze | Správci uživatelů |
| Kontroloři druhé fáze | Vlastníci skupin |
| Recenzenti třetí fáze | Vyberte uživatele nebo skupiny – "Skupina auditorů Společnosti Contoso" |
| Ukažte rozhodnutí z předchozích fází pro pozdější recenzenty. | Povoleno |
| Hodnocení, kteří jdou do další fáze | Vybrat vše |
| Pokud recenzenti neodpoví | Odebrání přístupu |
Přiřazení alternativních kontrolorů, kteří budou zvažovat nerevidovaná rozhodnutí
V případných scénářích, kde je potřeba zaznamenat rozhodnutí a zajistit, že přístup mají správní lidé, vám vícefázové revize umožní posunout vybranou skupinu recenzentů do další fáze, která může vyžadovat druhou skupinu recenzentů pro dvojité ověření nebo rozhodování. Tento vzor použijte k zajištění, že existuje méně nerevidovaných uživatelů nebo uživatelů označených jako Nevím, tím, že tyto kontroly postupujete do jiné fáze a že další skupina revidujících přijme rozhodnutí.
Příkladem by byla kontrola, která obsahuje dvě fáze, které určují přístup k aplikaci. V nastavení recenze se správce recenze rozhodne zobrazit rozhodnutí z předchozích fází pro recenzenty následujících fází. U revizí, které přejdou do další fáze, se přidají rozhodnutí, která potřebují potvrzení: aby všichni kontroloři měli rozhodnutí, vyberte kontroly označené jako "Nevím" a nezkontrolované kontroly, aby pozdější revidoři viděli pouze neověřené nebo neověřené kontroly, aby si zachovali správný přístup.
| Vlastnost | Konfigurace |
|---|---|
| Vícefázová kontrola | Povoleno |
| Kontroloři první fáze | Vyberte uživatele nebo skupiny – vlastníky aplikací. |
| Kontroloři druhé fáze | Správci uživatelů |
| Ukažte rozhodnutí z předchozích fází pro pozdější recenzenty. | Vypnuto |
| Hodnocení, kteří jdou do další fáze | Vyberte Nekontrolované revize a revize označené jako "Nevím". |
| Pokud recenzenti neodpoví | Schválit přístup |
Snížení zátěže pro pozdější revidující
U revizí, které můžou zahrnovat mnoho kontrolovaných uživatelů nebo uživatelů k ověření, můžete vyžadovat, aby všichni koncoví uživatelé nejprve sami potvrdili, než budou v pozdější fázi přezkoumáni vlastníkem prostředku nebo jejich správcem. Tento model umožňuje filtrovat posuzované z jedné fáze do druhé, a to pouze ty, kteří se schválili sami.
Pozdější kontroloři, jako jsou manažeři uživatelů nebo vlastník prostředku, uvidí pouze zkrácený seznam kontrolovaných – těch, kteří schválili dříve. Počet hodnocených osob v jednotlivých fázích se snižuje fáze od fáze. Přístup zachovávají jenom uživatelé schválené ve všech třech fázích.
Příkladem by byla kontrola skupiny, která uděluje výjimku IT, kterou chce správce pravidelně kontrolovat. Vzhledem k tomu, že je tato výjimka oblíbená, zobrazí se uživatelům výzva, aby odpověděli jako první a pouze ti, kteří odpověděli, že výjimku stále potřebují, se převedou do druhé fáze, kde se jejich nadřízený rozhodne. Pouze v případě, že uživatel a vedoucí schválí, se vlastníkům IT výjimky zobrazí seznam uživatelů, kteří tuto výjimku stále potřebují a chtějí, přičemž mohou nahlédnout na zkrácený seznam hodnocených osob.
| Vlastnost | Konfigurace |
|---|---|
| Vícefázová kontrola | Povoleno |
| Kontroloři první fáze | Uživatelé kontrolují svůj vlastní přístup |
| Kontroloři druhé fáze | Správci uživatelů |
| Recenzenti třetí fáze | Vlastníci skupin |
| Ukažte rozhodnutí z předchozích fází pro pozdější recenzenty. | Vypnuto |
| Hodnocení, kteří jdou do další fáze | Vyberte schválené hodnocené osoby |
| Pokud recenzenti neodpoví | Odebrání přístupu |
Recenze uživatelů typu host
Recenze hostujících uživatelů pomáhají organizacím, které používají Microsoft Entra B2B ke spolupráci. Přístup těchto uživatelů typu host by se měl pravidelně kontrolovat a kontrolovat, jestli tito uživatelé typu host mají pořád správný přístup a že spolupráce je stále požadovaná, takže odvolání přístupu nebo vyčištění uživatelských účtů typu host, které už nejsou potřeba, je možné.
Tento scénář je možné nakonfigurovat s recenzemi o více etapách podobně jako funguje scénář "Snížení zátěže pro recenzenty v pozdějších fázích". Nejprve požádejte hostující uživatele, aby provedli sebehodnocení a potvrdili svůj trvalý zájem a potřebu spolupráce, včetně požadavku na poskytnutí obchodního odůvodnění. Do pozdější fáze se posouvají pouze osoby schválené samy, kde sponzor nebo jiný zaměstnanec schvaluje nebo odmítne pokračující přístup nebo spolupráci.
U hostujících uživatelských recenzí zvažte také využití nastavení pouze pro neaktivní uživatele na úrovni tenanta. Kontrola bude vymezena na neaktivní externí uživatele, kteří se nepřihlásili ke zdrojovému tenantovi ve stanoveném počtu dnů.
Ve scénářích pro uživatele typu host podporují kontroly přístupu další možnost konfigurace: Akce, která se použije u odepřených uživatelů typu host, což může mít za následek jednu z těchto možností:
- Odebrání členství uživatele z prostředku
- Blokování přihlášení uživatele po dobu 30 dnů a následné odebrání uživatele z tenanta
V závislosti na potřebách kontroly je možné uživatele typu host, kteří nereagují na žádost o kontrolu, nebo odmítnout další spolupráci, automaticky odebrat z vašeho tenanta. Výsledkem je zablokovaný uživatelský účet typu host B2B po dobu 30 dnů po odstranění účtu.
| Vlastnost | Konfigurace |
|---|---|
| Pouze neaktivní uživatelé (na úrovni tenanta) | 180 dní |
| Vícefázová kontrola | Povoleno |
| Kontroloři první fáze | Uživatelé kontrolují svůj vlastní přístup |
| Kontroloři druhé fáze | Vlastníci skupin |
| Ukažte rozhodnutí z předchozích fází pro pozdější recenzenty. | Vypnuto |
| Hodnocení, kteří jdou do další fáze | Vyberte schválené hodnocené osoby |
| Pokud recenzenti neodpoví | Odebrání přístupu |
| Akce, která se má použít u odepřených uživatelů typu host | Blokování přihlášení uživatele po dobu 30 dnů a následné odebrání uživatele z tenanta |
Poznámka:
Akce, která se má použít na odepřeného uživatele typu host, se v procesu vytváření kontroly zobrazí jen tehdy, pokud je obor kontroly přístupu nakonfigurován pouze pro hosty.
Doba trvání fází kontroly
Správci kontrol definují dobu trvání každé fáze kontroly, a tím, kolik času mají posuzovatelé ve své fázi na zaznamenání svých rozhodnutí. Každá fáze se dá nakonfigurovat tak, aby měla svou vlastní dobu trvání, aby vyhovovala dostupnosti a očekávání revidujících.
Každá fáze kontroly zůstane otevřená pro kontrolory, aby během této doby mohli přidávat rozhodnutí. Správci kontroly můžou zastavit spuštěnou fázi a automaticky přejít na další fázi kontroly na stránce přehledu revidujícího výběrem možnosti Zastavit aktuální fázi.
Použití výsledků
Kontroly přístupu Microsoft Entra mohou používat rozhodnutí o přístupu k prostředku tím, že odstraní uživatele, kteří již nejsou pro daný prostředek potřeba. Rozhodnutí se vždy použijí na konci období kontroly nebo když správce kontroly kontrolu ukončí ručně. Automatická aplikace výsledků je definována správcem kontroly s nastavením automatického použití výsledků na prostředky nebo ručně pomocí tlačítka Použít výsledky na stránce přehledu kontroly.
Rozhodnutí shromažďují recenzenti pro každou fázi. Nastavení Hodnocených, kteří postoupí do další etapy, určuje, které hodnoceného uvidí pozdější kontroloři a bude požádáno, aby pro ně zaznamenali rozhodnutí. Rozhodnutí se na zdroj použijí pouze na konci celkového přezkumu.
U všech rozhodnutí se poslední rozhodnutí zaznamenané pro přezkum použije na konci přezkumu. Rozhodnutí, která byla učiněna pro Jane v první fázi revize, mohou být ve druhé a třetí fázi přepsána pozdějšími posuzovateli.
Pokud je nastavení "Účastníci hodnocení postupující do další fáze" nastaveno tak, že pouze část účastníků hodnocení postupuje do pozdějších fází, může se stát, že rozhodnutí učiněná v první fázi jsou aplikována na konci hodnocení. Pokud správce kontroly nakonfiguroval třífázovou kontrolu a chce, aby postupovali pouze zamítnutí a nekontrolovaní kontrolovaní k dalším fázím, pokud byla Jane schválena v první fázi, nebude pokračovat v pozdějších fázích a její schválení je zaznamenáno a na konci kontroly aplikováno.