Mik azok az Azure AD-hozzáférési felülvizsgálatok?

Az Azure Active Directory (Azure AD) hozzáférési felülvizsgálatokkal a szervezetek hatékonyan kezelhetik a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. A felhasználó hozzáférése rendszeresen felülvizsgálható, hogy csak a megfelelő személyek rendelkezzenek további hozzáféréssel.

Az alábbi videó gyors áttekintést nyújt a hozzáférési felülvizsgálatokról:

Miért fontosak a hozzáférési felülvizsgálatok?

Azure AD lehetővé teszi a szervezeten belüli és külső felhasználókkal való együttműködést. A felhasználók csoportokhoz csatlakozhatnak, vendégeket hívhatnak meg, felhőalkalmazásokhoz csatlakozhatnak, és távolról dolgozhatnak a munkahelyi vagy személyes eszközeikről. Az önkiszolgáló használat kényelme miatt jobb hozzáférés-kezelési képességekre van szükség.

  • Az új alkalmazottak csatlakozásával hogyan biztosíthatja, hogy rendelkezzenek a hatékonyságukhoz szükséges hozzáféréssel?
  • Hogyan gondoskodhat arról, hogy a felhasználók áthelyezzék a csoportokat, vagy kilépjenek a vállalatból, hogyan gondoskodhat arról, hogy a régi hozzáférésük el legyen távolítva?
  • A túlzott hozzáférési jogosultságok veszélyeztethetik a biztonságot.
  • A túlzott hozzáférési jog is vezethet auditálási eredményekhez, mivel ezek a hozzáférés feletti ellenőrzés hiányára utalnak.
  • Proaktív módon kell kapcsolatba lépnie az erőforrás-tulajdonosokkal, hogy rendszeresen ellenőrizhessék, ki férhet hozzá az erőforrásaikhoz.

Mikor érdemes hozzáférési felülvizsgálatokat használni?

  • Túl sok felhasználó emelt szintű szerepkörökben: Érdemes ellenőrizni, hogy hány felhasználó rendelkezik rendszergazdai hozzáféréssel, közülük hány globális rendszergazda, és vannak-e olyan meghívott vendégek vagy partnerek, akik nem lettek eltávolítva, miután rendszergazdai feladathoz lettek rendelve. A szerepkör-hozzárendelési felhasználókat Azure AD szerepkörökben, például a globális rendszergazdák vagy az Azure-erőforrások szerepköreiben, például a Felhasználói hozzáférés rendszergazdája szerepkörben is újra lehet minősíteni a Azure AD Privileged Identity Management (PIM) felületen.
  • Ha az automatizálás nem lehetséges: Létrehozhat szabályokat a biztonsági csoportok vagy Microsoft 365-csoportok dinamikus tagságához, de mi a teendő, ha a HR-adatok nem Azure AD, vagy ha a felhasználóknak továbbra is hozzáférésre van szükségük a csoport elhagyása után a csere betanítása érdekében? Ezután létrehozhat egy felülvizsgálatot a csoporthoz, hogy a továbbra is hozzáférésre szoruló személyek továbbra is hozzáférhessenek.
  • Ha egy csoportot új célra használnak: Ha van egy csoportja, amelyet szinkronizálni fog a Azure AD, vagy ha engedélyezni szeretné a Salesforce alkalmazást az Értékesítési csoport összes tagja számára, hasznos lehet megkérni a csoport tulajdonosát, hogy tekintse át a csoporttagságokat, mielőtt a csoportot más kockázati tartalomban használná.
  • Üzletileg kritikus adathozzáférés: bizonyos erőforrások, például az üzletileg kritikus alkalmazások esetében a megfelelőségi folyamatok részeként szükség lehet arra, hogy a felhasználókat rendszeresen ismételten meg kell erősíteni, és meg kell indokolni, hogy miért van szükségük folyamatos hozzáférésre.
  • Szabályzat kivétellistájának karbantartása: Egy ideális világban minden felhasználó a hozzáférési szabályzatokat követve biztosítaná a szervezet erőforrásaihoz való hozzáférést. Vannak azonban olyan üzleti esetek, amelyek kivételeket követelnek meg. Rendszergazdaként kezelheti ezt a feladatot, elkerülheti a szabályzati kivételek felügyeletét, és igazolást adhat az ellenőröknek arról, hogy ezeket a kivételeket rendszeresen felülvizsgálják.
  • Kérje meg a csoporttulajdonosokat, hogy győződjenek meg arról, hogy továbbra is szükségük van vendégekre a csoportjaikban: Előfordulhat, hogy az alkalmazottak hozzáférése automatizálható néhány helyszíni identitás- és hozzáférés-kezelési (IAM) szolgáltatással, de nem hív meg vendégeket. Ha egy csoport hozzáférést ad a vendégeknek az üzleti szempontból érzékeny tartalmakhoz, akkor a csoporttulajdonos felelőssége, hogy meggyőződjön arról, hogy a vendégeknek továbbra is jogos üzleti hozzáférésre van szükségük.
  • Rendszeresen ismétlődnek a felülvizsgálatok: Beállíthatja a felhasználók rendszeres hozzáférési felülvizsgálatát meghatározott gyakorisággal, például hetente, havonta, negyedévente vagy évente, és a felülvizsgálók értesítést kapnak az egyes felülvizsgálatok elején. A véleményezők egy barátságos felületen és intelligens javaslatok segítségével jóváhagyhatják vagy megtagadhatják a hozzáférést.

Megjegyzés

Ha készen áll az Access-felülvizsgálatok kipróbálására, tekintse meg a csoportok vagy alkalmazások hozzáférési felülvizsgálatának létrehozását ismertető cikket

Hol hozhat létre felülvizsgálatokat?

Attól függően, hogy mit szeretne áttekinteni, hozzáférési felülvizsgálatot hozhat létre Azure AD hozzáférési felülvizsgálatokban, Azure AD vállalati alkalmazásokban (előzetes verzióban), Azure AD PIM-ben vagy Azure AD jogosultságkezelésben.

A felhasználók hozzáférési jogosultságai A véleményezők lehetnek A következőben létrehozott véleményezés: Véleményezői élmény
Biztonsági csoport tagjai
Office-csoporttagok
Megadott véleményezők
Csoporttulajdonosok
Önértékelés
hozzáférési felülvizsgálatok
Azure AD Azure AD csoportok
Hozzáférési panel
Hozzárendelve egy csatlakoztatott alkalmazáshoz Megadott véleményezők
önértékelése
Azure AD hozzáférési felülvizsgálatok
Azure AD vállalati alkalmazások (előzetes verzióban)
Hozzáférési panel
Azure AD szerepkör Megadott véleményezők
önértékelése
AZURE AD PIM Azure Portal
Azure-erőforrásszerepkör Megadott véleményezők
önértékelése
AZURE AD PIM Azure Portal
Csomag-hozzárendelések elérése Megadott véleményezők Csoporttagok

Önértékelés
Azure AD-jogosultságkezelés Hozzáférési panel

Licenckövetelmények

A funkció használatához Prémium P2 szintű Azure AD licenc szükséges. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az Azure AD általánosan elérhető szolgáltatásait összehasonlító cikket.

Hány licenccel kell rendelkeznie?

A címtárnak legalább annyi Prémium P2 szintű Azure AD licencre van szüksége, mint azoknak az alkalmazottaknak a száma, akik a következő feladatokat végzik el:

  • Véleményezőként hozzárendelt tagfelhasználók
  • Önértékelést végző tagfelhasználók
  • Tagfelhasználók csoporttulajdonosokként, akik hozzáférési felülvizsgálatot végeznek
  • Tagfelhasználók alkalmazástulajdonosokként, akik hozzáférési felülvizsgálatot végeznek

A vendégfelhasználók licencelési igényei a használt licencelési modelltől függenek. Az alábbi vendégfelhasználói tevékenységek azonban Prémium P2 szintű Azure AD használatnak minősülnek:

  • Felülvizsgálóként hozzárendelt vendégfelhasználók
  • Önértékelést végző vendégfelhasználók
  • Vendégfelhasználók csoporttulajdonosokként, akik hozzáférési felülvizsgálatot végeznek
  • Vendégfelhasználók, mint alkalmazástulajdonosok, akik hozzáférési felülvizsgálatot végeznek

Prémium P2 szintű Azure AD licencek nem szükségesek olyan globális rendszergazdai vagy felhasználói rendszergazdai szerepkörökkel rendelkező felhasználók számára, akik hozzáférési felülvizsgálatokat állítottak be, beállításokat konfiguráltak, vagy a felülvizsgálatok alapján hozott döntéseket alkalmazták.

Azure AD vendégfelhasználói hozzáférés egy havi aktív felhasználói (MAU) számlázási modellen alapul, amely felváltja az 1:5 arányú számlázási modellt. További információ: Azure AD External Identities díjszabása.

A licencekkel kapcsolatos további információkért lásd: Licencek hozzárendelése vagy eltávolítása az Azure Active Directory portál használatával.

Példa licencelési forgatókönyvekre

Íme néhány példa licencelési forgatókönyvekre a szükséges licencek számának meghatározásához.

Eset Számítás Licencek száma
Egy rendszergazda létrehoz egy hozzáférési felülvizsgálatot az A csoportról 75 felhasználóval és 1 csoporttulajdonossal, és a csoporttulajdonost rendeli hozzá véleményezőként. 1 licenc a csoport tulajdonosához véleményezőként 1
A rendszergazdák létrehoznak egy hozzáférési felülvizsgálatot a B csoporthoz 500 felhasználóval és 3 csoporttulajdonossal, és véleményezőként rendelik hozzá a 3 csoporttulajdonost. 3 licenc minden csoporttulajdonoshoz véleményezőként 3
Egy rendszergazda létrehozza a B csoport hozzáférési felülvizsgálatát 500 felhasználóval. Önértékeléssé teszi. 500 licenc minden felhasználóhoz önértékelőként 500
A rendszergazda létrehozza a C csoport hozzáférési felülvizsgálatát 50 tagfelhasználóval és 25 vendégfelhasználóval. Önértékeléssé teszi. 50 licenc minden felhasználóhoz önértékelőként.* 50
Egy rendszergazda létrehoz egy hozzáférési felülvizsgálatot a D csoportról 6 tagfelhasználóval és 108 vendégfelhasználóval. Önértékeléssé teszi. 6 licenc minden felhasználóhoz önértékelőként. A vendégfelhasználók számlázása havi aktív felhasználó (MAU) alapján történik. Nincs szükség további licencekre. * 6

* Azure AD külső identitások (vendégfelhasználók) díjszabása a havi aktív felhasználókon (MAU) alapul, amely a hitelesítési tevékenységgel rendelkező egyedi felhasználók száma egy naptári hónapon belül. Ez a modell váltja fel az 1:5 arányú számlázási modellt, amely legfeljebb öt vendégfelhasználót engedélyezett minden Azure AD Premium-licenchez a bérlőben. Ha a bérlő egy előfizetéshez van kapcsolva, és a külső identitások funkcióit használja a vendégfelhasználókkal való együttműködéshez, a MAU-alapú számlázási modell automatikusan kiszámlázódik. További információ: Azure AD External Identities számlázási modellje.

Következő lépések