Microsoft Entra hozzáférési felülvizsgálatok üzembe helyezésének megtervezése
A Microsoft Entra hozzáférési felülvizsgálatai az erőforrás-hozzáférési életciklus kezelésével segítenek a szervezetnek a vállalati biztonság megőrzésében. A hozzáférési felülvizsgálatokkal a következőt teheti:
Rendszeres felülvizsgálatokat ütemezhet, vagy alkalmi felülvizsgálatokat hajthat végre, hogy kiderítse, ki férhet hozzá adott erőforrásokhoz, például alkalmazásokhoz és csoportokhoz.
Elemzési, megfelelőségi vagy szabályzati okokból nyomon követheti az értékeléseket.
Véleményezések delegálása adott rendszergazdáknak, üzlettulajdonosoknak vagy felhasználóknak, akik önigazolni tudják a folyamatos hozzáférés szükségességét.
Az elemzésekkel hatékonyan megállapíthatja, hogy a felhasználóknak továbbra is hozzáféréssel kell-e rendelkezniük.
Automatizálhatja a felülvizsgálat eredményeit, például eltávolíthatja a felhasználók erőforrásokhoz való hozzáférését.
A hozzáférési felülvizsgálatok Microsoft Entra ID-kezelés képesség. A többi lehetőség a jogosultságkezelés, a Privileged Identity Management (PIM), az életciklus-munkafolyamatok, a kiépítés és a használati feltételek. Együtt segítenek a következő négy kérdés megválaszolásában:
- Mely felhasználóknak kell hozzáféréssel rendelkezniük ahhoz, hogy mely erőforrásokhoz férhessenek hozzá?
- Mit csinálnak a felhasználók ezzel a hozzáféréssel?
- Van hatékony szervezeti vezérlés a hozzáférés kezeléséhez?
- Ellenőrizhetik az auditorok, hogy működnek-e a vezérlők?
A hozzáférési felülvizsgálatok üzembe helyezésének megtervezése elengedhetetlen ahhoz, hogy a szervezet felhasználói számára elérhető legyen a kívánt szabályozási stratégia.
Fő előnyök
A hozzáférési felülvizsgálatok engedélyezésének fő előnyei a következők:
- Az együttműködés szabályozása: A hozzáférési felülvizsgálatok lehetővé teszik a felhasználók számára szükséges összes erőforráshoz való hozzáférés kezelését. Amikor a felhasználók megosztják és együttműködnek, biztos lehet abban, hogy az információk csak a jogosult felhasználók között találhatók.
- Kockázatkezelés: A hozzáférési felülvizsgálatok lehetővé teszik az adatokhoz és alkalmazásokhoz való hozzáférés áttekintését, ami csökkenti az adatszivárgás és az adatszivárgás kockázatát. Ön képes rendszeresen áttekinteni a külső partnerek vállalati erőforrásokhoz való hozzáférését.
- A megfelelőség és a szabályozás kezelése: A hozzáférési felülvizsgálatokkal szabályozhatja és újraengedélyezheti a hozzáférési életciklust a csoportok, alkalmazások és webhelyek számára. Szabályozhatja és nyomon követheti a szervezetre vonatkozó megfelelőségi vagy kockázatérzékeny alkalmazásokkal kapcsolatos felülvizsgálatokat.
- Költségcsökkentés: A hozzáférési felülvizsgálatok a felhőben vannak felépítve, és natív módon működnek együtt a felhőbeli erőforrásokkal, például csoportokkal, alkalmazásokkal és hozzáférési csomagokkal. A hozzáférési felülvizsgálatok használata kevésbé költséges, mint a saját eszközök létrehozása vagy a helyszíni eszközkészlet más módon történő frissítése.
Képzési erőforrások
Az alábbi videók segítségével megismerheti a hozzáférési felülvizsgálatokat:
- Mik a hozzáférési felülvizsgálatok a Microsoft Entra ID-ban?
- Hozzáférési felülvizsgálatok létrehozása a Microsoft Entra-azonosítóban
- Automatikus hozzáférési felülvizsgálatok létrehozása minden olyan vendégfelhasználó számára, aki hozzáféréssel rendelkezik a Microsoft 365-csoportokhoz a Microsoft Entra-azonosítóban
- Hozzáférési felülvizsgálatok engedélyezése a Microsoft Entra-azonosítóban
- Hozzáférés áttekintése a Saját hozzáférés használatával
Licencek
A funkció használatához Microsoft Entra ID-kezelés előfizetésre van szükség a szervezet felhasználói számára. A funkció egyes képességei microsoft Entra ID P2-előfizetéssel is működhetnek. További részletekért tekintse meg az egyes képességekről szóló cikkeket. A követelményeknek megfelelő licenc megtalálásához tekintse meg Microsoft Entra ID-kezelés licencelési alapjait.
Feljegyzés
Az inaktív felhasználók áttekintéséhez és a felhasználókhoz való csatlakozásra vonatkozó javaslatokhoz Microsoft Entra ID-kezelés licencre van szükség.
A hozzáférési felülvizsgálatok üzembehelyezési projektjének megtervezése
Vegye figyelembe, hogy a szervezetnek meg kell határoznia a hozzáférési felülvizsgálatok környezetbeli üzembe helyezésének stratégiáját.
A megfelelő érdekelt felek bevonása
Ha a technológiai projektek meghiúsulnak, általában a hatásra, az eredményekre és a felelősségekre vonatkozó eltérő elvárások miatt teszik ezt. A buktatók elkerülése érdekében győződjön meg arról, hogy a megfelelő érdekelt feleket szeretné bevonni, és hogy a projektszerepkörök egyértelműek legyenek.
Hozzáférési felülvizsgálatok esetén valószínűleg a következő csapatok képviselőit fogja tartalmazni a szervezeten belül:
Az informatikai felügyelet felügyeli az informatikai infrastruktúrát, és felügyeli a felhőberuházásokat és -szoftvereket szolgáltatásként (SaaS-alkalmazások). Ez a csapat:
- Áttekinti az infrastruktúra és alkalmazások kiemelt hozzáférését, beleértve a Microsoft 365-öt és a Microsoft Entra-azonosítót.
- Hozzáférési felülvizsgálatokat ütemez és futtat olyan csoportokon, amelyek kivétellisták vagy informatikai próbaprojektek karbantartására szolgálnak a naprakész hozzáférési listák fenntartásához.
- Biztosítja, hogy a szolgáltatásneveken keresztüli erőforrások programozott (szkriptelt) hozzáférése szabályozva legyen és áttekintve legyen.
- Automatizálhatja az olyan folyamatokat, mint a felhasználók előkészítése és bevezetése, a hozzáférési kérelmek és a hozzáférési tanúsítványok.
A biztonsági csapatok biztosítják, hogy a terv megfeleljen a szervezet biztonsági követelményeinek, és kikényszerítse a Teljes felügyelet. Ez a csapat:
- Csökkenti a kockázatokat, és erősíti a biztonságot
- Az erőforrásokhoz és alkalmazásokhoz való legkisebb jogosultsági hozzáférés kényszerítése
- Eszközökkel látja a központosított mérvadó forrást, azt, hogy kinek és mennyi ideig van hozzáférése.
A fejlesztői csapatok alkalmazásokat fejlesztenek és kezelnek a szervezet számára. Ez a csapat:
- Szabályozza, hogy kik férhetnek hozzá és kezelhetnek összetevőket az SaaS-ben, a szolgáltatásként nyújtott platformon (PaaS) és az infrastruktúra szolgáltatásként (IaaS)-erőforrásokon, amelyek a kifejlesztett megoldásokat alkotják.
- Olyan csoportokat kezel, amelyek hozzáférhetnek a belső alkalmazásfejlesztéshez szükséges alkalmazásokhoz és eszközökhöz.
- Olyan kiemelt identitásokat igényel, amelyek hozzáférnek az ügyfelek számára üzemeltetett éles szoftverekhez vagy megoldásokhoz.
Az üzleti egységek kezelik a projekteket és saját alkalmazásokat. Ez a csapat:
- Felülvizsgálja és jóváhagyja vagy letiltja a hozzáférést a belső és külső felhasználók csoportjaihoz és alkalmazásaihoz.
- Ütemezi és ellenőrzi a folyamatos hozzáférést az alkalmazottak és külső identitások, például üzleti partnerek számára.
- Az alkalmazottaknak hozzáféréssel kell rendelkezniük a munkájukhoz szükséges alkalmazásokhoz.
- Engedélyezi a részlegeknek a felhasználók hozzáférésének kezelését.
A vállalatirányítás biztosítja, hogy a szervezet betartsa a belső szabályzatot, és megfeleljen az előírásoknak. Ez a csapat:
- Új hozzáférési felülvizsgálatokat kér vagy ütemez.
- Értékeli a hozzáférés felülvizsgálatának folyamatait és eljárásait, beleértve a megfelelőség dokumentációját és nyilvántartását.
- Áttekinti a legtöbb kritikus erőforrásra vonatkozó korábbi felülvizsgálatok eredményeit.
- Ellenőrzi, hogy a megfelelő vezérlők megfelelnek-e a kötelező biztonsági és adatvédelmi szabályzatoknak.
- Ismétlődő, könnyen naplózható és jelentéskészítési folyamatokat igényel.
Feljegyzés
A manuális értékeléseket igénylő felülvizsgálatok esetében tervezze meg a megfelelő véleményezőket és a szabályzat- és megfelelőségi igényeknek megfelelő felülvizsgálati ciklusokat. Ha a felülvizsgálati ciklusok túl gyakoriak, vagy túl kevés véleményező van, a minőség elveszhet, és túl sok vagy túl kevés személy rendelkezhet hozzáféréssel. Javasoljuk, hogy egyértelmű felelősségi köröket alakítson ki a hozzáférési felülvizsgálatok során részt vevő különböző érdekelt felek és részlegek számára. Minden résztvevő csapatnak és személynek tisztában kell lennie azzal, hogy milyen szerepkörökben és kötelezettségekben kell részesítenie a minimális jogosultság elvét.
Kommunikáció tervezése
A kommunikáció kritikus fontosságú az új üzleti folyamatok sikeressége szempontjából. Proaktív módon kommunikálhat a felhasználókkal a felhasználói élmény változásának módjáról és időpontjáról. Mondja el nekik, hogyan szerezhetnek támogatást, ha problémákat tapasztalnak.
Az elszámoltathatóság változásainak közlése
A hozzáférési felülvizsgálatok támogatják a felülvizsgálat és az üzleti tulajdonosokhoz való folyamatos hozzáférés érdekében történő cselekvés felelősségét. A hozzáférési döntések informatikai részlegtől való leválasztása pontosabb hozzáférési döntéseket hoz. Ez a változás kulturális változás az erőforrás-tulajdonos elszámoltathatóságában és felelősségében. Proaktív módon közölje ezt a változást, és győződjön meg arról, hogy az erőforrás-tulajdonosok betanultak, és az elemzések segítségével jó döntéseket hozhatnak.
Az informatikai részleg továbbra is kézben szeretné tartani az irányítást az infrastruktúrával kapcsolatos hozzáférési döntések és a kiemelt szerepkör-hozzárendelések esetében.
E-mail-kommunikáció testreszabása
A felülvizsgálat ütemezésekor kijelöli azokat a felhasználókat, akik ezt a felülvizsgálatot hajtják végre. Ezek a véleményezők ezután e-mailben értesítést kapnak a hozzájuk rendelt új felülvizsgálatokról, és emlékeztetőket kapnak, mielőtt a hozzájuk rendelt felülvizsgálat lejár.
A véleményezőknek küldött e-mail testre szabható úgy, hogy tartalmazzon egy rövid üzenetet, amely arra ösztönzi őket, hogy járjanak el a felülvizsgálaton. Használja a további szöveget a következőhöz:
Adjon meg személyes üzenetet a véleményezőknek, hogy tisztában legyenek azzal, hogy az Ön megfelelőségi vagy informatikai részlege küldte.
Adjon meg egy belső információt arról, hogy a felülvizsgálat milyen elvárásokat támaszt, valamint további referencia- vagy képzési anyagokat.
Miután kiválasztotta a Véleményezés indítása lehetőséget, a rendszer a véleményezőket a Saját hozzáférés portálra irányítja csoport- és alkalmazáshozzáférés-felülvizsgálatok céljából. A portál áttekintést nyújt azokról a felhasználókról, akik hozzáférnek az általuk áttekintett erőforráshoz, valamint a legutóbbi bejelentkezési és hozzáférési információk alapján rendszerjavaslatokat.
Próbaüzem megtervezása
Arra ösztönözzük az ügyfeleket, hogy először teszteljenek hozzáférési felülvizsgálatokat egy kis csoporttal, és ne kritikus erőforrásokat céloznak meg. A próbaüzem segíthet a folyamatok és a kommunikáció igény szerinti módosításában. Ez segíthet növelni a felhasználók és a felülvizsgálók azon képességét, hogy megfeleljenek a biztonsági és megfelelőségi követelményeknek.
A próbaüzemben a következőket javasoljuk:
- Kezdje az értékelésekkel, ahol az eredmények nem lesznek automatikusan alkalmazva, és szabályozhatja a következményeket.
- Győződjön meg arról, hogy minden felhasználó rendelkezik érvényes e-mail-címmel a Microsoft Entra-azonosítóban. Győződjön meg arról, hogy a megfelelő művelet végrehajtásához e-mail-kommunikációt kapnak.
- Dokumentálja az eltávolított hozzáféréseket a próbaüzem részeként, ha gyorsan vissza kell állítania.
- Az auditnaplók monitorozása az összes esemény megfelelő naplózásának biztosítása érdekében.
További információkért tekintse meg a próbaüzem ajánlott eljárásait.
Bevezetés a hozzáférés-felülvizsgálatok használatába
Ez a szakasz bemutatja a hozzáférés-ellenőrzési fogalmakat, amelyeket a felülvizsgálatok tervezése előtt ismernie kell.
Milyen erőforrástípusokat lehet áttekinteni?
Miután integrálta a szervezet erőforrásait a Microsoft Entra-azonosítóval, például felhasználókkal, alkalmazásokkal és csoportokkal, azok kezelhetők és áttekinthetők.
A felülvizsgálat tipikus céljai a következők:
- A Microsoft Entra ID-val integrált alkalmazások egyszeri bejelentkezéshez, például SaaS-hez és üzletághoz.
- A csoporttagság szinkronizálva van a Microsoft Entra-azonosítóval, vagy a Microsoft Entra-azonosítóban vagy a Microsoft 365-ben jött létre, beleértve a Microsoft Teamst is.
- Hozzáférési csomag , amely erőforrásokat, például csoportokat, alkalmazásokat és webhelyeket csoportosít egyetlen csomagba a hozzáférés kezeléséhez.
- A PIM-ben meghatározott Microsoft Entra-szerepkörök és Azure-erőforrásszerepkörök .
Ki fog hozzáférési felülvizsgálatokat létrehozni és kezelni?
A hozzáférési felülvizsgálat létrehozásához, kezeléséhez vagy olvasásához szükséges rendszergazdai szerepkör az erőforrás típusától függ, amelynek tagságát felülvizsgálják. Az alábbi táblázat az egyes erőforrástípusokhoz szükséges szerepköröket jelöli.
| Erőforrás típusa | Hozzáférési felülvizsgálatok létrehozása és kezelése (létrehozók) | Hozzáférési felülvizsgálat eredményeinek olvasása |
|---|---|---|
| Csoport vagy alkalmazás | Globális rendszergazda Felhasználói rendszergazda Identitásirányítási rendszergazda Emelt szintű szerepkör-rendszergazda (csak a Microsoft Entra szerepkörhöz hozzárendelhető csoportokra vonatkozó felülvizsgálatok) Csoporttulajdonos (ha egy rendszergazda engedélyezte) |
Globális rendszergazda Globális olvasó Felhasználói rendszergazda Identitásirányítási rendszergazda Emelt szintű szerepkör-rendszergazda Biztonsági olvasó Csoporttulajdonos (ha egy rendszergazda engedélyezte) |
| Microsoft Entra szerepek | Globális rendszergazda Emelt szintű szerepkör-rendszergazda |
Globális rendszergazda Globális olvasó Felhasználói rendszergazda Emelt szintű szerepkör-rendszergazda
Biztonsági olvasó |
| Azure-erőforrásszerepkörök | User Access Rendszergazda istrator (az erőforráshoz) Erőforrás tulajdonosa Egyéni szerepkörök Microsoft.Authorization/* engedéllyel. |
User Access Rendszergazda istrator (az erőforráshoz) Erőforrás tulajdonosa Olvasó (az erőforráshoz) Egyéni szerepkörök Microsoft.Authorization/*/read engedélyekkel. |
| Hozzáférési csomag | Globális rendszergazda Identitásirányítási rendszergazda Katalógus tulajdonosa (a hozzáférési csomaghoz) Hozzáférési csomagkezelő (a hozzáférési csomaghoz) |
Globális rendszergazda Globális olvasó Felhasználói rendszergazda Identitásirányítási rendszergazda Katalógus tulajdonosa (a hozzáférési csomaghoz) Hozzáférési csomagkezelő (a hozzáférési csomaghoz) Biztonsági olvasó |
További információ: Rendszergazda istrator szerepkör-engedélyek a Microsoft Entra ID-ban.
Ki fogja áttekinteni az erőforráshoz való hozzáférést?
A hozzáférési felülvizsgálat létrehozója a létrehozáskor dönti el, hogy ki fogja elvégezni a felülvizsgálatot. Ez a beállítás a felülvizsgálat megkezdése után nem módosítható. A véleményezőket a következők képviselik:
- Az erőforrás üzleti tulajdonosai.
- A hozzáférési felülvizsgálatok rendszergazdája által kiválasztott egyénileg kiválasztott meghatalmazottak.
- Azok a felhasználók, akik önigazolni tudják, hogy szükségük van a folyamatos hozzáférésre.
- A vezetők áttekintik a közvetlen jelentések hozzáférését az erőforráshoz.
Feljegyzés
Erőforrás-tulajdonosok vagy -kezelők kiválasztásakor a rendszergazdák tartalék véleményezőket jelölnek ki, akik akkor lépnek kapcsolatba, ha az elsődleges partner nem érhető el.
Hozzáférési felülvizsgálat létrehozásakor a rendszergazdák választhatnak egy vagy több véleményezőt. Az összes véleményező megkezdheti és elvégezheti a felülvizsgálatot úgy, hogy kiválasztja a felhasználókat az erőforráshoz való folyamatos hozzáféréshez, vagy eltávolítja őket.
A hozzáférési felülvizsgálat összetevői
A hozzáférési felülvizsgálatok implementálása előtt tervezze meg a szervezet szempontjából releváns vélemények típusait. Ehhez üzleti döntéseket kell hoznia arról, hogy mit szeretne áttekinteni, és milyen műveleteket kell végrehajtania ezek alapján.
Hozzáférési felülvizsgálati szabályzat létrehozásához rendelkeznie kell a következő információkkal:
Milyen erőforrásokat kell áttekinteni?
Kinek a hozzáférése lesz felülvizsgálva?
Milyen gyakran történjen felülvizsgálat?
Ki fogja elvégezni a felülvizsgálatot?
- Hogyan kapnak értesítést a felülvizsgálatról?
- Milyen ütemtervek legyenek előírva a felülvizsgálatokhoz?
Milyen automatikus műveletek legyenek végrehajtva a felülvizsgálat alapján?
- Mi történik, ha a felülvizsgáló nem válaszol időben?
Milyen manuális műveleteket hajtunk végre a felülvizsgálat alapján?
Milyen kommunikációt kell küldeni a végrehajtott műveletek alapján?
Példa hozzáférési felülvizsgálati tervre
| Összetevő | Érték |
|---|---|
| Áttekintendő erőforrások | Hozzáférés a Microsoft Dynamics szolgáltatáshoz. |
| Felülvizsgálat gyakorisága | Havi. |
| Ki végzi a felülvizsgálatot? | Dynamics üzleti csoport programmenedzserei. |
| Értesítés | Az e-mailt a rendszer a felülvizsgálat elején elküldi a Dynamics-Pms aliasnak. Adjon meg egy bátorító egyéni üzenetet a véleményezőknek a bevásárlás biztonságossá tételéhez. |
| Idősor | Az értesítéstől számított 48 óra. |
| Automatikus műveletek | Távolítsa el a hozzáférést minden olyan fiókból, amely 90 napon belül nem rendelkezik interaktív bejelentkezéssel, ha eltávolítja a felhasználót a biztonsági csoport dinamikus hozzáféréséből. Ha nem tekinti át az idővonalon belül, műveleteket hajt végre. |
| Manuális műveletek | A véleményezők igény szerint elvégezhetik az eltávolítási jóváhagyást az automatizált művelet előtt. |
Műveletek automatizálása hozzáférési felülvizsgálatok alapján
A hozzáférés automatikus eltávolítását úgy választhatja ki, hogy az automatikusan alkalmazza az eredményeket az erőforrás engedélyezésére szolgáló beállításra.
Miután a felülvizsgálat befejeződött és befejeződött, a véleményező által nem jóváhagyott felhasználók automatikusan törlődnek az erőforrásból, vagy folyamatos hozzáféréssel maradnak. A beállítások azt jelenthetik, hogy eltávolítják a csoporttagságukat vagy az alkalmazás-hozzárendelésüket, vagy visszavonják a jogosultságuk emelési jogát egy kiemelt szerepkörre.
Javaslatok készítése
Javaslatok a véleményezők számára a véleményezői felület részeként jelennek meg, és jelzik egy személy utolsó bejelentkezését a bérlőbe, vagy az alkalmazáshoz való utolsó hozzáférést. Ezek az információk segítenek a véleményezőknek a megfelelő hozzáférési döntés meghozatalában. A Javaslatok kiválasztása a hozzáférési felülvizsgálat ajánlásait követi. A hozzáférési felülvizsgálat végén a rendszer automatikusan alkalmazza ezeket a javaslatokat azokra a felhasználókra, akikre a véleményezők nem válaszoltak.
Javaslatok a hozzáférési felülvizsgálat feltételein alapulnak. Ha például úgy konfigurálja a felülvizsgálatot, hogy 90 napig interaktív bejelentkezés nélkül távolítsa el a hozzáférést, a javaslat az, hogy az adott feltételeknek megfelelő összes felhasználót el kell távolítani. A Microsoft folyamatosan dolgozik a javaslatok javításán.
Vendégfelhasználói hozzáférés áttekintése
Használja a hozzáférési felülvizsgálatokat az együttműködő partnerek külső szervezetektől származó azonosítóinak felülvizsgálatára és tisztázására. A partnerenkénti felülvizsgálat konfigurálása megfelelhet a megfelelőségi követelményeknek.
A külső identitások hozzáférést kaphatnak a vállalati erőforrásokhoz. Ezek lehetnek:
- Hozzáadva egy csoporthoz.
- Meghívás a Teamsbe.
- Vállalati alkalmazáshoz vagy hozzáférési csomaghoz rendelve.
- Kiemelt szerepkört kapott a Microsoft Entra-azonosítóban vagy egy Azure-előfizetésben.
További információ: példaszkript. A szkript bemutatja, hogy hol használják a bérlőbe meghívott külső identitásokat. A külső felhasználó csoporttagságait, szerepkör-hozzárendeléseit és alkalmazás-hozzárendeléseit a Microsoft Entra-azonosítóban tekintheti meg. A szkript nem jelenít meg a Microsoft Entra-azonosítón kívüli hozzárendeléseket, például a SharePoint-erőforrásokhoz való közvetlen jogosultság-hozzárendelést csoportok használata nélkül.
Amikor hozzáférési felülvizsgálatot hoz létre csoportokhoz vagy alkalmazásokhoz, dönthet úgy, hogy a véleményező csak a Minden felhasználóra vagy a Vendégfelhasználóra összpontosít. Ha csak a vendégfelhasználókat választja, a véleményezők a Microsoft Entra vállalattól a vállalatig (B2B) olyan külső identitásainak szűrt listáját kapják meg, amelyek hozzáféréssel rendelkeznek az erőforráshoz.
Fontos
Ez a lista nem tartalmazza azokat a külső tagokat, akiknek a felhasználótípusa tag. Ez a lista a Microsoft Entra B2B együttműködésen kívül meghívott felhasználókat sem tartalmazza. Ilyenek például azok a felhasználók, akik közvetlenül a SharePointon keresztül férnek hozzá a megosztott tartalmakhoz.
Hozzáférési csomagok hozzáférési felülvizsgálatainak tervezése
Az Access-csomagok jelentősen leegyszerűsíthetik az irányítási és hozzáférési felülvizsgálati stratégiát. A hozzáférési csomag az összes olyan erőforrás csomagja, amelynek hozzáférésével a felhasználónak dolgoznia kell egy projekten, vagy el kell végeznie a feladatát. Előfordulhat például, hogy olyan hozzáférési csomagot szeretne létrehozni, amely tartalmazza a szervezet fejlesztői által igényelt összes alkalmazást, vagy minden olyan alkalmazást, amelyhez külső felhasználóknak hozzáféréssel kell rendelkezniük. A rendszergazda vagy a delegált hozzáférési csomagkezelő ezután csoportosítja az erőforrásokat (csoportokat vagy alkalmazásokat), valamint azokat a szerepköröket, amelyekre a felhasználóknak szükségük van az erőforrásokhoz.
Hozzáférési csomag létrehozásakor létrehozhat egy vagy több hozzáférési csomagra vonatkozó szabályzatot, amelyek olyan feltételeket határoznak meg, amelyekhez a felhasználók hozzáférési csomagot kérhetnek, milyen a jóváhagyási folyamat, és hogy milyen gyakran kellene egy személynek újra hozzáférést kérnie, vagy hogy felül kell vizsgálnia a hozzáférését. A hozzáférési felülvizsgálatok a hozzáférési csomag szabályzatainak létrehozásakor vagy szerkesztésekor vannak konfigurálva.
Válassza az Életciklus lapot, és görgessen le a vélemények eléréséhez.
Hozzáférési felülvizsgálatok tervezése csoportok számára
A hozzáférési csomagok mellett a csoporttagság áttekintése a leghatékonyabb módja a hozzáférés szabályozásának. Hozzáférés hozzárendelése erőforrásokhoz biztonsági csoportokon vagy Microsoft 365-csoportokon keresztül. Felhasználók hozzáadása ezekhez a csoportokhoz a hozzáféréshez.
Egyetlen csoport minden megfelelő erőforráshoz hozzáférést kaphat. A csoporthozzáférést hozzárendelheti az egyes erőforrásokhoz vagy egy olyan hozzáférési csomaghoz, amely alkalmazásokat és más erőforrásokat csoportosít. Ezzel a módszerrel a csoporthoz való hozzáférést tekintheti át, nem pedig az egyes alkalmazásokhoz való hozzáférést.
A csoporttagság az alábbiak szerint tekinthető meg:
- Rendszergazdák.
- Csoporttulajdonosok.
- Kiválasztott felhasználók, akik a felülvizsgálat létrehozásakor delegált felülvizsgálati képességgel rendelkeznek.
- A csoport azon tagjai, akik tanúsítják magukat.
- Azok a vezetők, akik áttekintik a közvetlen jelentések hozzáférését.
Csoport tulajdonjoga
A csoporttulajdonosok azért tekintik át a tagságot, mert a legalkalmasabbak arra, hogy tudják, kinek van szüksége hozzáférésre. A csoportok tulajdonjoga eltér a csoport típusától:
A Microsoft 365-ben és a Microsoft Entra-azonosítóban létrehozott csoportoknak legalább egy jól meghatározott tulajdonosa van. A legtöbb esetben ezek a tulajdonosok tökéletes véleményezőket alkotnak saját csoportjaik számára, mivel tudják, kinek kell hozzáféréssel rendelkezniük.
A Microsoft Teams például Microsoft 365-csoportok használ alapul szolgáló engedélyezési modellként, hogy hozzáférést biztosítson a felhasználóknak a SharePoint, az Exchange, a OneNote vagy más Microsoft 365-szolgáltatásokban található erőforrásokhoz. A csapat létrehozója automatikusan tulajdonossá válik, és felelősnek kell lennie a csoporttagság igazolásáért.
Előfordulhat, hogy a Manuálisan a Microsoft Entra felügyeleti központban vagy a Microsoft Graphon keresztüli szkripteléssel létrehozott csoportok nem feltétlenül rendelkeznek tulajdonosokkal. Definiálja őket a csoport Tulajdonosok szakaszában található Microsoft Entra felügyeleti központban vagy a Microsoft Graphon keresztül.
A helyi Active Directory szinkronizált csoportoknak nem lehet tulajdonosuk a Microsoft Entra-azonosítóban. Amikor hozzáférési felülvizsgálatot hoz létre számukra, válassza ki azokat a személyeket, akik a legalkalmasabbak a tagságuk eldöntésére.
Feljegyzés
Definiáljon olyan üzleti szabályzatokat, amelyek meghatározzák a csoportok létrehozásának módját, így biztosítva a csoport tulajdonjogának és elszámoltathatóságának egyértelműségét a tagság rendszeres felülvizsgálatához.
A kizárási csoportok tagságának felülvizsgálata a feltételes hozzáférési szabályzatokban
A kizárási csoportok tagságának áttekintéséhez tekintse át a Microsoft Entra hozzáférési felülvizsgálatainak használatát a feltételes hozzáférési szabályzatokból kizárt felhasználók kezeléséhez.
Vendégfelhasználók csoporttagságainak áttekintése
A vendégfelhasználók csoporttagságokhoz való hozzáférésének áttekintéséhez lásd : Vendéghozzáférés kezelése a Microsoft Entra hozzáférési felülvizsgálataival.
Helyszíni csoportokhoz való hozzáférés felülvizsgálata
Az access-felülvizsgálatok nem módosíthatják a helyszíni AD-ből a Microsoft Entra Csatlakozás szinkronizált csoportok csoporttagságát. Ennek a korlátozásnak az az oka, hogy az AD-ből származó csoport szolgáltatói forrása a helyszíni AD. Az AD-csoportalapú alkalmazásokhoz való hozzáférés szabályozásához használja a Microsoft Entra Cloud Sync csoportvisszaíróját.
Amíg nem migrált a Csoportvisszaíróval rendelkező Microsoft Entra-csoportokra, a hozzáférési felülvizsgálatok segítségével ütemezheti és karbantarthatja a meglévő helyszíni csoportok rendszeres felülvizsgálatát. Ebben az esetben a rendszergazdák az egyes felülvizsgálatok befejeződése után a helyszíni csoportban hajtják végre a műveletet. Ez a stratégia az összes felülvizsgálat eszközének tekinti a hozzáférési felülvizsgálatokat.
A helyszíni csoportok hozzáférés-felülvizsgálatának eredményeit felhasználhatja, és tovább feldolgozhatja őket a következők szerint:
- Töltse le a CSV-jelentést a hozzáférési felülvizsgálatból, és manuálisan hajtsa végre a műveletet.
- A Microsoft Graph használatával programozott módon lekérheti a befejezett hozzáférési felülvizsgálatok döntéseinek eredményeit.
Ha például egy Windows Server AD által felügyelt csoport eredményeit szeretné lekérni, használja ezt a PowerShell-mintaszkriptet. A szkript felvázolja a szükséges Microsoft Graph-hívásokat, és exportálja a Windows Server AD PowerShell-parancsokat a módosítások végrehajtásához.
Hozzáférési felülvizsgálatok tervezése alkalmazásokhoz
Amikor áttekinti az alkalmazáshoz rendelt összes felhasználót, áttekinti azokat a felhasználókat, köztük az alkalmazottakat és a külső identitásokat, akik a Microsoft Entra-identitásukkal hitelesíthetik magukat az adott alkalmazással. Akkor válassza az alkalmazás áttekintését, ha tudnia kell, hogy kinek van hozzáférése egy adott alkalmazáshoz hozzáférési csomag vagy csoport helyett.
Tervezze meg az alkalmazások felülvizsgálatát a következő helyzetekben, amikor:
- A felhasználók közvetlen hozzáférést kapnak az alkalmazáshoz (csoporton vagy hozzáférési csomagon kívül).
- Az alkalmazás kritikus vagy bizalmas információkat tesz közzé.
- Az alkalmazásnak speciális megfelelőségi követelményei vannak, amelyeket igazolnia kell.
- Nem megfelelő hozzáférésre gyanakszik.
Mielőtt hozzáférési felülvizsgálatokat hoz létre egy alkalmazáshoz, az alkalmazást integrálnia kell a Microsoft Entra-azonosítóval, mint alkalmazással a bérlőben, az alkalmazásszerepkörökhöz rendelt felhasználókkal, és a Felhasználó-hozzárendelés szükséges? beállítással az alkalmazás Igen értékre van állítva. Ha nem értékre van állítva, a címtár minden felhasználója, beleértve a külső identitásokat is, hozzáférhet az alkalmazáshoz, és nem tekintheti át az alkalmazáshoz való hozzáférést.
Ezután rendelje hozzá azokat a felhasználókat és csoportokat , akiknek a hozzáférését ellenőrizni szeretné.
További információ arról, hogyan készülhet fel a felhasználók alkalmazáshoz való hozzáférésének hozzáférési felülvizsgálatára.
Alkalmazás véleményezői
A hozzáférési felülvizsgálatok lehetnek a csoport tagjai vagy az alkalmazásokhoz hozzárendelt felhasználók számára. A Microsoft Entra-azonosítóban lévő alkalmazások nem feltétlenül rendelkeznek tulajdonossal, ezért nem lehetséges az alkalmazás tulajdonosának véleményezőként való kiválasztása. A felülvizsgálatok hatókörének további hatókörét úgy is alkalmazhatja, hogy csak az alkalmazáshoz rendelt vendégfelhasználókra tekintse át ahelyett, hogy az összes hozzáférést áttekinteni szeretné.
A Microsoft Entra ID és az Azure-erőforrásszerepkörök áttekintésének megtervezése
A Privileged Identity Management leegyszerűsíti, hogy a vállalatok hogyan kezelik a Microsoft Entra ID-ban az erőforrásokhoz való emelt szintű hozzáférést. A PIM használatával a Kiemelt szerepkörök listája a Microsoft Entra-azonosítóban és az Azure-erőforrásokban kisebb lesz. Emellett növeli a címtár általános biztonságát is.
A hozzáférési felülvizsgálatok lehetővé teszik, hogy a véleményezők igazolják, hogy a felhasználóknak továbbra is szerepkörrel kell-e rendelkezniük. A hozzáférési csomagok hozzáférési felülvizsgálataihoz hasonlóan a Microsoft Entra-szerepkörök és az Azure-erőforrások áttekintése is integrálva van a PIM rendszergazdai felhasználói felületébe.
Rendszeresen tekintse át a következő szerepkör-hozzárendeléseket:
- Globális rendszergazda
- Felhasználói rendszergazda
- Emelt szintű hitelesítés rendszergazdája
- Feltételes hozzáférés rendszergazdája
- Biztonsági rendszergazda
- A Microsoft 365 és a Dynamics Service összes felügyeleti szerepköre
A vizsgált szerepkörök állandó és jogosult hozzárendeléseket tartalmaznak.
A Véleményezők szakaszban válasszon ki egy vagy több embert az összes felhasználó áttekintéséhez. Vagy kiválaszthatja a Kezelőt, hogy egy vezető áttekintse az általuk kezelt személyek hozzáférését, vagy a tagok (saját) számára, hogy a tagok áttekintsék a saját hozzáférésüket.
Hozzáférési felülvizsgálatok üzembe helyezése
Miután elkészített egy stratégiát és egy tervet a Microsoft Entra ID-val integrált erőforrások hozzáférésének áttekintésére, helyezze üzembe és kezelje a felülvizsgálatokat az alábbi erőforrások használatával.
Hozzáférési csomagok áttekintése
Az elavult hozzáférés kockázatának csökkentése érdekében a rendszergazdák engedélyezhetik a hozzáférési csomaghoz aktív hozzárendeléssel rendelkező felhasználók rendszeres felülvizsgálatát. Kövesse a táblázatban felsorolt cikkek utasításait.
| Útmutatók | Leírás |
|---|---|
| Hozzáférési felülvizsgálatok létrehozása | Hozzáférési csomag véleményezésének engedélyezése. |
| Hozzáférési felülvizsgálatok | Hozzáférési felülvizsgálatokat hajthat végre a hozzáférési csomaghoz hozzárendelt többi felhasználó számára. |
| Hozzárendelt hozzáférési csomag(ok) önértékelése | Végezze el a hozzárendelt hozzáférési csomagok önértékelését. |
Feljegyzés
Azok a felhasználók, akik önértékeléssel rendelkeznek, és azt mondják, hogy már nincs szükségük hozzáférésre, nem lesznek azonnal eltávolítva a hozzáférési csomagból. A rendszer eltávolítja őket a hozzáférési csomagból, amikor a felülvizsgálat véget ér, vagy ha egy rendszergazda leállítja a felülvizsgálatot.
Csoportok és alkalmazások áttekintése
Az alkalmazottak és a vendégek csoportjainak és alkalmazásainak hozzáférése idővel valószínűleg megváltozik. Az elavult hozzáférés-hozzárendelésekkel járó kockázat csökkentése érdekében a rendszergazdák hozzáférési felülvizsgálatokat hozhatnak létre a csoporttagok vagy az alkalmazáshozzáférés számára. Kövesse a táblázatban felsorolt cikkek utasításait.
| Útmutatók | Leírás |
|---|---|
| Hozzáférési felülvizsgálatok létrehozása | Hozzon létre egy vagy több hozzáférési felülvizsgálatot a csoporttagok vagy alkalmazáshozzáférések számára. |
| Hozzáférési felülvizsgálatok | Hozzáférési felülvizsgálatot hajthat végre egy csoport vagy egy alkalmazáshoz hozzáféréssel rendelkező felhasználók számára. |
| Hozzáférés önértékelése | Lehetővé teszi a tagok számára, hogy áttekintsék a saját hozzáférésüket egy csoporthoz vagy alkalmazáshoz. |
| Teljes hozzáférési felülvizsgálat | Tekintse meg a hozzáférési felülvizsgálatot, és alkalmazza az eredményeket. |
| Helyszíni csoportok műveletének végrehajtása | Minta PowerShell-szkripttel reagálhat a helyszíni csoportok hozzáférési véleményezésére. |
Microsoft Entra-szerepkörök áttekintése
Az elavult szerepkör-hozzárendelések kockázatának csökkentése érdekében rendszeresen tekintse át a kiemelt Microsoft Entra-szerepkörök hozzáférését.
Kövesse a táblázatban felsorolt cikkek utasításait.
| Útmutatók | Leírás |
|---|---|
| Hozzáférési felülvizsgálatok létrehozása | Hozzáférési felülvizsgálatok létrehozása kiemelt Microsoft Entra-szerepkörökhöz a PIM-ben. |
| Hozzáférés önértékelése | Ha rendszergazdai szerepkörhöz van rendelve, hagyja jóvá vagy tiltsa le a szerepkörhöz való hozzáférést. |
| Hozzáférési felülvizsgálat befejezése | Tekintse meg a hozzáférési felülvizsgálatot, és alkalmazza az eredményeket. |
Azure-erőforrásszerepkörök áttekintése
Az elavult szerepkör-hozzárendelések kockázatának csökkentése érdekében rendszeresen tekintse át a kiemelt Azure-erőforrás-szerepkörök hozzáférését.
Kövesse a táblázatban felsorolt cikkek utasításait.
| Útmutatók | Leírás |
|---|---|
| Hozzáférési felülvizsgálatok létrehozása | Hozzáférési felülvizsgálatok létrehozása emelt szintű Azure-erőforrás-szerepkörökhöz a PIM-ben. |
| Hozzáférés önértékelése | Ha rendszergazdai szerepkörhöz van rendelve, hagyja jóvá vagy tiltsa le a szerepkörhöz való hozzáférést. |
| Hozzáférési felülvizsgálat befejezése | Tekintse meg a hozzáférési felülvizsgálatot, és alkalmazza az eredményeket. |
Az Access Reviews API használata
Az áttekinthető erőforrások kezeléséhez és kezeléséhez tekintse meg a Microsoft Graph API módszereit , valamint a szerepkör- és alkalmazásengedély-engedélyezési ellenőrzéseket. A Microsoft Graph API hozzáférési ellenőrzési módszerei alkalmazás- és felhasználói környezetekben is elérhetők. Amikor szkripteket futtat az alkalmazáskörnyezetben, az API futtatásához használt fióknak (a szolgáltatás elvének) accessReview.Read.All engedéllyel kell rendelkeznie a hozzáférés lekérdezéséhez, áttekinti az információkat.
A népszerű hozzáférési felülvizsgálatok a Microsoft Graph API használatával automatizálandó feladatokat a következők:
- Hozzáférési felülvizsgálat létrehozása és indítása.
- Manuálisan fejezheti be a hozzáférési felülvizsgálatot az ütemezett vége előtt.
- Sorolja fel az összes futó hozzáférési felülvizsgálatot és azok állapotát.
- Tekintse meg a felülvizsgálati sorozatok előzményeit, valamint az egyes felülvizsgálatokban hozott döntéseket és műveleteket.
- Hozzáférési felülvizsgálatból származó döntések összegyűjtése.
- Gyűjtse össze a befejezett felülvizsgálatokból származó döntéseket, amelyekben a véleményező más döntést hozott, mint amit a rendszer javasolt.
Amikor új Microsoft Graph API-lekérdezéseket hoz létre az automatizáláshoz, a Graph Explorerrel hozhat létre és vizsgálhat meg Microsoft Graph-lekérdezéseket, mielőtt szkriptekbe és kódba helyezené őket. Ez a lépés segít gyorsan iterálni a lekérdezést, hogy pontosan a keresett eredményeket kapja, a szkript kódjának módosítása nélkül.
Hozzáférési felülvizsgálatok figyelése
A hozzáférési felülvizsgálatok tevékenységeit a Microsoft Entra auditnaplói rögzítik és elérhetővé válnak. A naplózási adatokat szűrheti a kategóriára, tevékenységtípusra és dátumtartományra. Íme egy minta lekérdezés.
| Kategória | Szabályzat |
|---|---|
| Tevékenység típusa | Hozzáférési felülvizsgálat létrehozása |
| Frissítési hozzáférés áttekintése | |
| Hozzáférési felülvizsgálat befejezve | |
| Hozzáférési felülvizsgálat törlése | |
| Döntés jóváhagyása | |
| Döntés elutasítása | |
| Döntés alaphelyzetbe állítása | |
| Döntés alkalmazása | |
| Dátumtartomány | Hét nap |
A fejlettebb lekérdezések és a hozzáférési felülvizsgálatok elemzése, valamint a módosítások és a felülvizsgálatok befejezésének nyomon követése érdekében exportálja a Microsoft Entra auditnaplóit az Azure Log Analyticsbe vagy az Azure Event Hubsba. Ha a naplókat a Log Analytics tárolja, használhatja a hatékony elemzési nyelvet , és létrehozhat saját irányítópultokat.
Következő lépések
Ismerje meg a következő kapcsolódó technológiákat: