Azure-erőforrások és Microsoft Entra-szerepkörök hozzáférési felülvizsgálatának létrehozása a PIM-ben

  • Cikk

Az Azure-erőforrásokhoz és a Microsoft Entra-szerepkörökhöz való hozzáférés szükségességét a felhasználók idővel megváltoztatják. Az elavult szerepkör-hozzárendelésekkel járó kockázatok csökkentése érdekében ajánlott rendszeresen felülvizsgálni a hozzáféréseket. A Microsoft Entra Privileged Identity Management (PIM) használatával hozzáférési felülvizsgálatokat hozhat létre az Azure-erőforrásokhoz és a Microsoft Entra-szerepkörökhöz való kiemelt hozzáféréshez. Ismétlődő hozzáférési felülvizsgálatokat is konfigurálhat, amelyek automatikusan megtörténnek. Ez a cikk egy vagy több hozzáférési felülvizsgálat létrehozását ismerteti.

Előfeltételek

A Privileged Identity Management használatához licencek szükségesek. A licenceléssel kapcsolatos további információkért lásd Microsoft Entra ID-kezelés licencelési alapismereteket.

A PIM-licencekről további információt a Privileged Identity Management használatára vonatkozó licenckövetelményekben talál.

Az Azure-erőforrások hozzáférési felülvizsgálatainak létrehozásához hozzá kell rendelnie az Azure-erőforrások tulajdonosi vagy felhasználói hozzáférési Rendszergazda istrator szerepkörét. A Microsoft Entra-szerepkörök hozzáférési felülvizsgálatainak létrehozásához hozzá kell rendelnie a Globális Rendszergazda istrator vagy a Privileged Role Rendszergazda istrator szerepkörhöz.

Az Access-felülvizsgálatok szolgáltatásnevekhez való használatához a Microsoft Entra P2 azonosítójú vagy Microsoft Entra ID-kezelés licencen kívül egy Microsoft Entra Számítási feladat ID Prémium csomagra van szükség.

  • Számítási feladatok identitásainak prémium szintű licencelése: A Licencek megtekintése és beszerzése a Számítási feladatok identitásai panelen , a Microsoft Entra felügyeleti központban lehetséges.

Feljegyzés

Az access-felülvizsgálatok az egyes felülvizsgálati példányok elején rögzítik a hozzáférés pillanatképét. A felülvizsgálati folyamat során végrehajtott módosítások a következő felülvizsgálati ciklusban is megjelennek. Lényegében az egyes új ismétlődések kezdetével a rendszer lekéri a felhasználókra, a vizsgált erőforrásokra és a megfelelő véleményezőkre vonatkozó vonatkozó adatokat.

Hozzáférési felülvizsgálatok létrehozása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba olyan felhasználóként, aki az előfeltétel-szerepkör(ek) egyikéhez van hozzárendelve.

  2. Tallózással keresse meg a Privileged Identity Management identitásszabályozást>.

  3. Microsoft Entra-szerepkörök esetén válassza a Microsoft Entra szerepköröket. Azure-erőforrások esetén válassza az Azure-erőforrásokat

    Válassza az Identity Governance lehetőséget a Microsoft Entra Felügyeleti központ képernyőképében.

  4. Microsoft Entra-szerepkörök esetén válassza ismét a Microsoft Entra szerepköröket a Kezelés területen. Azure-erőforrások esetén válassza ki a kezelni kívánt előfizetést.

  5. A Kezelés területen válassza az Access-felülvizsgálatok lehetőséget, majd az Új lehetőséget egy új hozzáférési felülvizsgálat létrehozásához.

    Microsoft Entra-szerepkörök – Az Access véleményezőinek listája az összes véleményezés állapotáról képernyőképet jelenít meg.

  6. Nevezze el a hozzáférési felülvizsgálatot. Igény szerint adjon leírást a véleményezésnek. A név és a leírás megjelenik a véleményezők számára.

    Hozzáférési felülvizsgálat létrehozása – A név és a leírás áttekintése képernyőképe.

  7. Adja meg a kezdési dátumot. Alapértelmezés szerint egy hozzáférési felülvizsgálat egyszer történik, a létrehozáskor kezdődik, és egy hónap múlva fejeződik be. Módosíthatja a kezdési és a befejezési dátumot úgy, hogy a jövőben és a kívánt napokig legyen hozzáférési felülvizsgálat.

    A kezdési dátum, a gyakoriság, az időtartam, a befejezés, az időpontok száma és a befejezési dátum képernyőképe.

  8. Ha ismétlődővé szeretné tenni a hozzáférési felülvizsgálatot, módosítsa a Gyakoriság beállítást heti, havi, negyedéves, éves vagy féléves értékre. Az Időtartam csúszkával vagy szövegmezővel meghatározhatja, hogy az ismétlődő sorozatok egyes felülvizsgálatai hány napig lesznek nyitva a véleményezőktől érkező bemenetekhez. A havi felülvizsgálatok maximális időtartama például 27 nap, így elkerülhetők az átfedések.

  9. A Záró beállítással megadhatja, hogy miként fejezze be az ismétlődő hozzáférés-felülvizsgálati sorozatot. A sorozat háromféleképpen végződhet: folyamatosan fut, hogy határozatlan ideig, egy adott dátumig vagy meghatározott számú előfordulás befejezéséig megkezdje a felülvizsgálatokat. Ön vagy egy másik rendszergazda, aki kezelheti a véleményezéseket, a létrehozás után leállítja a sorozatot úgy, hogy módosítja a dátumot a Gépház, hogy az ezen a napon végződjön.

  10. A Felhasználók hatóköre szakaszban válassza ki a felülvizsgálat hatókörét. A Microsoft Entra-szerepkörök esetében az első hatókör beállítás a Felhasználók és csoportok. A közvetlenül hozzárendelt felhasználók és szerepkör-hozzárendelhető csoportok is szerepelni fognak ebben a kijelölésben. Az Azure-erőforrásszerepkörök esetében az első hatókör a Felhasználók lesz. Az Azure-erőforrásszerepkörökhöz hozzárendelt csoportok kibontva jelennek meg az átvitt felhasználói hozzárendelések a felülvizsgálatban ezzel a kijelöléssel. Az Azure-erőforráshoz vagy a Microsoft Entra szerepkörhöz közvetlen hozzáféréssel rendelkező gépfiókok áttekintéséhez a Szolgáltatásnevek lehetőséget is választhatja.

    A felhasználók hatóköre a képernyőkép szerepkör-tagságának áttekintéséhez.

  11. Vagy csak inaktív felhasználók számára hozhat létre hozzáférési felülvizsgálatokat. A Felhasználók hatóköre szakaszban állítsa az inaktív felhasználókat (bérlői szinten) csak igaz értékre. Ha a kapcsoló igaz értékre van állítva, a felülvizsgálat hatóköre csak az inaktív felhasználókra fog összpontosítani. Ezután adja meg az inaktív napokat, és a napok száma legfeljebb 730 nap (két év) lehet. A megadott számú napon inaktív felhasználók lesznek az egyetlen felhasználók a felülvizsgálatban.

  12. A Szerepkör-tagság áttekintése csoportban válassza ki a felülvizsgálandó kiemelt Azure-erőforrást vagy Microsoft Entra-szerepköröket.

    Feljegyzés

    Ha egynél több szerepkört választ, több hozzáférési felülvizsgálat is létrejön. Ha például öt szerepkört választ ki, öt külön hozzáférési felülvizsgálatot hoz létre.

    Szerepkör-tagságok áttekintése képernyőkép.

  13. Hozzárendelési típus esetén a felülvizsgálat hatóköre az egyszerű szerepkörhöz való hozzárendelés módjával. Csak jogosult hozzárendelések kiválasztásával tekintheti át a jogosult hozzárendeléseket (függetlenül attól, hogy az aktiválás állapota a felülvizsgálat létrehozásakor mikor történik), vagy az aktív hozzárendelések csak az aktív hozzárendelések áttekintéséhez. Válassza ki az összes aktív és jogosult hozzárendelést az összes hozzárendelés típustól függetlenül történő áttekintéséhez.

    A feladattípusok véleményezőinek listája képernyőkép.

  14. A Véleményezők szakaszban válasszon ki egy vagy több embert az összes felhasználó áttekintéséhez. Választhatja azt is, hogy a tagok áttekintsék a saját hozzáférésüket.

    A kiválasztott felhasználók vagy tagok véleményezőinek listája (saját)

    • Kijelölt felhasználók – Ezzel a beállítással kijelölhet egy adott felhasználót a véleményezés befejezéséhez. Ez a lehetőség a felülvizsgálat hatókörétől függetlenül elérhető, és a kiválasztott véleményezők áttekinthetik a felhasználókat, a csoportokat és a szolgáltatásneveket.
    • Tagok (saját) – Ezzel a beállítással a felhasználók áttekinthetik saját szerepkör-hozzárendeléseiket. Ez a beállítás csak akkor érhető el, ha a felülvizsgálat hatóköre felhasználókra, csoportokra vagy felhasználókra terjed ki. A Microsoft Entra-szerepkörök esetében a szerepkör-hozzárendeléssel rendelkező csoportok nem lesznek részei a felülvizsgálatnak, ha ezt a lehetőséget választja.
    • Manager – Ezzel a beállítással a felhasználó felettese áttekintheti a szerepkör-hozzárendelését. Ez a beállítás csak akkor érhető el, ha a felülvizsgálat hatóköre felhasználókra, csoportokra vagy felhasználókra terjed ki. A Kezelő kiválasztása után lehetősége lesz tartalék felülvizsgáló megadására is. A tartalék véleményezőknek akkor kell áttekintenie a felhasználót, ha a felhasználó nem rendelkezik a címtárban megadott kezelővel. A Microsoft Entra-szerepkörök esetében a szerepkörhöz hozzárendelhető csoportokat a tartalék felülvizsgáló ellenőrzi, ha van kiválasztva.

Befejezési beállítások

  1. Ha meg szeretné adni, hogy mi történjen a felülvizsgálat befejezése után, bontsa ki a Befejezéskor beállítások szakaszt.

    Képernyőkép az automatikusan alkalmazandó befejezési beállításokról, és a választási lehetőségekre a véleményező nem válaszolhat.

  2. Ha automatikusan el szeretné távolítani a hozzáférést a megtagadott felhasználók számára, állítsa be az eredmények automatikus alkalmazását az erőforrásra az Engedélyezés értékre. Ha manuálisan szeretné alkalmazni az eredményeket a felülvizsgálat befejezésekor, állítsa a kapcsolót Letiltás értékre.

  3. Ha a véleményező nem válaszol , adja meg, hogy mi történik azoknak a felhasználóknak, amelyeket a véleményező nem tekint át a felülvizsgálati időszakon belül. Ez a beállítás nem érinti a véleményezők által áttekintett felhasználókat.

    • Nincs változás – A felhasználói hozzáférés változatlan marad
    • Hozzáférés eltávolítása – Felhasználói hozzáférés eltávolítása
    • Hozzáférés jóváhagyása – Felhasználói hozzáférés jóváhagyása
    • Javaslatok elfogadása – A rendszer ajánlásának elfogadása a felhasználó folyamatos hozzáférésének megtagadására vagy jóváhagyására

  4. A Művelet a megtagadott vendégfelhasználók listájára való alkalmazásával határozza meg, hogy mi történik a megtagadott vendégfelhasználók esetében. Ez a beállítás jelenleg nem szerkeszthető a Microsoft Entra-azonosító és az Azure-erőforrásszerepkör áttekintéséhez; a vendégfelhasználók, mint minden felhasználó, mindig elveszítik az erőforráshoz való hozzáférést, ha megtagadják.

    Befejezési beállítások – A megtagadott vendégfelhasználók képernyőképén alkalmazandó művelet.

  5. Értesítéseket küldhet további felhasználóknak vagy csoportoknak, hogy megkapják a felülvizsgálat befejezésének frissítését. Ez a funkció lehetővé teszi, hogy a véleménykészítőn kívül más érdekelt felek is frissítve legyenek a felülvizsgálat előrehaladásáról. A funkció használatához válassza a Felhasználó(ok) vagy csoport(ok) kiválasztása lehetőséget, és adjon hozzá egy további felhasználót vagy csoportot, ha meg szeretné kapni a befejezés állapotát.

    Befejezési beállítások – További felhasználók hozzáadása értesítések fogadásához képernyőkép.

Speciális beállítások

  1. További beállítások megadásához bontsa ki a Speciális beállítások szakaszt .

    Speciális beállítások a javaslatok megjelenítéséhez, a jóváhagyás indokának megkövetelése, az e-mail értesítések és az emlékeztetők képernyőképe.

  2. A Javaslatokmegjelenítése beállítással engedélyezheti a véleményezők számára a felhasználói hozzáférési adatokon alapuló rendszerjavaslatok megjelenítését. Javaslatok 30 napos intervallumon alapulnak. Az elmúlt 30 napban bejelentkezett felhasználók a hozzáférés ajánlott jóváhagyásával jelennek meg, míg azok a felhasználók, akik nem jelentkeztek be, ajánlott hozzáférés-megtagadással jelennek meg. Ezek a bejelentkezések függetlenül attól, hogy interaktívak voltak-e. A felhasználó utolsó bejelentkezése is megjelenik a javaslattal együtt.

  3. A jóváhagyásokának megkövetelése beállításával engedélyezze , hogy a felülvizsgálónak meg kell adnia a jóváhagyás okát.

  4. Állítsa az E-mail-értesítések beállítást Engedélyezés értékre. Ekkor a Microsoft Entra ID e-mail-értesítéseket küld a felülvizsgálók számára, amikor a hozzáférési felülvizsgálat megkezdődik, és a rendszergazdák számára, amikor a felülvizsgálat befejeződik.

  5. Állítsa az Emlékeztetők beállítást Engedélyezés értékre. Ekkor a Microsoft Entra ID emlékeztetőt küld a folyamatban lévő hozzáférési felülvizsgálatokról azon felülvizsgálók számára, akik nem fejezték be a felülvizsgálatot.

  6. A véleményezőknek küldött e-mail tartalma automatikusan létrejön a véleményezés részletei alapján, például a véleményezés neve, az erőforrás neve, a határidő stb. alapján. Ha további információk, például további utasítások vagy kapcsolattartási adatok közlésére van szüksége, ezeket a részleteket a véleményező e-mail kiegészítő tartalma tartalmazza, amely szerepelni fog a meghívóban és a hozzárendelt véleményezőknek küldött emlékeztető e-mailekben. Az adatok az alábbi kiemelt szakaszban fognak megjelenni.

    A véleményezőknek küldött e-mail tartalma kiemelésekkel

A hozzáférési felülvizsgálat kezelése

Nyomon követheti az előrehaladást, ahogy a véleményezők befejezik a véleményüket a hozzáférési felülvizsgálat Áttekintés lapján. A címtárban a hozzáférési jogosultságok nem változnak a felülvizsgálat befejezéséig. Az alábbiakban egy képernyőkép látható az Azure-erőforrások és a Microsoft Entra-szerepkörök hozzáférési felülvizsgálatainak áttekintési oldalával.

Az Access-felülvizsgálatok áttekintési oldala, amelyen a Microsoft Entra szerepkörök hozzáférési felülvizsgálatának részletei láthatók.

Ha ez egy egyszeri felülvizsgálat, akkor a hozzáférési felülvizsgálati időszak leteltével vagy a rendszergazda leállítja a hozzáférési felülvizsgálatot, kövesse az Azure-erőforrások és a Microsoft Entra-szerepkörök hozzáférési felülvizsgálatának befejezése az eredmények megtekintéséhez és alkalmazásához című szakasz lépéseit.

Hozzáférési felülvizsgálatok sorozatának kezeléséhez keresse meg a hozzáférési felülvizsgálatot, és keresse meg a közelgő eseményeket az ütemezett felülvizsgálatokban, és szerkessze a befejezési dátumot, vagy ennek megfelelően vegye fel/távolítsa el a véleményezőket.

A Befejezési beállítások területen megadott beállítások alapján az automatikus alkalmazás a véleményezés befejezési dátuma után vagy a felülvizsgálat manuális leállítása után lesz végrehajtva. A felülvizsgálat állapota a Befejezett állapotról a köztes állapotokra, például az Alkalmazásra és végül az Alkalmazott állapotra változik. A megtagadott felhasználókat néhány percen belül el kell távolítani a szerepkörökből, ha vannak ilyenek.

A Microsoft Entra-szerepkörökhöz és az Azure-erőforrásszerepkörökhöz rendelt csoportok hatása a hozzáférési felülvizsgálatokban

• Microsoft Entra-szerepkörök esetén szerepkör-hozzárendelhető csoportok rendelhetők hozzá a szerepkörhöz szerepkör-hozzárendelhető csoportok használatával. Ha egy Microsoft Entra szerepkörön hoz létre felülvizsgálatot, amelyhez szerepkör-hozzárendelhető csoportok vannak hozzárendelve, a csoportnév a csoporttagság kibontása nélkül jelenik meg a felülvizsgálatban. A véleményező jóváhagyhatja vagy megtagadhatja a teljes csoport hozzáférését a szerepkörhöz. A megtagadott csoportok a felülvizsgálati eredmények alkalmazásakor elveszítik a szerepkörhöz való hozzárendelésüket.

• Az Azure-erőforrásszerepkörök esetében bármely biztonsági csoport hozzárendelhető a szerepkörhöz. Amikor felülvizsgálat jön létre egy Azure-erőforrásszerepkörön egy hozzárendelt biztonsági csoporttal, a biztonsági csoporthoz rendelt felhasználók teljes mértékben ki lesznek bontva, és megjelennek a szerepkör felülvizsgálójának. Ha egy véleményező tagadja a szerepkörhöz a biztonsági csoporton keresztül hozzárendelt felhasználót, a rendszer nem távolítja el a felhasználót a csoportból. Ennek az az oka, hogy egy csoportot más Azure-beli vagy nem Azure-beli erőforrásokkal osztottak meg. Ezért a megtagadott hozzáférésből eredő módosításokat a rendszergazdának kell elvégeznie.

Feljegyzés

Egy biztonsági csoporthoz más csoportok is hozzárendelhetők. Ebben az esetben csak a szerepkörhöz rendelt biztonsági csoporthoz közvetlenül hozzárendelt felhasználók jelennek meg a szerepkör áttekintésében.

A hozzáférési felülvizsgálat frissítése

Egy vagy több hozzáférési felülvizsgálat elindítása után érdemes lehet módosítani vagy frissíteni a meglévő hozzáférési felülvizsgálatok beállításait. Az alábbiakban néhány gyakori forgatókönyvet érdemes megfontolni:

  • Véleményezők hozzáadása és eltávolítása – A hozzáférési felülvizsgálatok frissítésekor dönthet úgy, hogy az elsődleges véleményező mellett tartalék felülvizsgálót is hozzáad. A hozzáférési felülvizsgálat frissítésekor előfordulhat, hogy az elsődleges véleményezők el lesznek távolítva. A tartalék véleményezők azonban nem tervezhetőek.

    Feljegyzés

    Tartalék véleményezők csak akkor vehetők fel, ha a véleményező típusa kezelő. Az elsődleges véleményezők akkor vehetők fel, ha a véleményező típusa ki van választva.

  • Emlékeztető a véleményezőknek – A hozzáférési felülvizsgálatok frissítésekor engedélyezheti az emlékeztető beállítást a Speciális Gépház területen. Ha engedélyezve van, a felhasználók e-mailben értesítést kapnak a felülvizsgálati időszak közepén, függetlenül attól, hogy befejezték-e a felülvizsgálatot.

    Képernyőkép az emlékeztető beállításról a hozzáférési felülvizsgálatok beállításai alatt.

  • A beállítások frissítése – Ha a hozzáférési felülvizsgálat ismétlődő, az "Aktuális" és az "Adatsor" területen külön beállítások találhatók. Az "Aktuális" alatt lévő beállítások frissítése csak az aktuális hozzáférési felülvizsgálat módosításait fogja alkalmazni, míg a "Sorozat" beállítás frissítése frissíti a beállítást az összes jövőbeli ismétlődésnél.

    Képernyőkép a beállítások lapról a hozzáférési felülvizsgálatok alatt.

Következő lépések