Azure-erőforrás és Azure AD szerepkörök hozzáférési felülvizsgálatának létrehozása a PIM-ben

Idővel változik a jogosultsággal rendelkező Azure-erőforrásokhoz és Azure AD szerepkörökhöz való hozzáférés szükségessége az alkalmazottak számára. Az elavult szerepkör-hozzárendelésekkel járó kockázatok csökkentése érdekében ajánlott rendszeresen felülvizsgálni a hozzáféréseket. Az Azure Active Directory (Azure AD) Privileged Identity Management (PIM) használatával hozzáférési felülvizsgálatokat hozhat létre az Azure-erőforrásokhoz és Azure AD szerepkörökhöz való emelt szintű hozzáféréshez. Ismétlődő hozzáférési felülvizsgálatokat is konfigurálhat, amelyek automatikusan megtörténnek. Ez a cikk egy vagy több hozzáférési felülvizsgálat létrehozását ismerteti.

Előfeltételek

A funkció használatához Prémium P2 szintű Azure AD licencek szükségesek. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az Azure AD általánosan elérhető szolgáltatásait összehasonlító cikket. A PIM-licencekkel kapcsolatos további információkért lásd: Licenckövetelmények a Privileged Identity Management használatához.

Az Azure-erőforrások hozzáférési felülvizsgálatának létrehozásához tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkörrel kell rendelkeznie az Azure-erőforrásokhoz. Ha hozzáférési felülvizsgálatokat szeretne létrehozni Azure AD szerepkörökhöz, hozzá kell rendelnie a globális rendszergazdához vagy a Kiemelt szerepkör-rendszergazda szerepkörhöz.

A szolgáltatásnevek hozzáférési felülvizsgálataihoz egy Entra Workload Identityes Premium-csomagra van szükség.

  • Számításifeladat-identitások Prémium szintű licencelés: A licenceket a Azure Portal Workload Identityes paneljén tekintheti meg és szerezheti be.

Hozzáférési felülvizsgálatok létrehozása

  1. Jelentkezzen be Azure Portal olyan felhasználóként, aki az előfeltételként megadott szerepkör(ek) egyikéhez van hozzárendelve.

  2. Válassza az Identitáskezelés lehetőséget.

  3. A Azure AD szerepköröknél válassza Azure AD szerepköröketa Privileged Identity Management területen. Azure-erőforrások esetén válassza az Azure-erőforrásoklehetőséget a Privileged Identity Management alatt.

    Válassza az Identitáskezelés lehetőséget a Azure Portal képernyőképen.

  4. A Azure AD szerepkörök esetében válassza ismét Azure AD szerepköröket a Kezelés területen. Azure-erőforrások esetén válassza ki a kezelni kívánt előfizetést.

  5. A Kezelés területen válassza a Hozzáférési felülvizsgálatok, majd az Új lehetőséget egy új hozzáférési felülvizsgálat létrehozásához.

    Azure AD szerepkörök – Hozzáférési felülvizsgálatok listája, amelyen az összes felülvizsgálat állapota képernyőkép látható.

  6. Nevezze el a hozzáférési felülvizsgálatot. Igény szerint adjon leírást az áttekintésnek. A név és a leírás megjelenik a véleményezők számára.

    Hozzáférési felülvizsgálat létrehozása – Név és leírás áttekintése képernyőkép.

  7. Állítsa be a kezdési dátumot. Alapértelmezés szerint a hozzáférési felülvizsgálat egyszer történik, a létrehozáskor kezdődik, és egy hónap múlva ér véget. A kezdési és a befejezési dátumot módosíthatja úgy, hogy a hozzáférési felülvizsgálat a jövőben kezdődjön, és a kívánt számú napig tartson.

    A kezdési dátum, a gyakoriság, az időtartam, a befejezés, az időpontok száma és a záró dátum képernyőképe.

  8. Ha ismétlődővé szeretné tenni a hozzáférési felülvizsgálatot, módosítsa a Gyakoriság beállítást Egyszeri,Havi, Negyedéves, Éves vagy Féléves értékre. Az Időtartam csúszkával vagy szövegmezőben megadhatja, hogy az ismétlődő sorozat egyes felülvizsgálatai hány napig legyenek megnyitva a véleményezőktől érkező bemenetek számára. A havi felülvizsgálatok maximális időtartama például 27 nap, hogy elkerülje az egymást átfedő felülvizsgálatokat.

  9. A Befejezés beállítással megadhatja, hogy miként fejezze be az ismétlődő hozzáférési felülvizsgálati sorozatot. A sorozat háromféleképpen végződhet: folyamatosan fut, és határozatlan ideig, egy adott dátumig vagy meghatározott számú előfordulás befejezése után kezdi meg a felülvizsgálatokat. Ön vagy egy másik rendszergazda, aki kezelheti a felülvizsgálatokat, a létrehozás után leállíthatja az adatsort úgy, hogy módosítja a dátumot a Beállításokban, hogy az ezen a napon ér véget.

  10. A Felhasználók hatóköre szakaszban válassza ki a felülvizsgálat hatókörét. Azure AD szerepkörök esetében az első hatókör beállítás a Felhasználók és csoportok. A közvetlenül hozzárendelt felhasználók és szerepkörhöz hozzárendelhető csoportok is szerepelni fognak ebben a kijelölésben. Az Azure-erőforrásszerepkörök esetében az első hatókör a Felhasználók lesz. Az Azure-erőforrás-szerepkörökhöz hozzárendelt csoportok kibontva jelennek meg a tranzitív felhasználói hozzárendelések a felülvizsgálatban ezzel a kijelöléssel. A Szolgáltatásnevek lehetőséget is választhatja az Azure-erőforráshoz vagy Azure AD szerepkörhöz közvetlen hozzáféréssel rendelkező számítógépfiókok áttekintéséhez.

    A felhasználók hatóköre a képernyőkép szerepkör-tagságának áttekintéséhez.

  11. Vagy létrehozhat hozzáférési felülvizsgálatokat csak inaktív felhasználók számára (előzetes verzió). A Felhasználók hatóköre szakaszban állítsa az Inaktív felhasználók (bérlői szinten) beállítást csaktrue (igaz) értékre. Ha a kapcsoló igaz értékre van állítva, a felülvizsgálat hatóköre csak az inaktív felhasználókra fog összpontosítani. Ezután adja meg az Inaktív napok elemet, és a napok száma legfeljebb 730 nap (két év) lehet. A megadott számú napig inaktív felhasználók lesznek az egyetlen felhasználók a felülvizsgálatban.

  12. A Szerepkörtagság áttekintése területen válassza ki az áttekintendő kiemelt Azure-erőforrást vagy Azure AD szerepköröket.

    Megjegyzés

    Ha egynél több szerepkört választ, több hozzáférési felülvizsgálat jön létre. Ha például öt szerepkört választ ki, öt külön hozzáférési felülvizsgálat jön létre.

    Szerepkörtagságok áttekintése képernyőkép.

  13. A hozzárendelési típusban a felülvizsgálat hatókörét az alapján határozza meg, hogy a rendszerbiztonsági tag hogyan lett hozzárendelve a szerepkörhöz. Csak a jogosult hozzárendelések kiválasztásával tekintse át a jogosult hozzárendeléseket (függetlenül attól, hogy a felülvizsgálat létrehozásakor milyen aktiválási állapotban van), vagy az aktív hozzárendeléseket csak az aktív hozzárendelések áttekintéséhez. Válassza ki az összes aktív és jogosult hozzárendelést az összes hozzárendelés típustól függetlenül történő áttekintéséhez.

    A feladattípusok véleményezőinek listája képernyőkép.

  14. A Véleményezők szakaszban válasszon ki egy vagy több embert az összes felhasználó áttekintéséhez. Választhatja azt is, hogy a tagok felülvizsgálják a saját hozzáférésüket.

    A kijelölt felhasználók vagy tagok véleményezőinek listája (önálló)

    • Kijelölt felhasználók – Ezzel a beállítással kijelölhet egy adott felhasználót a felülvizsgálat befejezéséhez. Ez a lehetőség a felülvizsgálat hatókörétől függetlenül elérhető, és a kiválasztott felülvizsgálók áttekinthetik a felhasználókat, csoportokat és szolgáltatásneveket.
    • Tagok (önálló) – Ezzel a beállítással a felhasználók áttekinthetik saját szerepkör-hozzárendeléseiket. Ez a lehetőség csak akkor érhető el, ha a felülvizsgálat hatóköre felhasználókra és csoportokra vagy felhasználókra terjed ki. Azure AD szerepkörök esetében a szerepkörhöz hozzárendelhető csoportok nem vesznek részt a felülvizsgálatban, ha ez a lehetőség van kiválasztva.
    • Felettes – Ezzel a beállítással kérje meg a felhasználó felettesét, hogy tekintse át a szerepkör-hozzárendelését. Ez a lehetőség csak akkor érhető el, ha a felülvizsgálat hatóköre felhasználókra és csoportokra vagy felhasználókra terjed ki. A Kezelő kiválasztásakor lehetősége van tartalék felülvizsgáló megadására is. A tartalék felülvizsgálóknak akkor kell felülvizsgálnia egy felhasználót, ha a felhasználónak nincs megadva felettese a címtárban. Azure AD szerepkörök esetében a szerepkörhöz hozzárendelhető csoportokat a tartalék felülvizsgáló ellenőrzi, ha van kiválasztva.

A befejezési beállítások

  1. Ha meg szeretné adni, hogy mi történjen a felülvizsgálat befejezése után, bontsa ki a Befejezéskor beállítások szakaszt.

    A befejezéskor automatikusan alkalmazni kell a beállításokat, és tekintse át a nem válaszoló képernyőképet.

  2. Ha automatikusan el szeretné távolítani a hozzáférést a megtagadott felhasználók számára, állítsa az Eredmények automatikus alkalmazása erőforrásrabeállítást Enable (Engedélyezés) értékre. Ha a felülvizsgálat befejezésekor manuálisan szeretné alkalmazni az eredményeket, állítsa a kapcsolót Letiltás értékre.

  3. Az If reviewer not respond (Ha a véleményező nem válaszol) listában megadhatja, hogy mi történjen az olyan felhasználók esetében, amelyeket a felülvizsgáló nem értékelt a felülvizsgálati időszakon belül. Ez a beállítás nem érinti a véleményezők által áttekintett felhasználókat.

    • Nincs változás – Hagyja változatlanul a felhasználó hozzáférését
    • Hozzáférés eltávolítása – Felhasználói hozzáférés eltávolítása
    • Hozzáférés jóváhagyása – Felhasználó hozzáférésének jóváhagyása
    • Javaslatok elfogadása – A rendszer ajánlása a felhasználó folyamatos hozzáférésének megtagadására vagy jóváhagyására
  4. A Művelet az elutasított vendégfelhasználók listájára való alkalmazásával adja meg, hogy mi történjen a megtagadott vendégfelhasználók esetében. Ez a beállítás jelenleg nem szerkeszthető Azure AD- és Azure-erőforrásszerepkör-felülvizsgálatokhoz; a vendégfelhasználók, mint minden felhasználó, mindig elveszítik az erőforráshoz való hozzáférést, ha megtagadják.

    Befejezéskor beállítások – Az elutasított vendégfelhasználók képernyőképén alkalmazandó művelet.

  5. Értesítéseket küldhet további felhasználóknak vagy csoportoknak, hogy megkapják a felülvizsgálat befejezésének frissítéseit. Ez a funkció lehetővé teszi, hogy a felülvizsgálat létrehozóján kívül más érdekelt felek is frissítve legyenek a felülvizsgálat előrehaladásáról. A funkció használatához válassza a Felhasználó(ok) vagy csoport(ok) kiválasztása lehetőséget, és adjon hozzá egy további felhasználót vagy csoportot, ha meg szeretné kapni a befejezés állapotát.

    Befejezési beállítások – További felhasználók hozzáadása az értesítések fogadásához képernyőkép.

Speciális beállítások

  1. További beállítások megadásához bontsa ki a Speciális beállítások szakaszt.

    A javaslatok megjelenítésének speciális beállításai, a jóváhagyás okának megkövetelése, az e-mail-értesítések és az emlékeztetők képernyőképe.

  2. Állítsa a Javaslatok megjelenítésebeállítást Enable (Engedélyezés ) értékre, hogy a felülvizsgálók megjeleníthessék a rendszerjavaslatokat a felhasználó hozzáférési adatai alapján. A javaslatok egy 30 napos időközön alapulnak, ahol az elmúlt 30 napban bejelentkezett felhasználók számára javasolt a hozzáférés, míg azok a felhasználók, akik nem javasolták a hozzáférés megtagadását. Ezek a bejelentkezések függetlenül attól, hogy interaktívak voltak-e. A felhasználó utolsó bejelentkezése is megjelenik a javaslattal együtt.

  3. Ha engedélyezni szeretné, hogy a felülvizsgálónak meg kell adnia a jóváhagyás okát, állítsa az Ok megkövetelése jóváhagyásrabeállítást .

  4. A Levelezési értesítésekbeállításnál engedélyezze, hogy Azure AD e-mail-értesítéseket küldjön a felülvizsgálóknak a hozzáférési felülvizsgálat indításakor, valamint a rendszergazdáknak, amikor a felülvizsgálat befejeződik.

  5. Az Emlékeztetőkbeállítást Engedélyezze, hogy Azure AD emlékeztetőket küldjön a folyamatban lévő hozzáférési felülvizsgálatokról azoknak a felülvizsgálóknak, akik még nem fejezték be a felülvizsgálatot.

  6. A véleményezőknek küldött e-mail tartalma automatikusan létrejön a felülvizsgálat részletei alapján, például a véleményezés neve, az erőforrás neve, a határidő stb. alapján. Ha további információk, például további utasítások vagy kapcsolattartási adatok közlésére van szüksége, ezeket a részleteket a További tartalom véleményezőknek e-mailben adhatja meg, amelyeket a hozzárendelt véleményezőknek küldött meghívó és emlékeztető e-mailek tartalmaznak. Az adatok az alábbi kiemelt szakaszban fognak megjelenni.

    A véleményezőknek küldött e-mail tartalma kiemelésekkel

A hozzáférési felülvizsgálat kezelése

A folyamat előrehaladását nyomon követheti, amint a felülvizsgálók befejezik a véleményüket a hozzáférési felülvizsgálat Áttekintés lapján. A címtárban a felülvizsgálat befejezéséig nem változnak hozzáférési jogosultságok. Az alábbi képernyőképen az Azure-erőforrások és Azure AD szerepkörök hozzáférési felülvizsgálatainak áttekintő oldala látható.

Az Access-felülvizsgálatok áttekintő oldala, amelyen a Azure AD szerepkörökhöz tartozó hozzáférési felülvizsgálat részletei láthatók képernyőképen.

Ha ez egy egyszeri felülvizsgálat, akkor a hozzáférési felülvizsgálati időszak lejárta után, vagy a rendszergazda leállítja a hozzáférési felülvizsgálatot, kövesse az Azure-erőforrás és Azure AD szerepkörök hozzáférési felülvizsgálatának befejezése című cikk lépéseit az eredmények megtekintéséhez és alkalmazásához.

Hozzáférési felülvizsgálatok sorozatának kezeléséhez nyissa meg a hozzáférési felülvizsgálatot, és keresse meg a közelgő eseményeket az Ütemezett felülvizsgálatokban, és szerkessze a befejezési dátumot, vagy ennek megfelelően vegye fel/távolítsa el a véleményezőket.

A Befejezéskor beállítások területen megadott beállítások alapján az automatikus alkalmazás a felülvizsgálat záró dátuma után vagy a felülvizsgálat manuális leállítása után lesz végrehajtva. A felülvizsgálat állapota Befejezve állapotról olyan köztes állapotokra változik, mint az Alkalmaz , végül pedig az Alkalmazott állapot. A megtagadott felhasználók (ha vannak ilyenek) néhány percen belül el lesznek távolítva a szerepkörökből.

A Azure AD szerepkörökhöz és az Azure-erőforrásszerepkörökhöz rendelt csoportok hatása a hozzáférési felülvizsgálatokban

Azure AD szerepkörök esetében szerepkörhöz hozzárendelhető csoportok rendelhetők hozzá szerepkörhöz szerepkörhöz hozzárendelhető csoportok használatával. Amikor felülvizsgálatot hoz létre egy Azure AD szerepkörhöz hozzárendelhető csoportokkal, a csoport neve a csoporttagság kibontása nélkül jelenik meg a felülvizsgálatban. A felülvizsgáló jóváhagyhatja vagy megtagadhatja a teljes csoport hozzáférését a szerepkörhöz. A megtagadott csoportok a felülvizsgálat eredményeinek alkalmazásakor elveszítik a szerepkörhöz való hozzárendelésüket.

Az Azure-erőforrásszerepkörök esetében bármely biztonsági csoport hozzárendelhető a szerepkörhöz. Amikor felülvizsgálatot hoz létre egy Azure-erőforrásszerepkörön egy hozzárendelt biztonsági csoporttal, a biztonsági csoporthoz rendelt felhasználók teljes mértékben ki lesznek bontva, és megjelennek a szerepkör felülvizsgálója számára. Ha egy felülvizsgáló megtagad egy olyan felhasználót, aki a biztonsági csoporton keresztül lett hozzárendelve a szerepkörhöz, a felhasználó nem lesz eltávolítva a csoportból, ezért a megtagadási eredmény alkalmazása sikertelen lesz.

Megjegyzés

Egy biztonsági csoporthoz más csoportok is hozzárendelhetők. Ebben az esetben csak a szerepkörhöz hozzárendelt biztonsági csoporthoz közvetlenül hozzárendelt felhasználók jelennek meg a szerepkör áttekintésében.

A hozzáférési felülvizsgálat frissítése

Egy vagy több hozzáférési felülvizsgálat elindítása után érdemes lehet módosítani vagy frissíteni a meglévő hozzáférési felülvizsgálatok beállításait. Íme néhány gyakori forgatókönyv, amelyet érdemes megfontolnia:

  • Véleményezők hozzáadása és eltávolítása – A hozzáférési felülvizsgálatok frissítésekor dönthet úgy, hogy az elsődleges felülvizsgáló mellett egy tartalék felülvizsgálót is hozzáad. A hozzáférési felülvizsgálat frissítésekor előfordulhat, hogy az elsődleges felülvizsgálók el lesznek távolítva. A tartalék felülvizsgálók azonban nem cserélhetők ki terv szerint.

    Megjegyzés

    Tartalék felülvizsgálók csak akkor vehetők fel, ha a véleményező típusa felettes. Az elsődleges véleményezők akkor vehetők fel, ha a véleményező típusa ki van választva.

  • Véleményezők emlékeztetése – A hozzáférési felülvizsgálatok frissítésekor engedélyezheti az emlékeztető beállítást a Speciális beállítások területen. Ha engedélyezve van, a felhasználók e-mailben értesítést kapnak a felülvizsgálati időszak közepén, függetlenül attól, hogy befejezték-e a felülvizsgálatot.

    Képernyőkép az emlékeztető beállításról a hozzáférési felülvizsgálatok beállításai alatt.

  • A beállítások frissítése – Ha egy hozzáférési felülvizsgálat ismétlődő, az "Aktuális" és az "Adatsor" területen külön beállítások találhatók. Az "Aktuális" területen lévő beállítások frissítése csak az aktuális hozzáférési felülvizsgálat módosításait fogja alkalmazni, miközben az "Adatsor" területen lévő beállítások frissítése frissíti az összes jövőbeli ismétlődés beállítását.

    Képernyőkép a hozzáférési felülvizsgálatok alatt található beállítások lapról.

Következő lépések