Azure-erőforrás és Azure AD szerepkörök hozzáférési felülvizsgálatának létrehozása a PIM-ben

A kiemelt Azure-erőforrásokhoz és Azure AD szerepkörökhöz való hozzáférés szükségessége az alkalmazottak számára idővel változik. Az elavult szerepkör-hozzárendelésekkel járó kockázatok csökkentése érdekében ajánlott rendszeresen felülvizsgálni a hozzáféréseket. Az Azure Active Directory (Azure AD) Privileged Identity Management (PIM) használatával hozzáférési felülvizsgálatokat hozhat létre az Azure-erőforrásokhoz és Azure AD szerepkörökhöz való emelt szintű hozzáféréshez. Ismétlődő hozzáférési felülvizsgálatokat is konfigurálhat, amelyek automatikusan megtörténnek. Ez a cikk egy vagy több hozzáférési felülvizsgálat létrehozását ismerteti.

Előfeltételek

A funkció használatához Prémium P2 szintű Azure AD licencek szükségesek. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az Azure AD általánosan elérhető szolgáltatásait összehasonlító cikket. A PIM-licencekkel kapcsolatos további információkért lásd: Licenckövetelmények a Privileged Identity Management használatához.

Ha hozzáférési felülvizsgálatokat szeretne létrehozni az Azure-erőforrásokhoz, hozzá kell rendelnie az Azure-erőforrások tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepköréhez. Ha hozzáférési felülvizsgálatokat szeretne létrehozni Azure AD szerepkörökhöz, hozzá kell rendelnie a globális rendszergazdához vagy a Kiemelt szerepkör-rendszergazda szerepkörhöz.

A szolgáltatásnevek hozzáférési felülvizsgálataihoz az Prémium P2 szintű Azure AD licenc mellett egy Entra Workload Identityes Premium csomagra is szükség van.

Hozzáférési felülvizsgálatok létrehozása

  1. Jelentkezzen be Azure Portal olyan felhasználóként, aki az előfeltétel-szerepkör(ek) egyikéhez van hozzárendelve.

  2. Válassza az Identitáskezelés lehetőséget.

  3. Azure AD szerepkörök esetében válassza Azure AD szerepköröketa Privileged Identity Management területen. Azure-erőforrások esetén válassza az Azure-erőforrásokelemet a Privileged Identity Management alatt.

    Válassza az Identitáskezelés lehetőséget a Azure Portal képernyőképen.

  4. Azure AD szerepkörök esetében válassza újra a Azure AD szerepköröket a Kezelés területen. Azure-erőforrások esetén válassza ki a kezelni kívánt előfizetést.

  5. A Kezelés területen válassza a Hozzáférési felülvizsgálatok, majd az Új lehetőséget egy új hozzáférési felülvizsgálat létrehozásához.

    Azure AD szerepkörök – Hozzáférési felülvizsgálatok listája az összes véleményezés állapotát megjelenítő képernyőképen.

  6. Nevezze el a hozzáférési felülvizsgálatot. Ha szeretné, adjon leírást az áttekintésnek. A név és a leírás megjelenik a véleményezők számára.

    Hozzáférési felülvizsgálat létrehozása – A név és a leírás áttekintése képernyőkép.

  7. Adja meg a kezdési dátumot. Alapértelmezés szerint a hozzáférési felülvizsgálat egyszer történik, a létrehozáskor kezdődik, és egy hónap múlva fejeződik be. Módosíthatja a kezdési és a befejezési dátumot úgy, hogy a jövőben és az utolsó napon is legyen hozzáférési felülvizsgálat.

    A kezdés dátuma, gyakorisága, időtartama, vége, száma és a befejezési dátum képernyőképe.

  8. Ha ismétlődővé szeretné tenni a hozzáférési felülvizsgálatot, módosítsa a Gyakoriság beállítást egy alkalommalheti, havi, negyedéves, éves vagy féléves értékre. Az Időtartam csúszkával vagy szövegmezőben megadhatja, hogy az ismétlődő sorozatok egyes felülvizsgálatai hány napig lesznek nyitva a véleményezőktől érkező bemenetek számára. Ha például a havi felülvizsgálat maximális időtartama 27 nap, az egymást átfedő felülvizsgálatok elkerülése érdekében.

  9. A Befejezés beállítással megadhatja, hogy miként fejezze be az ismétlődő hozzáférés-felülvizsgálati sorozatot. A sorozat háromféleképpen fejeződhet be: folyamatosan fut, hogy határozatlan ideig, egy adott dátumig vagy meghatározott számú előfordulás befejezése után megkezdje a felülvizsgálatokat. Ön vagy egy másik rendszergazda, aki felügyelheti az értékeléseket, a létrehozás után leállítja a sorozatot a Beállításokban szereplő dátum módosításával, hogy az ezen a napon ér véget.

  10. A Felhasználók hatóköre szakaszban válassza ki a felülvizsgálat hatókörét. Azure AD szerepkörök esetében az első hatókör a Felhasználók és csoportok. A közvetlenül hozzárendelt felhasználók és szerepkörhöz hozzárendelhető csoportok is szerepelni fognak ebben a kijelölésben. Az Azure-erőforrásszerepkörök esetében az első hatókör a Felhasználók lesz. Az Azure-erőforrás-szerepkörökhöz hozzárendelt csoportok kibontva jelennek meg a felülvizsgálatban a tranzitív felhasználói hozzárendelések megjelenítéséhez ezzel a kijelöléssel. A Szolgáltatásnevek lehetőséget is választhatja az Azure-erőforráshoz vagy Azure AD szerepkörhöz közvetlen hozzáféréssel rendelkező számítógépfiókok áttekintéséhez.

    A felhasználók hatóköre a képernyőkép szerepkör-tagságának áttekintéséhez.

  11. Vagy létrehozhat hozzáférési felülvizsgálatokat csak inaktív felhasználók számára (előzetes verzió). A Felhasználók hatóköre szakaszban állítsa az Inaktív felhasználókat (bérlői szinten) csakigaz értékre. Ha a kapcsoló igaz értékre van állítva, a felülvizsgálat hatóköre csak az inaktív felhasználókra fog összpontosítani. Ezután adja meg az Inaktív napok 730 napig (két évig) inaktív napok számát. A megadott számú napig inaktív felhasználók lesznek az egyetlen felhasználók a felülvizsgálatban.

  12. A Szerepkörtagság áttekintése területen válassza ki a kiemelt Azure-erőforrást vagy Azure AD áttekintendő szerepköröket.

    Megjegyzés

    Ha egynél több szerepkört választ, több hozzáférési felülvizsgálatot is létre fog hozni. Ha például öt szerepkört választ ki, öt külön hozzáférési felülvizsgálatot hoz létre.

    Tekintse át a szerepkör-tagságok képernyőképét.

  13. A hozzárendelési típusban hatókört kell adni a felülvizsgálatnak a szerepkörhöz való hozzárendelésének módjával. Csak a jogosult hozzárendelések kiválasztásával tekintheti át a jogosult hozzárendeléseket (függetlenül attól, hogy az aktiválási állapot a felülvizsgálat létrehozásakor történik-e) vagy az aktív hozzárendeléseket csak az aktív hozzárendelések áttekintéséhez. Válassza ki az összes aktív és jogosult hozzárendelést az összes hozzárendelés típustól függetlenül történő áttekintéséhez.

    A feladattípusok véleményezőinek listája képernyőkép.

  14. A Véleményezők szakaszban válasszon ki egy vagy több embert az összes felhasználó áttekintéséhez. Választhatja azt is, hogy a tagok áttekintsék a saját hozzáférésüket.

    A kiválasztott felhasználók vagy tagok véleményezőinek listája (saját)

    • Kijelölt felhasználók – Ezzel a beállítással kijelölhet egy adott felhasználót a felülvizsgálat befejezéséhez. Ez a beállítás a felülvizsgálat hatókörétől függetlenül elérhető, és a kiválasztott véleményezők áttekinthetik a felhasználókat, csoportokat és szolgáltatásneveket.
    • Tagok (saját) – Ezzel a beállítással a felhasználók áttekinthetik saját szerepkör-hozzárendeléseiket. Ez a beállítás csak akkor érhető el, ha a felülvizsgálat hatóköre felhasználókra és csoportokra vagy felhasználókra terjed ki. Azure AD szerepkörök esetében a szerepkörhöz hozzárendelhető csoportok nem lesznek a felülvizsgálat részét képezik, ha ez a beállítás be van jelölve.
    • Manager – Ezzel a beállítással a felhasználó felettese áttekintheti a szerepkör-hozzárendelést. Ez a beállítás csak akkor érhető el, ha a felülvizsgálat hatóköre felhasználókra és csoportokra vagy felhasználókra terjed ki. A Kezelő kiválasztásakor lehetősége lesz tartalék felülvizsgáló megadására is. A tartalék felülvizsgálókat a rendszer arra kéri, hogy tekintse át a felhasználót, ha a felhasználónak nincs megadva felettese a címtárban. Azure AD szerepkörök esetében a szerepkörhöz hozzárendelhető csoportokat a tartalék felülvizsgáló ellenőrzi, ha van kiválasztva.

A befejezési beállítások

  1. Ha meg szeretné adni, hogy mi történjen a felülvizsgálat befejezése után, bontsa ki a Befejezéskor beállítások szakaszt.

    A befejezéskor automatikusan alkalmazni kell a beállításokat, és át kell tekinteni a nem válaszoló képernyőképet.

  2. Ha automatikusan el szeretné távolítani a hozzáférést a megtagadott felhasználók számára, állítsa Az eredmények automatikus alkalmazása az erőforrásra beállítást Engedélyezés értékre. Ha manuálisan szeretné alkalmazni az eredményeket a felülvizsgálat befejezésekor, állítsa a kapcsolót Letiltás értékre.

  3. Az If reviewer not respond list (Ha a véleményező nem válaszol) listával megadhatja, hogy mi történik azoknak a felhasználóknak, amelyeket a felülvizsgáló nem értékel a felülvizsgálati időszakon belül. Ez a beállítás nem érinti a véleményezők által áttekintett felhasználókat.

    • Nincs változás – Hagyja változatlanul a felhasználó hozzáférését
    • Hozzáférés eltávolítása – Felhasználó hozzáférésének eltávolítása
    • Hozzáférés jóváhagyása – Felhasználó hozzáférésének jóváhagyása
    • Javaslatok elfogadása – A rendszer ajánlása a felhasználó folyamatos hozzáférésének megtagadására vagy jóváhagyására
  4. A Művelet a megtagadott vendégfelhasználók listájára való alkalmazásával megadhatja, hogy mi történjen a megtagadott vendégfelhasználók esetében. Ez a beállítás jelenleg nem szerkeszthető az Azure AD és az Azure-erőforrásszerepkörök áttekintéséhez; a vendégfelhasználók, mint minden felhasználó, mindig elveszítik az erőforráshoz való hozzáférést, ha megtagadják.

    Befejezéskor beállítások – A megtagadott vendégfelhasználók képernyőképén alkalmazandó művelet.

  5. Értesítéseket küldhet további felhasználóknak vagy csoportoknak, hogy megkapják a felülvizsgálat befejező frissítéseit. Ez a funkció lehetővé teszi, hogy a felülvizsgálat létrehozóján kívül más érdekelt felek is frissítve legyenek a felülvizsgálat előrehaladásáról. A funkció használatához válassza a Felhasználó(ok) vagy csoport(ok) kiválasztása lehetőséget, és adjon hozzá egy további felhasználót vagy csoportot, ha meg szeretné kapni a befejezés állapotát.

    Befejezési beállítások – További felhasználók hozzáadása értesítések fogadásához képernyőkép.

Speciális beállítások

  1. További beállítások megadásához bontsa ki a Speciális beállítások szakaszt.

    Speciális beállítások a javaslatok megjelenítéséhez, a jóváhagyás okának megkövetelése, az e-mail értesítések és az emlékeztetők képernyőképe.

  2. Állítsa a Javaslatok megjelenítésebeállítást Engedélyezés értékre , hogy a felülvizsgálók megjeleníthessék a rendszerjavaslatokat a felhasználó hozzáférési adatai alapján. A javaslatok egy 30 napos intervallumon alapulnak, amelyben az elmúlt 30 napban bejelentkezett felhasználók számára ajánlott a hozzáférés, míg azok a felhasználók, akik nem ajánlottak a hozzáférés megtagadása miatt. Ezek a bejelentkezések függetlenül attól, hogy interaktívak voltak-e. A felhasználó utolsó bejelentkezése is megjelenik a javaslattal együtt.

  3. Állítsa a Jóváhagyás okának megkövetelésebeállítást az Engedélyezés értékre , hogy a felülvizsgálónak meg kell adnia a jóváhagyás okát.

  4. A Levelezési értesítésekbeállításnál engedélyezze, hogy Azure AD e-mail-értesítéseket küldjön a felülvizsgálóknak a hozzáférési felülvizsgálat indításakor, valamint a rendszergazdáknak, amikor a felülvizsgálat befejeződik.

  5. Az Emlékeztetőkbeállítást Engedélyezze, hogy Azure AD emlékeztetőket küldjön a folyamatban lévő hozzáférési felülvizsgálatokról azoknak a felülvizsgálóknak, akik még nem fejezték be a felülvizsgálatot.

  6. A véleményezőknek küldött e-mail tartalma automatikusan létrejön a felülvizsgálat részletei alapján, például a véleményezés neve, az erőforrás neve, a határidő stb. alapján. Ha további információk, például további utasítások vagy kapcsolattartási adatok közlésére van szüksége, ezeket a részleteket a További tartalom véleményezőknek e-mailben adhatja meg, amelyeket a hozzárendelt véleményezőknek küldött meghívó és emlékeztető e-mailek tartalmaznak. Az adatok az alábbi kiemelt szakaszban fognak megjelenni.

    A véleményezőknek küldött e-mail tartalma kiemelésekkel

A hozzáférési felülvizsgálat kezelése

A folyamat előrehaladását nyomon követheti, amint a felülvizsgálók befejezik a véleményüket a hozzáférési felülvizsgálat Áttekintés lapján. A címtárban a felülvizsgálat befejezéséig nem változnak hozzáférési jogosultságok. Az alábbi képernyőképen az Azure-erőforrások és Azure AD szerepkörök hozzáférési felülvizsgálatainak áttekintő oldala látható.

Az Access-felülvizsgálatok áttekintő oldala, amelyen a Azure AD szerepkörökhöz tartozó hozzáférési felülvizsgálat részletei láthatók képernyőképen.

Ha ez egy egyszeri felülvizsgálat, akkor a hozzáférési felülvizsgálati időszak lejárta után, vagy a rendszergazda leállítja a hozzáférési felülvizsgálatot, kövesse az Azure-erőforrás és Azure AD szerepkörök hozzáférési felülvizsgálatának befejezése című cikk lépéseit az eredmények megtekintéséhez és alkalmazásához.

Hozzáférési felülvizsgálatok sorozatának kezeléséhez nyissa meg a hozzáférési felülvizsgálatot, és keresse meg a közelgő eseményeket az Ütemezett felülvizsgálatokban, és szerkessze a befejezési dátumot, vagy ennek megfelelően vegye fel/távolítsa el a véleményezőket.

A Befejezéskor beállítások területen megadott beállítások alapján az automatikus alkalmazás a felülvizsgálat záró dátuma után vagy a felülvizsgálat manuális leállítása után lesz végrehajtva. A felülvizsgálat állapota Befejezve állapotról olyan köztes állapotokra változik, mint az Alkalmaz , végül pedig az Alkalmazott állapot. A megtagadott felhasználók (ha vannak ilyenek) néhány percen belül el lesznek távolítva a szerepkörökből.

A Azure AD szerepkörökhöz és az Azure-erőforrásszerepkörökhöz rendelt csoportok hatása a hozzáférési felülvizsgálatokban

Azure AD szerepkörök esetében szerepkörhöz hozzárendelhető csoportok rendelhetők hozzá szerepkörhöz szerepkörhöz hozzárendelhető csoportok használatával. Amikor felülvizsgálatot hoz létre egy Azure AD szerepkörhöz hozzárendelhető csoportokkal, a csoport neve a csoporttagság kibontása nélkül jelenik meg a felülvizsgálatban. A felülvizsgáló jóváhagyhatja vagy megtagadhatja a teljes csoport hozzáférését a szerepkörhöz. A megtagadott csoportok a felülvizsgálat eredményeinek alkalmazásakor elveszítik a szerepkörhöz való hozzárendelésüket.

Az Azure-erőforrásszerepkörök esetében bármely biztonsági csoport hozzárendelhető a szerepkörhöz. Amikor felülvizsgálatot hoz létre egy Azure-erőforrásszerepkörön egy hozzárendelt biztonsági csoporttal, a biztonsági csoporthoz rendelt felhasználók teljes mértékben ki lesznek bontva, és megjelennek a szerepkör felülvizsgálója számára. Ha egy felülvizsgáló megtagad egy olyan felhasználót, aki a biztonsági csoporton keresztül lett hozzárendelve a szerepkörhöz, a felhasználó nem lesz eltávolítva a csoportból, ezért a megtagadási eredmény alkalmazása sikertelen lesz.

Megjegyzés

Egy biztonsági csoporthoz más csoportok is hozzárendelhetők. Ebben az esetben csak a szerepkörhöz hozzárendelt biztonsági csoporthoz közvetlenül hozzárendelt felhasználók jelennek meg a szerepkör áttekintésében.

A hozzáférési felülvizsgálat frissítése

Egy vagy több hozzáférési felülvizsgálat elindítása után érdemes lehet módosítani vagy frissíteni a meglévő hozzáférési felülvizsgálatok beállításait. Íme néhány gyakori forgatókönyv, amelyet érdemes megfontolnia:

  • Véleményezők hozzáadása és eltávolítása – A hozzáférési felülvizsgálatok frissítésekor dönthet úgy, hogy az elsődleges felülvizsgáló mellett egy tartalék felülvizsgálót is hozzáad. A hozzáférési felülvizsgálat frissítésekor előfordulhat, hogy az elsődleges felülvizsgálók el lesznek távolítva. A tartalék felülvizsgálók azonban nem cserélhetők ki terv szerint.

    Megjegyzés

    Tartalék felülvizsgálók csak akkor vehetők fel, ha a véleményező típusa felettes. Az elsődleges véleményezők akkor vehetők fel, ha a véleményező típusa ki van választva.

  • Véleményezők emlékeztetése – A hozzáférési felülvizsgálatok frissítésekor engedélyezheti az emlékeztető beállítást a Speciális beállítások területen. Ha engedélyezve van, a felhasználók e-mailben értesítést kapnak a felülvizsgálati időszak közepén, függetlenül attól, hogy befejezték-e a felülvizsgálatot.

    Képernyőkép az emlékeztető beállításról a hozzáférési felülvizsgálatok beállításai alatt.

  • A beállítások frissítése – Ha egy hozzáférési felülvizsgálat ismétlődő, az "Aktuális" és az "Adatsor" területen külön beállítások találhatók. Az "Aktuális" területen lévő beállítások frissítése csak az aktuális hozzáférési felülvizsgálat módosításait fogja alkalmazni, miközben az "Adatsor" területen lévő beállítások frissítése frissíti az összes jövőbeli ismétlődés beállítását.

    Képernyőkép a hozzáférési felülvizsgálatok alatt található beállítások lapról.

Következő lépések