Azure-erőforrások és Microsoft Entra-szerepkörök hozzáférési felülvizsgálatának létrehozása a PIM-ben
Az Azure-erőforrásokhoz és a Microsoft Entra-szerepkörökhöz való hozzáférés szükségességét a felhasználók idővel megváltoztatják. Az elavult szerepkör-hozzárendelésekkel járó kockázatok csökkentése érdekében ajánlott rendszeresen felülvizsgálni a hozzáféréseket. A Microsoft Entra Privileged Identity Management (PIM) használatával hozzáférési felülvizsgálatokat hozhat létre az Azure-erőforrásokhoz és a Microsoft Entra-szerepkörökhöz való kiemelt hozzáféréshez. Ismétlődő hozzáférési felülvizsgálatokat is konfigurálhat, amelyek automatikusan megtörténnek. Ez a cikk egy vagy több hozzáférési felülvizsgálat létrehozását ismerteti.
Előfeltételek
A Privileged Identity Management használatához licencek szükségesek. A licenceléssel kapcsolatos további információkért lásd Microsoft Entra ID-kezelés licencelési alapismereteket.
A PIM-licencekről további információt a Privileged Identity Management használatára vonatkozó licenckövetelményekben talál.
Az Azure-erőforrások hozzáférési felülvizsgálatainak létrehozásához hozzá kell rendelnie az Azure-erőforrások tulajdonosi vagy felhasználói hozzáférési Rendszergazda istrator szerepkörét. A Microsoft Entra-szerepkörök hozzáférési felülvizsgálatainak létrehozásához hozzá kell rendelnie a Globális Rendszergazda istrator vagy a Privileged Role Rendszergazda istrator szerepkörhöz.
Az Access-felülvizsgálatok szolgáltatásnevekhez való használatához a Microsoft Entra P2 azonosítójú vagy Microsoft Entra ID-kezelés licencen kívül egy Microsoft Entra Számítási feladat ID Prémium csomagra van szükség.
- Számítási feladatok identitásainak prémium szintű licencelése: A Licencek megtekintése és beszerzése a Számítási feladatok identitásai panelen , a Microsoft Entra felügyeleti központban lehetséges.
Feljegyzés
Az access-felülvizsgálatok az egyes felülvizsgálati példányok elején rögzítik a hozzáférés pillanatképét. A felülvizsgálati folyamat során végrehajtott módosítások a következő felülvizsgálati ciklusban is megjelennek. Lényegében az egyes új ismétlődések kezdetével a rendszer lekéri a felhasználókra, a vizsgált erőforrásokra és a megfelelő véleményezőkre vonatkozó vonatkozó adatokat.
Hozzáférési felülvizsgálatok létrehozása
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Jelentkezzen be a Microsoft Entra felügyeleti központba olyan felhasználóként, aki az előfeltétel-szerepkör(ek) egyikéhez van hozzárendelve.
Tallózással keresse meg a Privileged Identity Management identitásszabályozást>.
Microsoft Entra-szerepkörök esetén válassza a Microsoft Entra szerepköröket. Azure-erőforrások esetén válassza az Azure-erőforrásokat
Microsoft Entra-szerepkörök esetén válassza ismét a Microsoft Entra szerepköröket a Kezelés területen. Azure-erőforrások esetén válassza ki a kezelni kívánt előfizetést.
A Kezelés területen válassza az Access-felülvizsgálatok lehetőséget, majd az Új lehetőséget egy új hozzáférési felülvizsgálat létrehozásához.
Nevezze el a hozzáférési felülvizsgálatot. Igény szerint adjon leírást a véleményezésnek. A név és a leírás megjelenik a véleményezők számára.
Adja meg a kezdési dátumot. Alapértelmezés szerint egy hozzáférési felülvizsgálat egyszer történik, a létrehozáskor kezdődik, és egy hónap múlva fejeződik be. Módosíthatja a kezdési és a befejezési dátumot úgy, hogy a jövőben és a kívánt napokig legyen hozzáférési felülvizsgálat.
Ha ismétlődővé szeretné tenni a hozzáférési felülvizsgálatot, módosítsa a Gyakoriság beállítást heti, havi, negyedéves, éves vagy féléves értékre. Az Időtartam csúszkával vagy szövegmezővel meghatározhatja, hogy az ismétlődő sorozatok egyes felülvizsgálatai hány napig lesznek nyitva a véleményezőktől érkező bemenetekhez. A havi felülvizsgálatok maximális időtartama például 27 nap, így elkerülhetők az átfedések.
A Záró beállítással megadhatja, hogy miként fejezze be az ismétlődő hozzáférés-felülvizsgálati sorozatot. A sorozat háromféleképpen végződhet: folyamatosan fut, hogy határozatlan ideig, egy adott dátumig vagy meghatározott számú előfordulás befejezéséig megkezdje a felülvizsgálatokat. Ön vagy egy másik rendszergazda, aki kezelheti a véleményezéseket, a létrehozás után leállítja a sorozatot úgy, hogy módosítja a dátumot a Gépház, hogy az ezen a napon végződjön.
A Felhasználók hatóköre szakaszban válassza ki a felülvizsgálat hatókörét. A Microsoft Entra-szerepkörök esetében az első hatókör beállítás a Felhasználók és csoportok. A közvetlenül hozzárendelt felhasználók és szerepkör-hozzárendelhető csoportok is szerepelni fognak ebben a kijelölésben. Az Azure-erőforrásszerepkörök esetében az első hatókör a Felhasználók lesz. Az Azure-erőforrásszerepkörökhöz hozzárendelt csoportok kibontva jelennek meg az átvitt felhasználói hozzárendelések a felülvizsgálatban ezzel a kijelöléssel. Az Azure-erőforráshoz vagy a Microsoft Entra szerepkörhöz közvetlen hozzáféréssel rendelkező gépfiókok áttekintéséhez a Szolgáltatásnevek lehetőséget is választhatja.
Vagy csak inaktív felhasználók számára hozhat létre hozzáférési felülvizsgálatokat. A Felhasználók hatóköre szakaszban állítsa az inaktív felhasználókat (bérlői szinten) csak igaz értékre. Ha a kapcsoló igaz értékre van állítva, a felülvizsgálat hatóköre csak az inaktív felhasználókra fog összpontosítani. Ezután adja meg az inaktív napokat, és a napok száma legfeljebb 730 nap (két év) lehet. A megadott számú napon inaktív felhasználók lesznek az egyetlen felhasználók a felülvizsgálatban.
A Szerepkör-tagság áttekintése csoportban válassza ki a felülvizsgálandó kiemelt Azure-erőforrást vagy Microsoft Entra-szerepköröket.
Feljegyzés
Ha egynél több szerepkört választ, több hozzáférési felülvizsgálat is létrejön. Ha például öt szerepkört választ ki, öt külön hozzáférési felülvizsgálatot hoz létre.
Hozzárendelési típus esetén a felülvizsgálat hatóköre az egyszerű szerepkörhöz való hozzárendelés módjával. Csak jogosult hozzárendelések kiválasztásával tekintheti át a jogosult hozzárendeléseket (függetlenül attól, hogy az aktiválás állapota a felülvizsgálat létrehozásakor mikor történik), vagy az aktív hozzárendelések csak az aktív hozzárendelések áttekintéséhez. Válassza ki az összes aktív és jogosult hozzárendelést az összes hozzárendelés típustól függetlenül történő áttekintéséhez.
A Véleményezők szakaszban válasszon ki egy vagy több embert az összes felhasználó áttekintéséhez. Választhatja azt is, hogy a tagok áttekintsék a saját hozzáférésüket.
- Kijelölt felhasználók – Ezzel a beállítással kijelölhet egy adott felhasználót a véleményezés befejezéséhez. Ez a lehetőség a felülvizsgálat hatókörétől függetlenül elérhető, és a kiválasztott véleményezők áttekinthetik a felhasználókat, a csoportokat és a szolgáltatásneveket.
- Tagok (saját) – Ezzel a beállítással a felhasználók áttekinthetik saját szerepkör-hozzárendeléseiket. Ez a beállítás csak akkor érhető el, ha a felülvizsgálat hatóköre felhasználókra, csoportokra vagy felhasználókra terjed ki. A Microsoft Entra-szerepkörök esetében a szerepkör-hozzárendeléssel rendelkező csoportok nem lesznek részei a felülvizsgálatnak, ha ezt a lehetőséget választja.
- Manager – Ezzel a beállítással a felhasználó felettese áttekintheti a szerepkör-hozzárendelését. Ez a beállítás csak akkor érhető el, ha a felülvizsgálat hatóköre felhasználókra, csoportokra vagy felhasználókra terjed ki. A Kezelő kiválasztása után lehetősége lesz tartalék felülvizsgáló megadására is. A tartalék véleményezőknek akkor kell áttekintenie a felhasználót, ha a felhasználó nem rendelkezik a címtárban megadott kezelővel. A Microsoft Entra-szerepkörök esetében a szerepkörhöz hozzárendelhető csoportokat a tartalék felülvizsgáló ellenőrzi, ha van kiválasztva.
Befejezési beállítások
Ha meg szeretné adni, hogy mi történjen a felülvizsgálat befejezése után, bontsa ki a Befejezéskor beállítások szakaszt.
Ha automatikusan el szeretné távolítani a hozzáférést a megtagadott felhasználók számára, állítsa be az eredmények automatikus alkalmazását az erőforrásra az Engedélyezés értékre. Ha manuálisan szeretné alkalmazni az eredményeket a felülvizsgálat befejezésekor, állítsa a kapcsolót Letiltás értékre.
Ha a véleményező nem válaszol , adja meg, hogy mi történik azoknak a felhasználóknak, amelyeket a véleményező nem tekint át a felülvizsgálati időszakon belül. Ez a beállítás nem érinti a véleményezők által áttekintett felhasználókat.
- Nincs változás – A felhasználói hozzáférés változatlan marad
- Hozzáférés eltávolítása – Felhasználói hozzáférés eltávolítása
- Hozzáférés jóváhagyása – Felhasználói hozzáférés jóváhagyása
- Javaslatok elfogadása – A rendszer ajánlásának elfogadása a felhasználó folyamatos hozzáférésének megtagadására vagy jóváhagyására
A Művelet a megtagadott vendégfelhasználók listájára való alkalmazásával határozza meg, hogy mi történik a megtagadott vendégfelhasználók esetében. Ez a beállítás jelenleg nem szerkeszthető a Microsoft Entra-azonosító és az Azure-erőforrásszerepkör áttekintéséhez; a vendégfelhasználók, mint minden felhasználó, mindig elveszítik az erőforráshoz való hozzáférést, ha megtagadják.
Értesítéseket küldhet további felhasználóknak vagy csoportoknak, hogy megkapják a felülvizsgálat befejezésének frissítését. Ez a funkció lehetővé teszi, hogy a véleménykészítőn kívül más érdekelt felek is frissítve legyenek a felülvizsgálat előrehaladásáról. A funkció használatához válassza a Felhasználó(ok) vagy csoport(ok) kiválasztása lehetőséget, és adjon hozzá egy további felhasználót vagy csoportot, ha meg szeretné kapni a befejezés állapotát.
Speciális beállítások
További beállítások megadásához bontsa ki a Speciális beállítások szakaszt .
A Javaslatokmegjelenítése beállítással engedélyezheti a véleményezők számára a felhasználói hozzáférési adatokon alapuló rendszerjavaslatok megjelenítését. Javaslatok 30 napos intervallumon alapulnak. Az elmúlt 30 napban bejelentkezett felhasználók a hozzáférés ajánlott jóváhagyásával jelennek meg, míg azok a felhasználók, akik nem jelentkeztek be, ajánlott hozzáférés-megtagadással jelennek meg. Ezek a bejelentkezések függetlenül attól, hogy interaktívak voltak-e. A felhasználó utolsó bejelentkezése is megjelenik a javaslattal együtt.
A jóváhagyásokának megkövetelése beállításával engedélyezze , hogy a felülvizsgálónak meg kell adnia a jóváhagyás okát.
Állítsa az E-mail-értesítések beállítást Engedélyezés értékre. Ekkor a Microsoft Entra ID e-mail-értesítéseket küld a felülvizsgálók számára, amikor a hozzáférési felülvizsgálat megkezdődik, és a rendszergazdák számára, amikor a felülvizsgálat befejeződik.
Állítsa az Emlékeztetők beállítást Engedélyezés értékre. Ekkor a Microsoft Entra ID emlékeztetőt küld a folyamatban lévő hozzáférési felülvizsgálatokról azon felülvizsgálók számára, akik nem fejezték be a felülvizsgálatot.
A véleményezőknek küldött e-mail tartalma automatikusan létrejön a véleményezés részletei alapján, például a véleményezés neve, az erőforrás neve, a határidő stb. alapján. Ha további információk, például további utasítások vagy kapcsolattartási adatok közlésére van szüksége, ezeket a részleteket a véleményező e-mail kiegészítő tartalma tartalmazza, amely szerepelni fog a meghívóban és a hozzárendelt véleményezőknek küldött emlékeztető e-mailekben. Az adatok az alábbi kiemelt szakaszban fognak megjelenni.
A hozzáférési felülvizsgálat kezelése
Nyomon követheti az előrehaladást, ahogy a véleményezők befejezik a véleményüket a hozzáférési felülvizsgálat Áttekintés lapján. A címtárban a hozzáférési jogosultságok nem változnak a felülvizsgálat befejezéséig. Az alábbiakban egy képernyőkép látható az Azure-erőforrások és a Microsoft Entra-szerepkörök hozzáférési felülvizsgálatainak áttekintési oldalával.
Ha ez egy egyszeri felülvizsgálat, akkor a hozzáférési felülvizsgálati időszak leteltével vagy a rendszergazda leállítja a hozzáférési felülvizsgálatot, kövesse az Azure-erőforrások és a Microsoft Entra-szerepkörök hozzáférési felülvizsgálatának befejezése az eredmények megtekintéséhez és alkalmazásához című szakasz lépéseit.
Hozzáférési felülvizsgálatok sorozatának kezeléséhez keresse meg a hozzáférési felülvizsgálatot, és keresse meg a közelgő eseményeket az ütemezett felülvizsgálatokban, és szerkessze a befejezési dátumot, vagy ennek megfelelően vegye fel/távolítsa el a véleményezőket.
A Befejezési beállítások területen megadott beállítások alapján az automatikus alkalmazás a véleményezés befejezési dátuma után vagy a felülvizsgálat manuális leállítása után lesz végrehajtva. A felülvizsgálat állapota a Befejezett állapotról a köztes állapotokra, például az Alkalmazásra és végül az Alkalmazott állapotra változik. A megtagadott felhasználókat néhány percen belül el kell távolítani a szerepkörökből, ha vannak ilyenek.
A Microsoft Entra-szerepkörökhöz és az Azure-erőforrásszerepkörökhöz rendelt csoportok hatása a hozzáférési felülvizsgálatokban
• Microsoft Entra-szerepkörök esetén szerepkör-hozzárendelhető csoportok rendelhetők hozzá a szerepkörhöz szerepkör-hozzárendelhető csoportok használatával. Ha egy Microsoft Entra szerepkörön hoz létre felülvizsgálatot, amelyhez szerepkör-hozzárendelhető csoportok vannak hozzárendelve, a csoportnév a csoporttagság kibontása nélkül jelenik meg a felülvizsgálatban. A véleményező jóváhagyhatja vagy megtagadhatja a teljes csoport hozzáférését a szerepkörhöz. A megtagadott csoportok a felülvizsgálati eredmények alkalmazásakor elveszítik a szerepkörhöz való hozzárendelésüket.
• Az Azure-erőforrásszerepkörök esetében bármely biztonsági csoport hozzárendelhető a szerepkörhöz. Amikor felülvizsgálat jön létre egy Azure-erőforrásszerepkörön egy hozzárendelt biztonsági csoporttal, a biztonsági csoporthoz rendelt felhasználók teljes mértékben ki lesznek bontva, és megjelennek a szerepkör felülvizsgálójának. Ha egy véleményező tagadja a szerepkörhöz a biztonsági csoporton keresztül hozzárendelt felhasználót, a rendszer nem távolítja el a felhasználót a csoportból. Ennek az az oka, hogy egy csoportot más Azure-beli vagy nem Azure-beli erőforrásokkal osztottak meg. Ezért a megtagadott hozzáférésből eredő módosításokat a rendszergazdának kell elvégeznie.
Feljegyzés
Egy biztonsági csoporthoz más csoportok is hozzárendelhetők. Ebben az esetben csak a szerepkörhöz rendelt biztonsági csoporthoz közvetlenül hozzárendelt felhasználók jelennek meg a szerepkör áttekintésében.
A hozzáférési felülvizsgálat frissítése
Egy vagy több hozzáférési felülvizsgálat elindítása után érdemes lehet módosítani vagy frissíteni a meglévő hozzáférési felülvizsgálatok beállításait. Az alábbiakban néhány gyakori forgatókönyvet érdemes megfontolni:
Véleményezők hozzáadása és eltávolítása – A hozzáférési felülvizsgálatok frissítésekor dönthet úgy, hogy az elsődleges véleményező mellett tartalék felülvizsgálót is hozzáad. A hozzáférési felülvizsgálat frissítésekor előfordulhat, hogy az elsődleges véleményezők el lesznek távolítva. A tartalék véleményezők azonban nem tervezhetőek.
Feljegyzés
Tartalék véleményezők csak akkor vehetők fel, ha a véleményező típusa kezelő. Az elsődleges véleményezők akkor vehetők fel, ha a véleményező típusa ki van választva.
Emlékeztető a véleményezőknek – A hozzáférési felülvizsgálatok frissítésekor engedélyezheti az emlékeztető beállítást a Speciális Gépház területen. Ha engedélyezve van, a felhasználók e-mailben értesítést kapnak a felülvizsgálati időszak közepén, függetlenül attól, hogy befejezték-e a felülvizsgálatot.
A beállítások frissítése – Ha a hozzáférési felülvizsgálat ismétlődő, az "Aktuális" és az "Adatsor" területen külön beállítások találhatók. Az "Aktuális" alatt lévő beállítások frissítése csak az aktuális hozzáférési felülvizsgálat módosításait fogja alkalmazni, míg a "Sorozat" beállítás frissítése frissíti a beállítást az összes jövőbeli ismétlődésnél.