Mik azok a hozzáférési felülvizsgálatok?
A Microsoft Entra-azonosítóban , a Microsoft Entra részeként található hozzáférési felülvizsgálatok lehetővé teszik a szervezetek számára a csoporttagságok, a vállalati alkalmazásokhoz való hozzáférés és a szerepkör-hozzárendelések hatékony kezelését. A felhasználói hozzáférés rendszeresen áttekinthető, hogy csak a megfelelő személyek rendelkezzenek folyamatos hozzáféréssel.
Az alábbi videó gyors áttekintést nyújt a hozzáférési felülvizsgálatokról:
Miért fontosak a hozzáférési felülvizsgálatok?
A Microsoft Entra ID lehetővé teszi a szervezeten belüli és külső felhasználókkal való együttműködést. A felhasználók csatlakozhatnak csoportokhoz, meghívhatnak vendégeket, csatlakozhatnak a felhőalkalmazásokhoz, és távolról dolgozhatnak a munkahelyi vagy személyes eszközeikről. Az önkiszolgáló szolgáltatás használatának kényelme miatt jobb hozzáférés-kezelési képességekre van szükség.
- Az új alkalmazottak csatlakozásával hogyan biztosíthatja, hogy rendelkezzenek a szükséges hozzáféréssel ahhoz, hogy hatékonyak legyenek?
- Amikor a felhasználók áthelyezik a csapatokat, vagy elhagyják a vállalatot, hogyan gondoskodhat arról, hogy a régi hozzáférésük el legyen távolítva?
- A túlzott hozzáférési jogosultságok kompromisszumokhoz vezethetnek.
- A túlzott hozzáférési jogosultság az auditálási eredményekhez is vezethet, mivel ezek a hozzáférés feletti ellenőrzés hiányára utalnak.
- Proaktív módon kell kapcsolatba lépnie az erőforrás-tulajdonosokkal, hogy rendszeresen ellenőrizhessék, hogy kik férhetnek hozzá az erőforrásaikhoz.
Mikor érdemes hozzáférési felülvizsgálatokat használnia?
- Túl sok kiemelt szerepkörrel rendelkező felhasználó: Érdemes ellenőrizni, hogy hány felhasználó rendelkezik rendszergazdai hozzáféréssel, hány globális rendszergazda, és hogy vannak-e olyan meghívott vendégek vagy partnerek, akiket nem távolítottak el a rendszergazdai feladatok elvégzéséhez. A szerepkör-hozzárendelési felhasználókat a Microsoft Entra szerepkörökben, például a globális rendszergazdákban vagy az Azure-erőforrások szerepköreiben, például a Felhasználói hozzáférés rendszergazdája a Microsoft Entra Privileged Identity Management (PIM) felületén újraadhatja.
- Ha az automatizálás nem lehetséges: Létrehozhat szabályokat dinamikus tagsági csoportokhoz, biztonsági csoportokhoz vagy Microsoft 365-csoportok, de mi a teendő, ha a HR-adatok nincsenek a Microsoft Entra-azonosítóban, vagy ha a felhasználóknak továbbra is hozzáférésre van szükségük a csoport elhagyása után a csere betanítása érdekében? Ezután létrehozhat egy felülvizsgálatot az adott csoportról, hogy a hozzáférésre továbbra is szükségük van a hozzáféréshez.
- Ha egy csoportot új célra használnak: Ha olyan csoporttal rendelkezik, amely szinkronizálva lesz a Microsoft Entra-azonosítóval, vagy ha engedélyezni szeretné a Salesforce alkalmazást a Sales team csoport minden tagja számára, hasznos lehet megkérni a csoport tulajdonosát, hogy tekintse át a dinamikus tagsági csoportot, mielőtt egy másik kockázati tartalomban használná.
- Üzletileg kritikus fontosságú adathozzáférés: bizonyos erőforrások, például az üzletileg kritikus fontosságú alkalmazások esetében a megfelelőségi folyamatok részeként szükség lehet arra, hogy a felhasználókat rendszeresen erősítsük meg, és indokoljuk, hogy miért van szükségük folyamatos hozzáférésre.
- A szabályzat kivétellistájának fenntartása: Ideális világban minden felhasználó a hozzáférési szabályzatokat követve biztosíthatja a szervezet erőforrásaihoz való hozzáférést. Vannak azonban olyan üzleti esetek, amelyek kivételeket követelnek meg. Rendszergazdaként kezelheti ezt a feladatot, elkerülheti a szabályzatok kivételeinek felügyeletét, és igazolást adhat az ellenőröknek arról, hogy ezek a kivételek rendszeresen felülvizsgálatra kerülnek.
- Kérje meg a csoporttulajdonosokat, hogy győződjenek meg arról, hogy továbbra is szükségük van vendégekre a csoportjukban: Előfordulhat, hogy az alkalmazottak hozzáférése automatizálható más identitás- és hozzáférés-kezelési funkciókkal, például egy HR-forrás adatain alapuló életciklus-munkafolyamatokkal, de nem meghívott vendégekkel. Ha egy csoport hozzáférést biztosít a vendégeknek az üzleti szempontból érzékeny tartalmakhoz, akkor a csoporttulajdonos felelőssége annak megerősítése, hogy a vendégeknek továbbra is jogos üzleti hozzáférésre van szükségük.
- A felülvizsgálatok rendszeres időközönként ismétlődnek: Beállíthatja a felhasználók rendszeres hozzáférési felülvizsgálatát meghatározott gyakorisággal, például heti, havi, negyedéves vagy éves gyakorisággal, és a véleményezők értesítést kapnak az egyes felülvizsgálatok elején. A véleményezők egy barátságos felületen és intelligens javaslatok segítségével jóváhagyhatják vagy megtagadhatják a hozzáférést.
Feljegyzés
Ha készen áll az Access-felülvizsgálatok kipróbálására, tekintse meg a csoportok vagy alkalmazások hozzáférési felülvizsgálatának létrehozását
Hol hozhat létre véleményeket?
Attól függően, hogy mit szeretne áttekinteni, a hozzáférési felülvizsgálatok, a Microsoft Entra vállalati alkalmazások, a PIM vagy a jogosultságkezelés során hozza létre a hozzáférési felülvizsgálatot.
| A felhasználók hozzáférési jogosultságai | A véleményezők lehetnek | A következőben létrehozott véleményezés: | Véleményezői élmény |
|---|---|---|---|
| Biztonsági csoporttagok Office-csoporttagok |
Megadott véleményezők Csoporttulajdonosok önértékelése |
access reviews Microsoft Entra groups |
Hozzáférési panel |
| Csatlakoztatott alkalmazáshoz rendelve | Megadott véleményezők önértékelése |
access reviews Microsoft Entra enterprise apps |
Hozzáférési panel |
| Microsoft Entra szerepkör | Megadott véleményezők önértékelése |
PIM | Microsoft Entra felügyeleti központ |
| Azure-erőforrásszerepkör | Megadott véleményezők önértékelése |
PIM | Microsoft Entra felügyeleti központ |
| Hozzáférési csomag-hozzárendelések | Megadott véleményezők Csoporttagok önértékelése |
jogosultságkezelés | Hozzáférési panel |
Licenckövetelmények
Ehhez a funkcióhoz Microsoft Entra ID-kezelés vagy Microsoft Entra Suite-előfizetésre van szükség a szervezet felhasználói számára. Bizonyos képességek ebben a funkcióban Microsoft Entra ID P2-előfizetéssel is működhetnek. További információkért tekintse meg az egyes képességek cikkeit. A követelményeknek megfelelő licenc megtalálásához tekintse meg Microsoft Entra ID-kezelés licencelési alapjait.
Feljegyzés
Az inaktív felhasználók véleményezéséhez és a felhasználókhoz való csatlakozásra vonatkozó javaslatokhoz Microsoft Entra ID-kezelés licencre van szükség.
Következő lépések
- Felkészülés a felhasználók alkalmazáshoz való hozzáférésének hozzáférési felülvizsgálatára
- Csoportok vagy alkalmazások hozzáférési felülvizsgálatának létrehozása
- A Microsoft Entra felügyeleti szerepkörrel rendelkező felhasználók hozzáférési felülvizsgálatának létrehozása
- Csoportokhoz vagy alkalmazásokhoz való hozzáférés áttekintése
- Csoportok vagy alkalmazások hozzáférési felülvizsgálatának befejezése