Hozzáférési felülvizsgálatok leírása
A Microsoft Entra hozzáférési felülvizsgálatok lehetővé teszik a szervezetek számára a csoporttagságok hatékony kezelését, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendelést. A rendszeres hozzáférési felülvizsgálatok biztosítják, hogy csak a megfelelő személyek férhessenek hozzá az erőforrásokhoz. A túlzott hozzáférési jogosultságok ismert biztonsági kockázatot jelentenek. Ha azonban a felhasználók csapatok között mozognak, vagy vállalják vagy lemondják a feladatokat, a hozzáférési jogosultságokat nehéz lehet szabályozni.
A Microsoft Entra ID lehetővé teszi a szervezeten belüli és külső felhasználókkal való együttműködést. A felhasználók csoportokhoz csatlakozhatnak, vendégeket hívhatnak meg, felhőalkalmazásokhoz csatlakozhatnak, és távolról dolgozhatnak a munkahelyi vagy személyes eszközeikről. Ez a kényelem jobb hozzáférés-kezelési képességeket eredményezett.
Számos használati eset van, amikor hozzáférési felülvizsgálatokat kell használni, íme néhány példa.
- Túl sok felhasználó emelt szintű szerepkörrel: Érdemes ellenőrizni, hogy hány felhasználó rendelkezik rendszergazdai hozzáféréssel, és hogy vannak-e olyan meghívott vendégek vagy partnerek, akiket nem távolítottak el a rendszergazdai feladathoz való hozzárendelés után. A Microsoft Entra-szerepkörökben, például a globális Rendszergazda istratorokban vagy az Azure-erőforrások szerepköreiben, például a Felhasználói hozzáférés Rendszergazda istrator szerepkörökben a Microsoft Entra Privileged Identity Management (PIM) felületén újraadhatja a felhasználók szerepkör-hozzárendelését.
- Üzleti szempontból kritikus adathozzáférés: Bizonyos erőforrások, például az üzletileg kritikus fontosságú alkalmazások esetében a megfelelőségi folyamatok részeként szükség lehet arra, hogy a felhasználókat rendszeresen ismételten meg kell erősíteni, és indokolni kell, hogy miért van szükségük folyamatos hozzáférésre.
- A szabályzatok kivétellistájának fenntartása: Néha vannak olyan üzleti esetek, amelyek megkövetelik, hogy kivételeket tegyen a szabályzatok alól. Rendszergazdaként kezelheti ezt a feladatot, és igazolást adhat az auditoroknak arról, hogy ezek a kivételek rendszeresen felülvizsgálatra kerülnek.
- Kérje meg a csoporttulajdonosokat, hogy győződjenek meg arról, hogy továbbra is szükségük van vendégekre a csoportjukban: Ha egy csoport hozzáférést biztosít a vendégeknek az üzleti szempontból érzékeny tartalmakhoz, akkor a csoporttulajdonos felelőssége annak megerősítése, hogy a vendégeknek továbbra is jogos üzleti hozzáférésre van szükségük.
- A felülvizsgálatok rendszeres időközönként ismétlődnek: Beállíthatja a felhasználók ismétlődő hozzáférési felülvizsgálatát meghatározott gyakorisággal, például heti, havi, negyedéves vagy éves gyakorisággal, és a véleményezők értesítést kapnak az egyes felülvizsgálatok elején. A véleményezők egy barátságos felületen és intelligens javaslatok segítségével jóváhagyhatják vagy megtagadhatják a hozzáférést.
Felhasználói és vendégfelhasználói hozzáférés kezelése hozzáférési felülvizsgálatokkal
A hozzáférési felülvizsgálatokkal egyszerűen gondoskodhat arról, hogy a felhasználók vagy a vendégek megfelelő hozzáféréssel rendelkezzenek. Megkérheti magukat a felhasználókat, esetleg egy döntéshozót, hogy vegyenek részt a hozzáférési felülvizsgálatban és hitelesítsék újból (vagy igazolják) a felhasználó hozzáférését. A véleményezők a Microsoft Entra ID javaslatai alapján adhatják meg, hogy minden felhasználónak szüksége van-e a folyamatos hozzáférésre. A hozzáférési felülvizsgálat lezárása után módosításokat végezhet, és eltávolíthatja azon felhasználók hozzáférését, akiknek többé nincs rá szükségük.
Többszakaszos hozzáférési felülvizsgálatok
A Microsoft Entra hozzáférési felülvizsgálatok legfeljebb három felülvizsgálati szakaszt támogatnak, amelyekben több típusú véleményező is részt vesz annak meghatározásában, hogy kinek van még szüksége a vállalati erőforrásokhoz való hozzáférésre. Ezek az értékelések lehetnek csoportokban vagy csoportokban való tagságra, alkalmazásokhoz való hozzáférésre, kiemelt szerepkörökhöz való hozzárendelésekre vagy csomag-hozzárendelésekhez való hozzáférésre. Amikor a felülvizsgálat rendszergazdái a döntések automatikus alkalmazásához konfigurálják a felülvizsgálatot, a felülvizsgálati időszak végén a hozzáférés vissza lesz vonva a megtagadott felhasználók számára.
A többszakaszos hozzáférési felülvizsgálatok lehetővé teszik, hogy Ön és szervezete összetett munkafolyamatokat engedélyezhessen az újraengedélyezési és naplózási követelményeknek való megfeleléshez, és több véleményezőnek kell igazolnia, hogy egy adott sorrendben hozzáférnek a felhasználókhoz. Emellett hatékonyabb felülvizsgálatokat is tervezhet az erőforrás-tulajdonosok és az ellenőrök számára azáltal, hogy csökkenti az egyes véleményezők által elszámoltatható döntések számát.
Rendszergazda, akik hozzáférési felülvizsgálatokat hoznak létre, nyomon követhetik a folyamat előrehaladását, amint a véleményezők befejezik a folyamatot. A felülvizsgálat befejezéséig a hozzáférési jogosultságok nem módosulnak. Azonban leállíthat egy felülvizsgálatot, mielőtt az elérené az ütemezett végét.
Ha a felülvizsgálat befejeződött, manuálisan vagy automatikusan alkalmazhatja a módosításokat, hogy eltávolítsa a hozzáférést egy csoporttagságból vagy alkalmazás-hozzárendelésből, kivéve a helyszíni dinamikus csoportot vagy csoportot. Ezekben az esetekben a módosításokat közvetlenül a csoportra kell alkalmazni.