Een toegangsbeoordeling maken van Azure-resource en Azure AD-rollen in PIM

De noodzaak voor toegang tot bevoorrechte Azure-resources en Azure AD rollen door werknemers verandert in de loop van de tijd. Als u het risico wilt verminderen dat gepaard gaat met verouderde roltoewijzingen, moet u de toegang regelmatig beoordelen. U kunt Azure Active Directory (Azure AD) Privileged Identity Management (PIM) gebruiken om toegangsbeoordelingen te maken voor bevoegde toegang tot Azure-resources en Azure AD rollen. U kunt ook terugkerende toegangsbeoordelingen configureren die automatisch worden uitgevoerd. In dit artikel wordt beschreven hoe u een of meer toegangsbeoordelingen maakt.

Vereisten

Voor het gebruik van deze functie zijn Azure AD Premium P2 licenties vereist. Zie Algemeen beschikbare functies van Azure AD vergelijken als u een licentie zoekt die bij uw vereisten past. Raadpleeg licentievereisten voor het gebruik van Privileged Identity Management voor meer informatie over licenties voor PIM.

Als u toegangsbeoordelingen voor Azure-resources wilt maken, moet u zijn toegewezen aan de rol Eigenaar of Beheerder van gebruikerstoegang voor de Azure-resources . Als u toegangsbeoordelingen voor Azure AD rollen wilt maken, moet u zijn toegewezen aan de rol Globale beheerder of Beheerder met bevoorrechte rol.

Notitie

In de openbare preview kunt u een toegangsbeoordeling instellen voor service-principals met toegang tot Azure AD- en Azure-resourcerollen met een Azure Active Directory Premium P2-editie die actief is in uw tenant. Na algemene beschikbaarheid zijn mogelijk extra licenties vereist.

Toegangsbeoordelingen maken

  1. Meld u aan bij Azure Portal als een gebruiker die is toegewezen aan een van de vereiste rollen.

  2. Selecteer Identiteitsbeheer.

  3. Selecteer Azure AD rollen onder Privileged Identity Management voor Azure AD rollen. Voor Azure-resources selecteert u Azure-resources onder Privileged Identity Management.

    Schermopname van Identity Governance selecteren in De Azure-portal.

  4. Selecteer voor Azure AD rollenopnieuw Azure AD rollen onder Beheren. Selecteer voor Azure-resources het abonnement dat u wilt beheren.

  5. Selecteer onder Beheren toegangsbeoordelingen en selecteer Vervolgens Nieuw om een nieuwe toegangsbeoordeling te maken.

    Azure AD rollen - Toegangsbeoordelingenlijst met de status van alle beoordelingen schermopname.

  6. Geef de toegangsbeoordeling een naam. Geef desgewenst een beschrijving voor de beoordeling op. De naam en beschrijving worden weergegeven voor de revisoren.

    Een schermafbeelding van een toegangsbeoordeling maken - Naam en beschrijving controleren.

  7. Stel de begindatum in. Standaard wordt een toegangsbeoordeling eenmaal uitgevoerd, wordt dezelfde tijd gestart wanneer deze wordt gemaakt en eindigt deze in één maand. U kunt de begin- en einddatums wijzigen zodat er in de toekomst een begindatum voor een toegangsbeoordeling is en de laatste dagen die u wilt.

    Schermopname van begindatum, frequentie, duur, einde, aantal keren en einddatum.

  8. Als u de toegangsbeoordeling terugkerend wilt maken, wijzigt u de instelling Frequentie van één keer in Wekelijks, Maandelijks, Kwartaal, Jaarlijks of Semi-jaarlijks. Gebruik de schuifregelaar Duur of het tekstvak om te definiëren hoeveel dagen elke beoordeling van de terugkerende reeks wordt geopend voor invoer van revisoren. De maximale duur die u kunt instellen voor een maandelijkse beoordeling is bijvoorbeeld 27 dagen, om overlappende beoordelingen te voorkomen.

  9. Gebruik de instelling Einde om op te geven hoe u de reeks terugkerende toegangsbeoordeling beëindigt. De reeks kan op drie manieren eindigen: deze wordt continu uitgevoerd om beoordelingen voor onbepaalde tijd te starten, tot een specifieke datum of nadat een bepaald aantal exemplaren is voltooid. U, of een andere beheerder die beoordelingen kan beheren, kan de reeks stoppen nadat deze is gemaakt door de datum in Instellingen te wijzigen, zodat deze eindigt op die datum.

  10. Selecteer in de sectie Gebruikersbereik het bereik van de beoordeling. Voor Azure AD rollen is de eerste bereikoptie Gebruikers en groepen. Direct toegewezen gebruikers en groepen waaraan rollen kunnen worden toegewezen , worden opgenomen in deze selectie. Voor Azure-resourcerollen is het eerste bereik Gebruikers. Groepen die zijn toegewezen aan Azure-resourcerollen, worden uitgebreid om transitieve gebruikerstoewijzingen weer te geven in de beoordeling met deze selectie. U kunt ook service-principals selecteren om de computeraccounts te controleren met directe toegang tot de Azure-resource of Azure AD rol.

    Gebruikersbereik om het rollidmaatschap van schermopname te controleren.

  11. U kunt ook alleen toegangsbeoordelingen maken voor inactieve gebruikers (preview). Stel in de sectie Gebruikersbereik de inactieve gebruikers (op tenantniveau) alleen in opwaar. Als de wisselknop is ingesteld op true, richt het bereik van de beoordeling zich alleen op inactieve gebruikers. Geef vervolgens voor Dagen inactief een aantal inactieve dagen op (maximaal 730 dagen ofwel twee jaar). Gebruikers die inactief zijn voor het opgegeven aantal dagen, zijn de enige gebruikers in de beoordeling.

  12. Selecteer onder Rollidmaatschap controleren de bevoegde Azure-resource of Azure AD rollen die u wilt controleren.

    Notitie

    Als u meer dan één rol selecteert, worden meerdere toegangsbeoordelingen gemaakt. Als u bijvoorbeeld vijf rollen selecteert, worden er vijf afzonderlijke toegangsbeoordelingen gemaakt.

    Schermopname van rollidmaatschappen bekijken.

  13. Beperk in het toewijzingstype de beoordeling door de manier waarop de principal is toegewezen aan de rol. Kies in aanmerking komende toewijzingen alleen om in aanmerking komende toewijzingen te bekijken (ongeacht de activeringsstatus wanneer de beoordeling wordt gemaakt) of actieve toewijzingen alleen om actieve toewijzingen te bekijken. Kies alle actieve en in aanmerking komende toewijzingen om alle toewijzingen te controleren, ongeacht het type.

    Schermopname van de lijst met revisoren met toewijzingstypen.

  14. Selecteer in de sectie Revisoren een of meer personen om alle gebruikers te controleren. Of u kunt ervoor kiezen om de leden hun eigen toegang te laten beoordelen.

    Lijst met revisoren van geselecteerde gebruikers of leden (zelf)

    • Geselecteerde gebruikers : gebruik deze optie om een specifieke gebruiker aan te wijzen om de beoordeling te voltooien. Deze optie is beschikbaar ongeacht het bereik van de beoordeling en de geselecteerde revisoren kunnen gebruikers, groepen en service-principals controleren.
    • Leden (zelf): gebruik deze optie om de gebruikers hun eigen roltoewijzingen te laten beoordelen. Deze optie is alleen beschikbaar als de beoordeling is afgestemd op gebruikers en groepen of gebruikers. Voor Azure AD rollen maken roltoewijsbare groepen geen deel uit van de beoordeling wanneer deze optie is geselecteerd.
    • Manager : gebruik deze optie als u wilt dat de manager van de gebruiker de roltoewijzing controleert. Deze optie is alleen beschikbaar als de beoordeling is afgestemd op gebruikers en groepen of gebruikers. Wanneer u Manager selecteert, kunt u ook een terugvalrevisor opgeven. Revisoren van terugval worden gevraagd om een gebruiker te controleren wanneer de gebruiker geen manager heeft opgegeven in de directory. Voor Azure AD rollen worden rollen toewijsbare groepen beoordeeld door de terugvalrevisor als deze is geselecteerd.

Na voltooiingsinstellingen

  1. Als u wilt opgeven wat er gebeurt nadat een beoordeling is voltooid, vouwt u de sectie Bij voltooiingsinstellingen uit.

    Na voltooiingsinstellingen om automatisch toe te passen en moet de schermopname niet reageren.

  2. Als u automatisch de toegang wilt verwijderen voor gebruikers die zijn geweigerd, stelt u automatisch resultaten toe op de resource om in te schakelen. Als u de resultaten handmatig wilt toepassen wanneer de beoordeling is voltooid, stelt u de schakeloptie in op Uitschakelen.

  3. Gebruik de lijst Als revisor niet reageert om op te geven wat er gebeurt voor gebruikers die niet worden beoordeeld door de revisor binnen de beoordelingsperiode. Deze instelling heeft geen invloed op gebruikers die door de revisoren zijn beoordeeld.

    • Geen wijziging : de toegang van de gebruiker ongewijzigd laten
    • Toegang verwijderen - Gebruikerstoegang verwijderen
    • Toegang goedkeuren - De toegang van de gebruiker goedkeuren
    • Aanbevelingen doen : neem de aanbeveling van het systeem over het weigeren of goedkeuren van de voortdurende toegang van de gebruiker
  4. Gebruik de actie om toe te passen op de lijst met geweigerde gastgebruikers om op te geven wat er gebeurt voor gastgebruikers die worden geweigerd. Deze instelling kan momenteel niet worden bewerkt voor beoordelingen van Azure AD- en Azure-resourcerollen. Gastgebruikers, zoals alle gebruikers, hebben altijd geen toegang meer tot de resource als deze wordt geweigerd.

    Na voltooiingsinstellingen - Actie om toe te passen op geweigerde gastgebruikers schermopname.

  5. U kunt meldingen verzenden naar extra gebruikers of groepen om voltooiingsupdates voor revisies te ontvangen. Met deze functie kunnen andere belanghebbenden dan de maker van de beoordeling worden geïnformeerd over de voortgang van de beoordeling. Als u deze functie wilt gebruiken, selecteert u Gebruiker(en) of Groep(en) selecteren en voegt u een extra gebruiker of groep toe wanneer u de status van voltooiing wilt ontvangen.

    Na voltooiingsinstellingen : voeg extra gebruikers toe om een schermopname van meldingen te ontvangen.

Geavanceerde instellingen

  1. Als u aanvullende instellingen wilt opgeven, vouwt u de sectie Geavanceerde instellingen uit.

    Geavanceerde instellingen voor het weergeven van aanbevelingen, vereisen reden voor goedkeuring, e-mailmeldingen en herinneringen.

  2. Stel Aanbevelingen weergeven in op Inschakelen om de revisoren de systeemaanbevelingen weer te geven op basis van de toegangsgegevens van de gebruiker. Aanbevelingen zijn gebaseerd op een intervalperiode van 30 dagen waarin gebruikers die zich in de afgelopen 30 dagen hebben aangemeld, aanbevolen toegang te krijgen, terwijl gebruikers die geen toegang hebben aanbevolen. Deze aanmeldingen zijn ongeacht of ze interactief waren. De laatste aanmelding van de gebruiker wordt ook samen met de aanbeveling weergegeven.

  3. Stel Reden vereisen voor goedkeuring in om inschakelen dat de revisor een reden voor goedkeuring moet opgeven.

  4. Stel e-mailmeldingen in op Inschakelen om Azure AD e-mailmeldingen te verzenden naar revisoren wanneer een toegangsbeoordeling wordt gestart en aan beheerders wanneer een beoordeling is voltooid.

  5. Stel Herinneringen in op Inschakelen om Azure AD herinneringen te verzenden van toegangsbeoordelingen die worden uitgevoerd voor revisoren die hun beoordeling niet hebben voltooid.

  6. De inhoud van de e-mail die naar revisoren wordt verzonden, wordt automatisch gegenereerd op basis van de details van de beoordeling, zoals de naam van de beoordeling, de resourcenaam, de einddatum, enzovoort. Als u aanvullende informatie nodig hebt, zoals aanvullende instructies of contactgegevens, kunt u deze details opgeven in de aanvullende inhoud voor e-mail van revisoren die worden opgenomen in de uitnodigings- en herinneringsmails die worden verzonden naar toegewezen revisoren. Deze informatie wordt in de gemarkeerde sectie hieronder weergegeven.

    Inhoud van de e-mail die naar revisoren wordt verzonden met markeringen

De toegangsbeoordeling beheren

U kunt de voortgang bijhouden terwijl de revisoren hun beoordelingen voltooien op de overzichtspagina van de toegangsbeoordeling. Er worden geen toegangsrechten gewijzigd in de map totdat de beoordeling is voltooid. Hieronder ziet u een schermopname van de overzichtspagina voor Azure-resources en Azure AD toegangsbeoordelingen voor rollen.

Overzichtspagina van Access-beoordelingen met de details van de toegangsbeoordeling voor Azure AD schermafbeelding van rollen.

Als dit een eenmalige beoordeling is, volgt u nadat de toegangsbeoordelingsperiode is verstreken of de beheerder de toegangsbeoordeling stopt, de stappen in Een toegangsbeoordeling van De Azure-resource voltooien en Azure AD rollen om de resultaten te bekijken en toe te passen.

Als u een reeks toegangsbeoordelingen wilt beheren, gaat u naar de toegangsbeoordeling en vindt u toekomstige exemplaren in Geplande beoordelingen en bewerkt u de einddatum of voegt u revisoren dienovereenkomstig toe of verwijdert u revisoren toe.

Op basis van uw selecties in Instellingen voor voltooiing wordt automatisch toepassen uitgevoerd na de einddatum van de beoordeling of wanneer u de beoordeling handmatig stopt. De status van de beoordeling verandert van Voltooid tot tussenliggende statussen, zoals Toepassen en ten slotte toegepast op de status Toegepast. U zou verwachten dat geweigerde gebruikers binnen een paar minuten worden verwijderd uit rollen.

Impact van groepen die zijn toegewezen aan Azure AD rollen en Azure-resourcerollen in toegangsbeoordelingen

• Voor Azure AD rollen kunnen roltoewijzingsgroepen worden toegewezen aan de rol met behulp van roltoewijzingsgroepen. Wanneer er een beoordeling wordt gemaakt op een Azure AD rol waaraan roltoewijzingsgroepen zijn toegewezen, wordt de groepsnaam weergegeven in de beoordeling zonder het groepslidmaatschap uit te vouwen. De revisor kan de toegang van de hele groep tot de rol goedkeuren of weigeren. Geweigerde groepen verliezen hun toewijzing aan de rol wanneer de resultaten worden toegepast.

• Voor Azure-resourcerollen kan elke beveiligingsgroep aan de rol worden toegewezen. Wanneer een beoordeling wordt gemaakt op een Azure-resourcerol waaraan een beveiligingsgroep is toegewezen, worden de gebruikers die aan die beveiligingsgroep zijn toegewezen, volledig uitgebreid en weergegeven aan de revisor van de rol. Wanneer een revisor een gebruiker weigert die is toegewezen aan de rol via de beveiligingsgroep, wordt de gebruiker niet uit de groep verwijderd en wordt het toepassen van het weigeringsresultaat daarom mislukt.

Notitie

Het is mogelijk dat aan een beveiligingsgroep andere groepen zijn toegewezen. In dit geval worden alleen de gebruikers die rechtstreeks zijn toegewezen aan de beveiligingsgroep die aan de rol is toegewezen, weergegeven in de beoordeling van de rol.

De toegangsbeoordeling bijwerken

Nadat een of meer toegangsbeoordelingen zijn gestart, kunt u de instellingen van uw bestaande toegangsbeoordelingen wijzigen of bijwerken. Hier volgen enkele veelvoorkomende scenario's waarmee u rekening wilt houden:

  • Revisoren toevoegen en verwijderen : bij het bijwerken van toegangsbeoordelingen kunt u een terugvalrevisor toevoegen naast de primaire revisor. Primaire revisoren kunnen worden verwijderd bij het bijwerken van een toegangsbeoordeling. Terugvalrevisoren zijn echter niet standaard verwisselbaar.

    Notitie

    Terugvalrevisoren kunnen alleen worden toegevoegd wanneer het revisortype manager is. Primaire revisoren kunnen worden toegevoegd wanneer het type revisor is geselecteerd.

  • Herinner de revisoren eraan: bij het bijwerken van toegangsbeoordelingen kunt u ervoor kiezen om de herinneringsoptie in te schakelen onder Geavanceerde instellingen. Wanneer deze optie is ingeschakeld, ontvangen gebruikers een e-mailmelding op het middelpunt van de beoordelingsperiode, ongeacht of ze de beoordeling hebben voltooid of niet.

    Schermopname van de herinneringsoptie onder instellingen voor toegangsbeoordelingen.

  • De instellingen bijwerken : als een toegangsbeoordeling terugkerend is, zijn er afzonderlijke instellingen onder 'Huidig' versus onder 'Reeks'. Als u de instellingen onder 'Huidig' bijwerkt, worden alleen wijzigingen toegepast op de huidige toegangsbeoordeling terwijl de instellingen onder Reeks worden bijgewerkt, wordt de instelling bijgewerkt voor alle toekomstige terugkeerpatronen.

    Schermopname van de instellingenpagina onder toegangsbeoordelingen.

Volgende stappen