Een toegangsbeoordeling maken van een Azure-resource en Azure AD-rollen in PIM

De behoefte aan toegang tot bevoorrechte Azure-resources en Azure AD rollen door werknemers verandert in de loop van de tijd. Als u het risico wilt verminderen dat gepaard gaat met verouderde roltoewijzingen, moet u de toegang regelmatig beoordelen. U kunt Azure Active Directory (Azure AD) Privileged Identity Management (PIM) gebruiken om toegangsbeoordelingen te maken voor bevoegde toegang tot Azure-resources en Azure AD rollen. U kunt ook terugkerende toegangsbeoordelingen configureren die automatisch worden uitgevoerd. In dit artikel wordt beschreven hoe u een of meer toegangsbeoordelingen maakt.

Vereisten

Voor het gebruik van deze functie zijn Azure AD Premium P2 licenties vereist. Zie Algemeen beschikbare functies van Azure AD vergelijken als u een licentie zoekt die bij uw vereisten past. Raadpleeg Licentievereisten voor het gebruik van Privileged Identity Management voor meer informatie over licenties voor PIM.

Als u toegangsbeoordelingen voor Azure-resources wilt maken, moet u zijn toegewezen aan de rol Eigenaar of Beheerder van gebruikerstoegang voor de Azure-resources. Als u toegangsbeoordelingen voor Azure AD rollen wilt maken, moet u zijn toegewezen aan de rol Globale beheerder of Beheerder met bevoorrechte rol.

Voor toegangsbeoordelingen voor service-principals is een Entra Workload Identities Premium-abonnement vereist.

  • WorkloadIdentiteiten Premium-licenties: u kunt licenties weergeven en verkrijgen op de blade Workloadidentiteiten in de Azure Portal.

Toegangsbeoordelingen maken

  1. Meld u aan bij Azure Portal als een gebruiker die is toegewezen aan een van de vereiste rollen.

  2. Selecteer Identiteitsbeheer.

  3. Selecteer voor Azure AD rollenAzure AD rollen onder Privileged Identity Management. Voor Azure-resources selecteert u Azure-resources onder Privileged Identity Management.

    Selecteer Identity Governance in de schermopname van de Azure Portal.

  4. Voor Azure AD rollen selecteert u Azure AD rollen opnieuw onder Beheren. Selecteer voor Azure-resources het abonnement dat u wilt beheren.

  5. Selecteer onder Beheren de optie Toegangsbeoordelingen en selecteer vervolgens Nieuw om een nieuwe toegangsbeoordeling te maken.

    Azure AD rollen: lijst met toegangsbeoordelingen met de status van alle beoordelingen schermopname.

  6. Geef de toegangsbeoordeling een naam. Geef desgewenst een beschrijving voor de beoordeling op. De naam en beschrijving worden weergegeven voor de revisoren.

    Een toegangsbeoordeling maken - Schermopname van naam en beschrijving van de beoordeling.

  7. Stel de begindatum in. Een toegangsbeoordeling vindt standaard eenmaal plaats, begint op hetzelfde moment dat deze wordt gemaakt en eindigt in één maand. U kunt de begin- en einddatum wijzigen zodat een toegangsbeoordeling in de toekomst begint en duurt zoals u wilt.

    Schermopname van begindatum, frequentie, duur, einde, aantal keren en einddatum.

  8. Als u de toegangsbeoordeling terugkerend wilt maken, wijzigt u de instelling Frequentie van Eenmalig in Wekelijks, Maandelijks, Driemaandelijks, Jaarlijks of Halfjaarlijks. Gebruik de schuifregelaar of het tekstvak Duur om aan te geven hoeveel dagen elke beoordeling van de terugkerende reeks moet worden geopend voor invoer door revisoren. De maximale duur die u kunt instellen voor een maandelijkse beoordeling is bijvoorbeeld 27 dagen, om overlappende beoordelingen te voorkomen.

  9. Gebruik de instelling Einde om op te geven hoe de reeks terugkerende toegangsbeoordelingen moet worden beëindigd. De reeks kan op drie manieren eindigen: de reeks wordt continu uitgevoerd om beoordelingen voor onbepaalde tijd te starten, tot een specifieke datum of nadat een gedefinieerd aantal exemplaren is voltooid. U, of een andere beheerder die beoordelingen kan beheren, kunt de reeks na het maken stoppen door de datum te wijzigen in Instellingen, zodat deze eindigt op die datum.

  10. Selecteer in de sectie Gebruikersbereik het bereik van de beoordeling. Voor Azure AD rollen is de eerste bereikoptie Gebruikers en groepen. Rechtstreeks toegewezen gebruikers en groepen waaraan rollen kunnen worden toegewezen, worden opgenomen in deze selectie. Voor Azure-resourcerollen is het eerste bereik Gebruikers. Groepen die zijn toegewezen aan Azure-resourcerollen worden uitgebreid om transitieve gebruikerstoewijzingen weer te geven in de beoordeling met deze selectie. U kunt ook Service-principals selecteren om de computeraccounts te controleren met directe toegang tot de Azure-resource of Azure AD rol.

    Gebruikersbereik om het rollidmaatschap van schermopname te controleren.

  11. U kunt ook alleen toegangsbeoordelingen maken voor inactieve gebruikers (preview). Stel in de sectie Gebruikersbereik de inactieve gebruikers (op tenantniveau) alleen in op true. Als de wisselknop is ingesteld op true, is het bereik van de beoordeling alleen gericht op inactieve gebruikers. Geef vervolgens voor Dagen inactief een aantal inactieve dagen op (maximaal 730 dagen ofwel twee jaar). Gebruikers die gedurende het opgegeven aantal dagen inactief zijn, zijn de enige gebruikers in de beoordeling.

  12. Selecteer onder Rollidmaatschap controleren de bevoegde Azure-resource of Azure AD rollen die u wilt controleren.

    Notitie

    Als u meer dan één rol selecteert, worden er meerdere toegangsbeoordelingen gemaakt. Als u bijvoorbeeld vijf rollen selecteert, worden er vijf afzonderlijke toegangsbeoordelingen gemaakt.

    Schermopname van rollidmaatschappen bekijken.

  13. Bij toewijzingstype kunt u het bereik van de beoordeling bepalen op basis van de manier waarop de principal is toegewezen aan de rol. Kies in aanmerking komende toewijzingen alleen om in aanmerking komende toewijzingen te controleren (ongeacht de activeringsstatus wanneer de beoordeling wordt gemaakt) of actieve toewijzingen alleen om actieve toewijzingen te controleren. Kies alle actieve en in aanmerking komende toewijzingen om alle toewijzingen te controleren, ongeacht het type.

    Schermopname van lijst met revisoren met toewijzingstypen.

  14. Selecteer in de sectie Beoordelaars een of meer personen om alle gebruikers te beoordelen. U kunt er ook voor kiezen om de leden hun eigen toegang te laten beoordelen.

    Revisorenlijst met geselecteerde gebruikers of leden (zelf)

    • Geselecteerde gebruikers : gebruik deze optie om een specifieke gebruiker aan te wijzen om de beoordeling te voltooien. Deze optie is beschikbaar ongeacht het bereik van de beoordeling en de geselecteerde revisoren kunnen gebruikers, groepen en service-principals beoordelen.
    • Leden (zelf): gebruik deze optie om de gebruikers hun eigen roltoewijzingen te laten beoordelen. Deze optie is alleen beschikbaar als de beoordeling is gericht op Gebruikers en groepen of Gebruikers. Voor Azure AD rollen maken groepen waaraan rollen kunnen worden toegewezen, geen deel uit van de beoordeling wanneer deze optie is geselecteerd.
    • Manager : gebruik deze optie om de manager van de gebruiker de roltoewijzing te laten beoordelen. Deze optie is alleen beschikbaar als de beoordeling is gericht op Gebruikers en groepen of Gebruikers. Wanneer u Manager selecteert, hebt u ook de optie om een terugvalrevisor op te geven. Terugvalrevisoren worden gevraagd een gebruiker te controleren wanneer de gebruiker geen manager heeft opgegeven in de directory. Voor Azure AD rollen worden groepen waaraan rollen kunnen worden toegewezen, beoordeeld door de terugvalrevisor als er een is geselecteerd.

Instellingen na voltooiing

  1. Als u wilt opgeven wat er gebeurt nadat een beoordeling is voltooid, vouwt u de sectie Instellingen na voltooiing uit.

    Na voltooiing van de instellingen voor automatisch toepassen en zou moeten controleren niet reageren schermopname.

  2. Als u de toegang automatisch wilt verwijderen voor gebruikers die zijn geweigerd, stelt u Resultaten automatisch toepassen op resource in op Inschakelen. Als u de resultaten handmatig wilt toepassen wanneer de beoordeling is voltooid, stelt u de schakeloptie in op Uitschakelen.

  3. Gebruik de lijst Als revisor niet reageert om op te geven wat er gebeurt voor gebruikers die niet worden beoordeeld door de revisor binnen de beoordelingsperiode. Deze instelling heeft geen invloed op gebruikers die zijn beoordeeld door de revisoren.

    • Geen wijziging: de toegang van de gebruiker ongewijzigd laten
    • Toegang verwijderen : de toegang van de gebruiker verwijderen
    • Toegang goedkeuren - Toegang van gebruiker goedkeuren
    • Aanbevelingen doen : neem de aanbeveling van het systeem over het weigeren of goedkeuren van de doorlopende toegang van de gebruiker
  4. Gebruik de lijst Actie om toe te passen op geweigerde gastgebruikers om op te geven wat er gebeurt voor gastgebruikers die worden geweigerd. Deze instelling kan op dit moment niet worden bewerkt voor beoordelingen van Azure AD- en Azure-resourcerollen; gastgebruikers, zoals alle gebruikers, verliezen altijd de toegang tot de resource als deze wordt geweigerd.

    Instellingen na voltooiing: schermafbeelding van de actie die moet worden toegepast op geweigerde gastgebruikers.

  5. U kunt meldingen verzenden naar extra gebruikers of groepen om updates voor de voltooiing van de beoordeling te ontvangen. Met deze functie kunnen andere belanghebbenden dan de maker van de beoordeling worden geïnformeerd over de voortgang van de beoordeling. Als u deze functie wilt gebruiken, selecteert u Gebruiker(s) of Groep(en) selecteren en voegt u een extra gebruiker of groep toe wanneer u de voltooiingsstatus wilt ontvangen.

    Instellingen na voltooiing: voeg extra gebruikers toe om meldingen te ontvangen schermopname.

Geavanceerde instellingen

  1. Als u aanvullende instellingen wilt opgeven, vouwt u de sectie Geavanceerde instellingen uit .

    Geavanceerde instellingen voor het weergeven van aanbevelingen, vereisen reden voor goedkeuring, e-mailmeldingen en herinneringen schermopname.

  2. Stel Aanbevelingen weergeven in op Inschakelen om de revisoren de systeemaanbevelingen weer te geven op basis van de toegangsgegevens van de gebruiker. Aanbevelingen zijn gebaseerd op een intervalperiode van 30 dagen waarin gebruikers die zich de afgelopen 30 dagen hebben aangemeld, toegang wordt aanbevolen, terwijl gebruikers die dat niet hebben aanbevolen, toegang te weigeren. Deze aanmeldingen zijn ongeacht of ze interactief waren. De laatste aanmelding van de gebruiker wordt ook samen met de aanbeveling weergegeven.

  3. Stel Reden bij goedkeuring vereisen in op Inschakelen om te vereisen dat de revisor een reden voor goedkeuring opgeeft.

  4. Stel E-mailmeldingen in op Inschakelen om Azure AD e-mailmeldingen te laten verzenden naar revisoren wanneer een toegangsbeoordeling wordt gestart en naar beheerders wanneer een beoordeling is voltooid.

  5. Stel Herinneringen in op Inschakelen om Azure AD herinneringen van actieve toegangsbeoordelingen te laten verzenden naar revisoren die hun beoordeling niet hebben voltooid.

  6. De inhoud van de e-mail die naar revisoren wordt verzonden, wordt automatisch gegenereerd op basis van de beoordelingsgegevens, zoals de naam van de beoordeling, de resourcenaam, de einddatum, enzovoort. Als u een manier nodig hebt om aanvullende informatie te communiceren, zoals aanvullende instructies of contactgegevens, kunt u deze details opgeven in de e-mail Aanvullende inhoud voor revisoren die wordt opgenomen in de e-mails met uitnodigingen en herinneringen die worden verzonden naar toegewezen revisoren. Deze informatie wordt in de gemarkeerde sectie hieronder weergegeven.

    Inhoud van de e-mail die naar revisoren wordt verzonden met markeringen

De toegangsbeoordeling beheren

U kunt de voortgang bijhouden terwijl de revisoren hun beoordelingen voltooien op de pagina Overzicht van de toegangsbeoordeling. Er worden geen toegangsrechten gewijzigd in de map totdat de beoordeling is voltooid. Hieronder ziet u een schermopname van de overzichtspagina voor Azure-resources en Azure AD toegangsbeoordelingen voor rollen.

Overzichtspagina toegangsbeoordelingen met de details van de toegangsbeoordeling voor Azure AD schermafbeelding van rollen.

Als dit een eenmalige beoordeling is en de toegangsbeoordelingsperiode voorbij is of de beheerder de toegangsbeoordeling stopt, volgt u de stappen in Een toegangsbeoordeling van Azure-resource voltooien en Azure AD rollen om de resultaten te bekijken en toe te passen.

Als u een reeks toegangsbeoordelingen wilt beheren, gaat u naar de toegangsbeoordeling, waarna u toekomstige exemplaren vindt in Geplande beoordelingen en de einddatum bewerkt of revisoren dienovereenkomstig toevoegen/verwijderen.

Op basis van uw selecties in Instellingen voor na voltooiing wordt automatisch toepassen uitgevoerd na de einddatum van de beoordeling of wanneer u de beoordeling handmatig stopt. De status van de beoordeling verandert van Voltooid via tussenliggende statussen zoals Toepassen en ten slotte in de status Toegepast. U moet verwachten dat geweigerde gebruikers, indien aanwezig, binnen enkele minuten uit rollen worden verwijderd.

Impact van groepen die zijn toegewezen aan Azure AD-rollen en Azure-resourcerollen in toegangsbeoordelingen

• Voor Azure AD rollen kunnen groepen waaraan rollen kunnen worden toegewezen, worden toegewezen aan de rol met behulp van groepen waaraan rollen kunnen worden toegewezen. Wanneer een beoordeling wordt gemaakt voor een Azure AD rol waaraan groepen waaraan rollen kunnen worden toegewezen, wordt de groepsnaam weergegeven in de beoordeling zonder het groepslidmaatschap uit te breiden. De revisor kan de toegang van de hele groep tot de rol goedkeuren of weigeren. Geweigerde groepen verliezen hun toewijzing aan de rol wanneer de beoordelingsresultaten worden toegepast.

• Voor Azure-resourcerollen kan elke beveiligingsgroep aan de rol worden toegewezen. Wanneer een beoordeling wordt gemaakt voor een Azure-resourcerol waaraan een beveiligingsgroep is toegewezen, worden de gebruikers die aan die beveiligingsgroep zijn toegewezen, volledig uitgevouwen en weergegeven aan de revisor van de rol. Wanneer een revisor een gebruiker weigert die is toegewezen aan de rol via de beveiligingsgroep, wordt de gebruiker niet verwijderd uit de groep en kan het resultaat van de weigering niet worden toegepast.

Notitie

Het is mogelijk dat aan een beveiligingsgroep andere groepen worden toegewezen. In dit geval worden alleen de gebruikers die rechtstreeks zijn toegewezen aan de beveiligingsgroep die aan de rol is toegewezen, weergegeven in de beoordeling van de rol.

De toegangsbeoordeling bijwerken

Nadat een of meer toegangsbeoordelingen zijn gestart, wilt u mogelijk de instellingen van uw bestaande toegangsbeoordelingen wijzigen of bijwerken. Hier volgen enkele veelvoorkomende scenario's die u mogelijk wilt overwegen:

  • Revisoren toevoegen en verwijderen: wanneer u toegangsbeoordelingen bijwerkt, kunt u naast de primaire revisor ook een terugvalrevisor toevoegen. Primaire revisoren kunnen worden verwijderd bij het bijwerken van een toegangsbeoordeling. Terugvalrevisoren zijn echter niet standaard verwijderbaar.

    Notitie

    Terugvalrevisoren kunnen alleen worden toegevoegd wanneer het type revisor manager is. Primaire revisoren kunnen worden toegevoegd wanneer het type revisor is geselecteerd gebruiker.

  • De revisoren eraan herinneren: wanneer u toegangsbeoordelingen bijwerkt, kunt u ervoor kiezen om de optie herinnering in te schakelen onder Geavanceerde instellingen. Zodra dit is ingeschakeld, ontvangen gebruikers een e-mailmelding halverwege de beoordelingsperiode, ongeacht of ze de beoordeling hebben voltooid of niet.

    Schermopname van de herinneringsoptie onder instellingen voor toegangsbeoordelingen.

  • De instellingen bijwerken : als een toegangsbeoordeling terugkeert, zijn er afzonderlijke instellingen onder 'Huidig' versus onder 'Reeks'. Als u de instellingen onder 'Huidig' bijwerkt, worden alleen wijzigingen toegepast op de huidige toegangsbeoordeling, terwijl de instellingen onder 'Reeks' worden bijgewerkt, wordt de instelling voor alle toekomstige terugkeerpatronen bijgewerkt.

    Schermopname van de instellingenpagina onder Toegangsbeoordelingen.

Volgende stappen