Co to są przeglądy dostępu?
Przeglądy dostępu w usłudze Microsoft Entra ID, część firmy Microsoft Entra, umożliwiają organizacjom efektywne zarządzanie członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkowników można regularnie przeglądać, aby upewnić się, że tylko odpowiednie osoby mają stały dostęp.
Oto film wideo, który zawiera krótkie omówienie przeglądów dostępu:
Dlaczego przeglądy dostępu są ważne?
Identyfikator Entra firmy Microsoft umożliwia współpracę z użytkownikami z organizacji oraz z użytkownikami zewnętrznymi. Użytkownicy mogą dołączać do grup, zapraszać gości, łączyć się z aplikacjami w chmurze i zdalnie pracować z urządzeń służbowych lub osobistych. Wygoda korzystania z samoobsługi doprowadziła do potrzeby lepszego zarządzania dostępem.
- Gdy nowi pracownicy dołączają, jak upewnić się, że mają dostęp, którego potrzebują, aby byli wydajni?
- Jak użytkownicy przenoszą zespoły lub opuszczają firmę, jak upewnić się, że ich stary dostęp został usunięty?
- Nadmierne prawa dostępu mogą prowadzić do naruszenia zabezpieczeń.
- Nadmierne prawo dostępu może również prowadzić do ustaleń inspekcji, ponieważ wskazują brak kontroli nad dostępem.
- Musisz aktywnie współpracować z właścicielami zasobów, aby upewnić się, że regularnie sprawdza, kto ma dostęp do swoich zasobów.
Kiedy należy używać przeglądów dostępu?
- Zbyt wielu użytkowników w rolach uprzywilejowanych: dobrym pomysłem jest sprawdzenie, ilu użytkowników ma dostęp administracyjny, ile z nich jest globalnych Administracja istratorów, a jeśli po przypisaniu do zadania administracyjnego nie usunięto żadnych zaproszonych gości lub partnerów. Możesz ponownie certyfikować użytkowników przypisań ról w rolach firmy Microsoft Entra, takich jak globalne Administracja istratory lub role zasobów platformy Azure, takie jak user access Administracja istrator w środowisku usługi Microsoft Entra Privileged Identity Management (PIM).
- Jeśli automatyzacja nie jest możliwa: możesz utworzyć reguły dynamicznego członkostwa w grupach zabezpieczeń lub Grupy Microsoft 365, ale co zrobić, jeśli dane hr nie znajdują się w identyfikatorze Entra firmy Microsoft lub jeśli użytkownicy nadal potrzebują dostępu po opuszczeniu grupy w celu wytrenowania ich zastąpienia? Następnie możesz utworzyć przegląd dla tej grupy, aby upewnić się, że ci, którzy nadal potrzebują dostępu, zachowają dostęp.
- Gdy grupa jest używana do nowego celu: jeśli masz grupę, która ma zostać zsynchronizowana z identyfikatorem Entra firmy Microsoft, lub jeśli planujesz włączyć aplikację Salesforce dla wszystkich użytkowników grupy Salesforce, warto poprosić właściciela grupy o przejrzenie członkostwa w grupie grupy przed użyciem grupy w innej zawartości ryzyka.
- Dostęp do danych krytycznych dla działania firmy: w przypadku niektórych zasobów, takich jak aplikacje krytyczne dla działania firmy, może być wymagane w ramach procesów zgodności, aby poprosić użytkowników o regularne ponowne potwierdzenie i uzasadnić, dlaczego potrzebują ciągłego dostępu.
- Aby zachować listę wyjątków zasad: w idealnym świecie wszyscy użytkownicy będą przestrzegać zasad dostępu w celu zabezpieczenia dostępu do zasobów organizacji. Czasami jednak istnieją przypadki biznesowe, które wymagają wyjątków. Jako administrator IT możesz zarządzać tym zadaniem, unikać nadzoru nad wyjątkami zasad i udostępniać audytorom dowód, że te wyjątki są regularnie przeglądane.
- Poproś właścicieli grup o potwierdzenie, że nadal potrzebują gości w swoich grupach: Dostęp pracowników może być zautomatyzowany z innymi funkcjami zarządzania tożsamościami i dostępem, takimi jak przepływy pracy cyklu życia na podstawie danych ze źródła kadr, ale nie zaproszonych gości. Jeśli grupa zapewnia gościom dostęp do zawartości poufnej dla firmy, to właściciel grupy jest odpowiedzialny za potwierdzenie, że goście nadal mają uzasadnione potrzeby biznesowe dostępu.
- Przeglądy są okresowo powtarzane: możesz skonfigurować cykliczne przeglądy dostępu użytkowników przy ustawionych częstotliwościach, takich jak cotygodniowe, miesięczne, kwartalne lub roczne, a recenzenci są powiadamiani na początku każdej recenzji. Recenzenci mogą zatwierdzać lub odmawiać dostępu za pomocą przyjaznego interfejsu i za pomocą inteligentnych zaleceń.
Uwaga
Jeśli wszystko jest gotowe do wypróbowania przeglądów dostępu, zobacz Tworzenie przeglądu dostępu grup lub aplikacji
Gdzie tworzysz recenzje?
W zależności od tego, co chcesz przejrzeć, możesz utworzyć przegląd dostępu w przeglądach dostępu, aplikacjach firmy Microsoft Entra dla przedsiębiorstw, usłudze PIM lub zarządzaniu upoważnieniami.
| Prawa dostępu użytkowników | Recenzenci mogą być | Przegląd utworzony w programie | Środowisko recenzenta |
|---|---|---|---|
| Członkowiegrupy zabezpieczeń Członkowie grupy pakietu Office | Określeni recenzenciWłaścicielegrup — samodzielna recenzja | przeglądydostępu grup firmy Microsoft Entra | Panel dostępu |
| Przypisano do połączonej aplikacji | Określoni recenzenci— samodzielna recenzja | przeglądydostępu dla aplikacji firmy Microsoft Entra dla przedsiębiorstw | Panel dostępu |
| Rola Microsoft Entra | Określoni recenzenci— samodzielna recenzja | PIM | Microsoft Entra Administracja Center |
| Rola zasobów platformy Azure | Określoni recenzenci— samodzielna recenzja | PIM | Microsoft Entra Administracja Center |
| Uzyskiwanie dostępu do przypisań pakietów | Określeni recenzenci członkowiegrupy— samodzielna recenzja | zarządzanie upoważnieniami | Panel dostępu |
Wymagania dotyczące licencji
Korzystanie z tej funkcji wymaga Zarządzanie tożsamością Microsoft Entra subskrypcji dla użytkowników organizacji. Niektóre funkcje w ramach tej funkcji mogą działać z subskrypcją microsoft Entra ID P2, zobacz artykuły dotyczące każdej funkcji, aby uzyskać więcej szczegółów. Aby znaleźć odpowiednią licencję dla wymagań, zobacz Zarządzanie tożsamością Microsoft Entra podstawy licencjonowania.
Uwaga
Utworzenie przeglądu nieaktywnych użytkowników i rekomendacji dotyczących przynależności użytkownika do grupy wymaga licencji Zarządzanie tożsamością Microsoft Entra.