Udostępnij za pośrednictwem


Co to są przeglądy dostępu?

Przeglądy dostępu w usłudze Microsoft Entra ID, część firmy Microsoft Entra, umożliwiają organizacjom efektywne zarządzanie członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkowników można regularnie przeglądać, aby upewnić się, że tylko odpowiednie osoby mają stały dostęp.

Oto film wideo, który zawiera krótkie omówienie przeglądów dostępu:

Dlaczego przeglądy dostępu są ważne?

Identyfikator Entra firmy Microsoft umożliwia współpracę z użytkownikami z organizacji oraz z użytkownikami zewnętrznymi. Użytkownicy mogą dołączać do grup, zapraszać gości, łączyć się z aplikacjami w chmurze i zdalnie pracować z urządzeń służbowych lub osobistych. Wygoda korzystania z samoobsługi doprowadziła do potrzeby lepszego zarządzania dostępem.

  • Gdy nowi pracownicy dołączają, jak upewnić się, że mają dostęp, którego potrzebują, aby byli wydajni?
  • Jak użytkownicy przenoszą zespoły lub opuszczają firmę, jak upewnić się, że ich stary dostęp został usunięty?
  • Nadmierne prawa dostępu mogą prowadzić do naruszenia zabezpieczeń.
  • Nadmierne prawo dostępu może również prowadzić do ustaleń inspekcji, ponieważ wskazują brak kontroli nad dostępem.
  • Musisz aktywnie współpracować z właścicielami zasobów, aby upewnić się, że regularnie sprawdza, kto ma dostęp do swoich zasobów.

Kiedy należy używać przeglądów dostępu?

  • Zbyt wielu użytkowników w rolach uprzywilejowanych: dobrym pomysłem jest sprawdzenie, ilu użytkowników ma dostęp administracyjny, ilu z nich jest administratorami globalnymi, a jeśli po przypisaniu zadania administracyjnego nie ma zaproszonych gości lub partnerów. Możesz ponownie certyfikować użytkowników przypisań ról w rolach firmy Microsoft Entra, takich jak administratorzy globalni lub role zasobów platformy Azure, takie jak administrator dostępu użytkowników w środowisku usługi Microsoft Entra Privileged Identity Management (PIM).
  • Jeśli automatyzacja nie jest możliwa: możesz utworzyć reguły dla dynamicznych grup członkostwa, grup zabezpieczeń lub Grupy Microsoft 365, ale co zrobić, jeśli dane hr nie znajdują się w identyfikatorze Entra firmy Microsoft lub jeśli użytkownicy nadal potrzebują dostępu po opuszczeniu grupy w celu wytrenowania ich zastąpienia? Następnie możesz utworzyć przegląd dla tej grupy, aby upewnić się, że ci, którzy nadal potrzebują dostępu, zachowają dostęp.
  • Gdy grupa jest używana do nowego celu: jeśli masz grupę, która ma zostać zsynchronizowana z identyfikatorem Entra firmy Microsoft, lub jeśli planujesz włączyć aplikację Salesforce dla wszystkich osób w grupie zespół ds. sprzedaży, warto poprosić właściciela grupy o przejrzenie dynamicznej grupy członkostwa przed użyciem jej w innej zawartości ryzyka.
  • Dostęp do danych krytycznych dla działania firmy: w przypadku niektórych zasobów, takich jak aplikacje krytyczne dla działania firmy, może być wymagane w ramach procesów zgodności, aby poprosić użytkowników o regularne ponowne potwierdzenie i uzasadnić, dlaczego potrzebują ciągłego dostępu.
  • Aby zachować listę wyjątków zasad: w idealnym świecie wszyscy użytkownicy będą przestrzegać zasad dostępu w celu zabezpieczenia dostępu do zasobów organizacji. Czasami jednak istnieją przypadki biznesowe, które wymagają wyjątków. Jako administrator IT możesz zarządzać tym zadaniem, unikać nadzoru nad wyjątkami zasad i udostępniać audytorom dowód, że te wyjątki są regularnie przeglądane.
  • Poproś właścicieli grup o potwierdzenie, że nadal potrzebują gości w swoich grupach: Dostęp pracowników może być zautomatyzowany z innymi funkcjami zarządzania tożsamościami i dostępem, takimi jak przepływy pracy cyklu życia na podstawie danych ze źródła kadr, ale nie zaproszonych gości. Jeśli grupa zapewnia gościom dostęp do zawartości poufnej dla firmy, to właściciel grupy jest odpowiedzialny za potwierdzenie, że goście nadal mają uzasadnione potrzeby biznesowe dostępu.
  • Przeglądy są okresowo powtarzane: możesz skonfigurować cykliczne przeglądy dostępu użytkowników przy ustawionych częstotliwościach, takich jak cotygodniowe, miesięczne, kwartalne lub roczne, a recenzenci są powiadamiani na początku każdej recenzji. Recenzenci mogą zatwierdzać lub odmawiać dostępu za pomocą przyjaznego interfejsu i za pomocą inteligentnych zaleceń.

Uwaga

Jeśli wszystko jest gotowe do wypróbowania przeglądów dostępu, zobacz Tworzenie przeglądu dostępu grup lub aplikacji

Gdzie tworzysz recenzje?

W zależności od tego, co chcesz przejrzeć, możesz utworzyć przegląd dostępu w przeglądach dostępu, aplikacjach firmy Microsoft Entra dla przedsiębiorstw, usłudze PIM lub zarządzaniu upoważnieniami.

Prawa dostępu użytkowników Recenzenci mogą być Przegląd utworzony w programie Środowisko recenzenta
Członkowie
grupy zabezpieczeń Członkowie grupy pakietu Office
Określeni recenzenci
Właściciele
grup — samodzielna recenzja
przeglądy
dostępu grup firmy Microsoft Entra
Panel dostępu
Przypisano do połączonej aplikacji Określoni recenzenci
— samodzielna recenzja
przeglądy
dostępu dla aplikacji firmy Microsoft Entra dla przedsiębiorstw
Panel dostępu
Rola Microsoft Entra Określoni recenzenci
— samodzielna recenzja
PIM Centrum administracyjne Microsoft Entra
Rola zasobów platformy Azure Określoni recenzenci
— samodzielna recenzja
PIM Centrum administracyjne Microsoft Entra
Uzyskiwanie dostępu do przypisań pakietów Określeni recenzenci członkowie
grupy
— samodzielna recenzja
zarządzanie upoważnieniami Panel dostępu

Wymagania dotyczące licencji

Ta funkcja wymaga subskrypcji Zarządzanie tożsamością Microsoft Entra lub Microsoft Entra Suite dla użytkowników organizacji. Niektóre możliwości, w ramach tej funkcji, mogą działać z subskrypcją Microsoft Entra ID P2. Aby uzyskać więcej informacji, zobacz artykuły dotyczące każdej możliwości, aby uzyskać więcej informacji. Aby znaleźć odpowiednią licencję dla wymagań, zobacz Zarządzanie tożsamością Microsoft Entra podstawy licencjonowania.

Uwaga

Utworzenie przeglądu nieaktywnych użytkowników i rekomendacji dotyczących przynależności użytkownika do grupy wymaga licencji Zarządzanie tożsamością Microsoft Entra.

Następne kroki