Что собой представляют проверки доступа Azure AD?

Служба проверок доступа Azure Active Directory (Azure AD) позволяет организациям эффективно управлять членством в группе, доступом к корпоративным приложениям и назначением ролей. Доступ пользователей можно проверять на регулярной основе, чтобы только у авторизованных пользователей был постоянный доступ.

Вот видео, в котором представлен краткий обзор проверки доступа:

Почему важны проверки доступа

Azure AD позволяет работать вместе с коллегами из организации и внешними пользователями. Пользователи могут присоединяться к группам, приглашать гостей, подключаться к облачным приложениям и удаленно работать со своих рабочих или личных устройств. Удобство самообслуживания привели к потребности в более широких возможностях управления доступом.

  • Как обеспечить новым сотрудникам необходимый доступ, чтобы они работали максимально производительно?
  • Люди переходят из одной команды в другою и уходят из компании. Как отозвать у них старые права доступа?
  • Чрезмерные права доступа могут привести к компрометации данных.
  • Они также могут стать поводом для проведения тщательного аудита, так как укажут на отсутствие контроля доступа.
  • Вам нужно заблаговременно обратиться к владельцам ресурсов и убедиться, что они регулярно проверяют, у кого есть доступ к их ресурсам.

Когда следует использовать проверки доступа?

  • Когда слишком много пользователей обладают привилегированными ролями. Хорошей практикой считается проверять, у скольких пользователей есть административный доступ, сколько из них являются глобальными администраторами, есть ли приглашенные гости или партнеры, которые не были удалены после назначения им административных задач. Можно повторно сертифицировать назначение пользователям ролей Azure AD, таких как глобальные администраторы, или ролей ресурсов Azure, таких как администратор доступа пользователей, в Azure AD Privileged Identity Management (PIM).
  • Когда автоматизация невозможна. Предположим, вы создали правила для динамического членства в группах безопасности или группах Microsoft 365. Но что делать, если данные отдела кадров не хранятся в Azure AD или пользователям требуется возможность доступа после выхода из группы, например для обучения пришедших им на замену сотрудников? Можно создать проверку для этой группы, чтобы убедиться, что доступ есть у пользователей, которым он по-прежнему необходим.
  • Когда группа используется в новых целях. Если у вас есть группа, которая будет синхронизироваться с Azure AD или если вы планируете включить приложение Salesforce для всех пользователей в группе продаж, будет полезно попросить владельца группы проверить членство в группе, прежде чем она будет использоваться для другого содержимого.
  • Доступ к критически важным для бизнеса данным: для определенных ресурсов, например для критически важных для бизнеса приложений, в целях обеспечения соответствия требованиям может потребоваться механизм регулярного подтверждения и обоснования причин, требующих сохранения доступа.
  • Когда нужно поддерживать список исключений политики. В идеальном мире все пользователи соблюдают политики доступа для защиты доступа к ресурсам организации. Но иногда в интересах бизнеса приходится делать исключения. ИТ-администраторы могут управлять этой задачей, чтобы не просмотреть исключения политик и предоставить аудиторам доказательства регулярной проверки этих исключений.
  • Попросите владельцев группы подтвердить, что им все еще нужны гости в группах. С помощью локальной Системы управления идентификацией и доступом (IAM) можно автоматизировать предоставление доступа сотрудникам, но не приглашенным гостям. Если группа предоставляет гостям доступ к конфиденциальному бизнес-содержимому, то владелец группы должен подтвердить, что гостям по-прежнему на законных основаниях требуется такой доступ для бизнеса.
  • Периодически повторяйте проверки. Вы можете настроить повторяющиеся проверки доступа пользователей с заданной частотой (например, еженедельно, ежемесячно, ежеквартально или ежегодно). Перед каждой новой проверкой рецензентам будет отправляться соответствующее уведомление. Рецензенты могут подтверждать или отклонять доступ с помощью удобного интерфейса и смарт-рекомендаций.

Примечание

Если вы готовы попробовать проверки доступа, ознакомьтесь с разделом Создание проверки доступа групп или приложений.

Где создавать проверки

В зависимости от того, что именно нужно проверить, проверку доступа вы будете создавать в службе проверок доступа Azure AD, в корпоративных приложениях Azure AD (предварительная версия), в Azure AD PIM или в управлении правами Azure AD.

Права доступа пользователей Типы рецензентов Где создана проверка Работа рецензентов
Члены группы безопасности
Члены группы Office
Указанные рецензенты
Владельцы группы
Самостоятельная проверка
Проверки доступа Azure AD
Группы Azure AD
Панель доступа
Назначенные для подключенного приложения Указанные рецензенты
Самостоятельная проверка
Проверки доступа Azure AD
Корпоративные приложения Azure AD (в предварительной версии)
Панель доступа
Роль Azure AD Указанные рецензенты
Самостоятельная проверка
Azure AD PIM Портал Azure
Роль ресурса Azure Указанные рецензенты
Самостоятельная проверка
Azure AD PIM Портал Azure
Назначения пакетов для доступа Указанные проверяющие
Члены группы
Самостоятельная проверка
Управление правами Azure AD Панель доступа

Требования лицензий

Для использования этой функции требуются лицензии Azure AD Premium P2. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций Azure AD.

Сколько лицензий потребуется?

В каталоге должно быть по меньшей мере столько же лицензий Azure AD Premium P2, сколько у вас сотрудников со следующими ролями и полномочиями:

  • участники, назначенные в качестве рецензентов;
  • участники, выполняющие самостоятельную проверку;
  • участники с правами владельцев групп, выполняющие проверку доступа;
  • участники с правами владельцев приложений, выполняющие проверку доступа.

Для гостевых пользователей необходимость в получении лицензии будет зависеть от используемой вами модели лицензирования. Но назначение гостевым пользователям приведенных ниже прав будет считаться использованием предложения Azure AD Premium P2:

  • гостевые пользователи, назначенные в качестве рецензентов;
  • гостевые пользователи, выполняющие самостоятельную проверку;
  • гостевые пользователи с правами владельцев групп, выполняющие проверку доступа;
  • гостевые пользователи с правами владельцев приложений, выполняющие проверку доступа.

Лицензии Azure AD Premium P2 не требуются для пользователей с ролями глобального администратора или администратора пользователей, которые настраивают проверки доступа и параметры или применяют решения из проверок.

Доступ для гостевых пользователей Azure AD предоставляется на основе модели выставления счетов "ежемесячно активный пользователь" (MAU), которая заменяет модель выставления счетов в соотношении 1:5. Дополнительные сведения см. в статье Модель выставления счетов для внешних удостоверений Azure AD.

Дополнительные сведения о лицензиях см. в статье Назначение или удаление лицензий с помощью портала Azure Active Directory.

Примеры сценариев лицензирования

Описанные ниже примеры сценариев лицензирования помогут вам определить необходимое количество лицензий.

Сценарий Вычисление Количество лицензий
Администратор создает проверку доступа для группы A с 75 пользователями и одним владельцем группы, а этого владельца группы назначает в качестве рецензента. Одна лицензия для владельца группы в роли рецензента 1
Администратор создает проверку доступа для группы B с 500 пользователями и тремя владельцами группы, а всех владельцев группы назначает в качестве рецензентов. Три лицензии для каждого владельца группы в роли рецензента 3
Администратор создает проверку доступа для группы B с 500 пользователями. Для этой группы он включает самостоятельную проверку. 500 лицензий для каждого пользователя в роли самостоятельного рецензента 500
Администратор создает проверку доступа для группы C с 50 пользователями и 25 гостевыми пользователями. Для этой группы он включает самостоятельную проверку. 50 лицензий для каждого пользователя в роли самостоятельного рецензента*. 50
Администратор создает проверку доступа для группы D с шестью пользователями-участниками и 108 гостевыми пользователями. Для этой группы он включает самостоятельную проверку. 6 лицензий для каждого пользователя в роли самостоятельного рецензента. За гостевых пользователей плата взимается как за ежемесячно активных пользователей (MAU). Дополнительные лицензии не требуются. * 6

* Плата за внешние удостоверения Azure AD (гостевой пользователь) взимается как за ежемесячно активных пользователей (MAU). Это число уникальных пользователей с действиями проверки подлинности в пределах календарного месяца. Эта модель заменяет модель выставления счетов в соотношении 1:5, когда на каждую лицензию Azure AD Premium в клиенте разрешено до пяти гостевых пользователей. Если клиент связан с подпиской и вы используете возможности внешних удостоверений для совместной работы с гостевыми пользователями, вам автоматически будет выставляться счет с использованием модели на основе MAU. Дополнительные сведения см. в статье Модель выставления счетов для Внешних удостоверений Azure AD.

Дальнейшие действия