Что такое проверки доступа
Проверки доступа в идентификаторе Microsoft Entra, части Microsoft Entra, позволяют организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениям ролей. Доступ пользователей можно регулярно проверять, чтобы убедиться, что только правильные пользователи имеют постоянный доступ.
Вот видео, в котором представлен краткий обзор проверки доступа:
Почему важны проверки доступа
Идентификатор Microsoft Entra позволяет взаимодействовать с пользователями из вашей организации и внешними пользователями. Пользователи могут присоединяться к группам, приглашать гостей, подключаться к облачным приложениям и работать удаленно с рабочих или личных устройств. Удобство самообслуживания привели к потребности в более широких возможностях управления доступом.
- Как обеспечить новым сотрудникам необходимый доступ, чтобы они работали максимально производительно?
- Люди переходят из одной команды в другою и уходят из компании. Как отозвать у них старые права доступа?
- Чрезмерные права доступа могут привести к компрометации данных.
- Чрезмерное право доступа также может привести к выводу аудита, поскольку они указывают на отсутствие контроля над доступом.
- Вам нужно заблаговременно обратиться к владельцам ресурсов и убедиться, что они регулярно проверяют, у кого есть доступ к их ресурсам.
Когда следует использовать проверки доступа?
- Слишком много пользователей в привилегированных ролях: рекомендуется проверить, сколько пользователей имеют административный доступ, сколько из них являются глобальными администраторами, и если есть приглашенные гости или партнеры, которые не были удалены после назначения административной задачи. Вы можете повторно сертифицировать пользователей назначения ролей в ролях Microsoft Entra, таких как глобальные администраторы, или роли ресурсов Azure, такие как администратор доступа пользователей в интерфейсе Microsoft Entra управление привилегированными пользователями (PIM).
- Если автоматизация невозможна: вы можете создавать правила для динамических групп членства, групп безопасности или Группы Microsoft 365, но что делать, если данные отдела кадров не содержатся в идентификаторе Microsoft Entra или если пользователи по-прежнему нуждаются в доступе после выхода из группы для обучения их замены? Затем вы можете создать проверку в этой группе, чтобы убедиться, что те, кто по-прежнему нуждается в доступе, сохраняют доступ.
- Если группа используется для новой цели: если у вас есть группа, которая будет синхронизирована с идентификатором Microsoft Entra ID, или если вы планируете включить приложение Salesforce для всех участников группы продаж, будет полезно попросить владельца группы проверить группу динамического членства, прежде чем она будет использоваться в другом содержимом риска.
- Доступ к критически важным для бизнеса данным: для определенных ресурсов, например для критически важных для бизнеса приложений, в целях обеспечения соответствия требованиям может потребоваться механизм регулярного подтверждения и обоснования причин, требующих сохранения доступа.
- Требуется список исключений из политики. Только в идеальном мире все пользователи используют одинаковые политики доступа для защиты доступа к ресурсам организации. Но иногда в интересах бизнеса приходится делать исключения. ИТ-администраторы могут управлять этой задачей, чтобы не просмотреть исключения политик и предоставить аудиторам доказательства регулярной проверки этих исключений.
- Попросите владельцев групп подтвердить, что им по-прежнему нужны гости в своих группах: доступ сотрудников может быть автоматизирован с другими функциями управления удостоверениями и доступом, такими рабочими процессами жизненного цикла на основе данных из источника кадров, но не приглашенных гостей. Если группа предоставляет гостям доступ к конфиденциальному бизнес-содержимому, то владелец группы должен подтвердить, что гостям по-прежнему на законных основаниях требуется такой доступ для бизнеса.
- Периодически выполняйте проверки: вы можете настроить повторяющиеся проверки доступа пользователей на заданных частотах, таких как еженедельно, ежемесячно, квартально или ежегодно, а рецензенты уведомляются в начале каждого обзора. Рецензенты могут подтверждать или отклонять доступ с помощью удобного интерфейса и смарт-рекомендаций.
Примечание.
Если вы готовы попробовать проверки доступа, ознакомьтесь с разделом Создание проверки доступа групп или приложений.
Где создавать проверки
В зависимости от того, что требуется проверить, можно создать проверку доступа в проверках доступа, корпоративных приложениях Microsoft Entra, PIM или управлении правами.
| Права доступа пользователей | Типы рецензентов | Где создана проверка | Работа рецензентов |
|---|---|---|---|
| Члены группы безопасности Члены группы Office |
Указанные рецензенты Владельцы группы Самостоятельная проверка |
проверка доступа групп Microsoft Entra |
Панель доступа |
| Назначенные для подключенного приложения | Указанные рецензенты Самостоятельная проверка |
проверка доступа корпоративных приложений Microsoft Entra |
Панель доступа |
| Роль Microsoft Entra | Указанные рецензенты Самостоятельная проверка |
PIM | Центр администрирования Microsoft Entra |
| Роль ресурса Azure | Указанные рецензенты Самостоятельная проверка |
PIM | Центр администрирования Microsoft Entra |
| Назначения пакетов для доступа | Указанные проверяющие Члены группы Самостоятельная проверка |
управление правами | Панель доступа |
Требования к лицензиям
Эта функция требует Управление идентификацией Microsoft Entra или подписок Microsoft Entra Suite для пользователей вашей организации. Некоторые возможности в рамках этой функции могут работать с подпиской Microsoft Entra ID P2. Дополнительные сведения см. в статьях о каждой возможности. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.
Примечание.
Для создания проверки неактивных пользователей и рекомендаций о принадлежности пользователей к группам требуется лицензия Управление идентификацией Microsoft Entra.