Vad är Microsoft Entra åtkomstgranskningar?

Microsoft Entra åtkomstgranskningar gör det möjligt för organisationer att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Användarens åtkomst kan granskas regelbundet för att se till att endast rätt personer har fortsatt åtkomst.

Här är en video som ger en snabb översikt över åtkomstgranskningar:

Varför är åtkomstgranskningar viktiga?

Azure AD kan du samarbeta med användare inifrån din organisation och med externa användare. Användare kan ansluta till grupper, bjuda in gäster, ansluta till molnappar och fjärransluta från sina arbetsenheter eller personliga enheter. Bekvämligheten med att använda självbetjäning har lett till ett behov av bättre åtkomsthanteringsfunktioner.

  • Hur ser du till att de har den åtkomst de behöver för att vara produktiva när nya medarbetare ansluter?
  • Hur ser du till att deras gamla åtkomst tas bort när personer flyttar team eller lämnar företaget?
  • Överdrivna åtkomsträttigheter kan leda till kompromisser.
  • Överdriven åtkomsträtt kan också leda till granskningsresultat eftersom de tyder på bristande kontroll över åtkomsten.
  • Du måste proaktivt kontakta resursägare för att säkerställa att de regelbundet granskar vem som har åtkomst till deras resurser.

När ska du använda åtkomstgranskningar?

  • För många användare i privilegierade roller: Det är en bra idé att kontrollera hur många användare som har administrativ åtkomst, hur många av dem som är globala administratörer och om det finns några inbjudna gäster eller partner som inte har tagits bort efter att ha tilldelats att utföra en administrativ uppgift. Du kan omcertifiera rolltilldelningsanvändare i Azure AD roller som globala administratörer eller Azure-resursroller, till exempel Administratör för användaråtkomst i Microsoft Entra Privileged Identity Management (PIM).
  • När automatisering inte är möjligt: Du kan skapa regler för dynamiskt medlemskap i säkerhetsgrupper eller Microsoft 365-grupper, men vad händer om HR-data inte finns i Azure AD eller om användarna fortfarande behöver åtkomst efter att ha lämnat gruppen för att träna sin ersättning? Du kan sedan skapa en granskning av gruppen för att säkerställa att de som fortfarande behöver åtkomst ska ha fortsatt åtkomst.
  • När en grupp används för ett nytt syfte: Om du har en grupp som ska synkroniseras till Azure AD, eller om du planerar att aktivera programmet Salesforce för alla i säljteamgruppen, skulle det vara bra att be gruppägaren att granska gruppmedlemskapet innan gruppen används i ett annat riskinnehåll.
  • Affärskritisk dataåtkomst: för vissa resurser, till exempel affärskritiska program, kan det krävas som en del av efterlevnadsprocesserna för att be människor att regelbundet bekräfta och ge en motivering till varför de behöver fortsatt åtkomst.
  • Så här underhåller du en princips undantagslista: I en idealisk värld skulle alla användare följa åtkomstprinciperna för att skydda åtkomsten till organisationens resurser. Ibland finns det dock affärsfall som kräver att du gör undantag. Som IT-administratör kan du hantera den här uppgiften, undvika övervakning av principfel och ge granskare bevis för att dessa undantag granskas regelbundet.
  • Be gruppägare att bekräfta att de fortfarande behöver gäster i sina grupper: Medarbetarnas åtkomst kan automatiseras med viss lokal identitets- och åtkomsthantering (IAM), men inte inbjudna gäster. Om en grupp ger gästerna åtkomst till företagskänsligt innehåll är det gruppägarens ansvar att bekräfta att gästerna fortfarande har ett legitimt affärsbehov för åtkomst.
  • Låt granskningarna återkomma med jämna mellanrum: Du kan konfigurera återkommande åtkomstgranskningar av användare med angivna frekvenser, till exempel varje vecka, varje månad, kvartalsvis eller årligen, och granskarna meddelas i början av varje granskning. Granskare kan godkänna eller neka åtkomst med ett användarvänligt gränssnitt och med hjälp av smarta rekommendationer.

Anteckning

Om du är redo att prova Åtkomstgranskningar tar du en titt på Skapa en åtkomstgranskning av grupper eller program

Var skapar du recensioner?

Beroende på vad du vill granska skapar du din åtkomstgranskning i Microsoft Entra åtkomstgranskningar, Azure AD företagsappar (i förhandsversion), Microsoft Entra PIM eller Microsoft Entra berättigandehantering.

Åtkomsträttigheter för användare Granskare kan Granska som skapats i Granskningsupplevelse
Säkerhetsgruppmedlemmar
Office-gruppmedlemmar
Angivna granskare
Gruppägare
Självgranskning
Microsoft Entra åtkomstgranskningar
Azure AD grupper
Åtkomstpanel
Tilldelad till en ansluten app Angivna granskare
Självgranskning
Microsoft Entra åtkomstgranskningar
Azure AD företagsappar (i förhandsversion)
Åtkomstpanel
Azure AD roll Angivna granskare
Självgranskning
Microsoft Entra PIM Azure Portal
Azure-resursroll Angivna granskare
Självgranskning
Microsoft Entra PIM Azure Portal
Åtkomstpakettilldelningar Angivna granskare
Gruppmedlemmar
Självgranskning
Microsoft Entra berättigandehantering Åtkomstpanel

Licenskrav

Användning av den här funktionen kräver Azure AD Premium P2 licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Azure AD.

Hur många licenser måste du ha?

Katalogen behöver minst lika många Azure AD Premium P2 licenser som antalet anställda som ska utföra följande uppgifter:

  • Medlemsanvändare som har tilldelats som granskare
  • Medlemsanvändare som utför en självgranskning
  • Medlemsanvändare som gruppägare som utför en åtkomstgranskning
  • Medlemsanvändare som programägare som utför en åtkomstgranskning

För gästanvändare beror licensieringsbehoven på den licensieringsmodell som du använder. Gästanvändares aktiviteter nedan betraktas dock som Azure AD Premium P2 användning:

  • Gästanvändare som har tilldelats som granskare
  • Gästanvändare som utför en självgranskning
  • Gästanvändare som gruppägare som utför en åtkomstgranskning
  • Gästanvändare som programägare som utför en åtkomstgranskning

Azure AD Premium P2 licenser krävs inte för användare med rollerna Global administratör eller Användaradministratör som konfigurerar åtkomstgranskningar, konfigurerar inställningar eller tillämpar beslut från granskningarna.

Azure AD gästanvändaråtkomst baseras på faktureringsmodellen för månatliga aktiva användare (MAU), som ersätter faktureringsmodellen för 1:5-förhållandet. Mer information finns i prissättningen för Azure AD externa identiteter.

Mer information om licenser finns i Tilldela eller ta bort licenser med hjälp av Azure Active Directory-portalen.

Exempel på licensscenarier

Här följer några exempel på licensscenarier som hjälper dig att avgöra hur många licenser du måste ha.

Scenario Beräkning Antal licenser
En administratör skapar en åtkomstgranskning av grupp A med 75 användare och 1 gruppägare och tilldelar gruppägaren som granskare. 1 licens för gruppägaren som granskare 1
En administratör skapar en åtkomstgranskning av grupp B med 500 användare och 3 gruppägare och tilldelar de tre gruppägarna som granskare. 3 licenser för varje gruppägare som granskare 3
En administratör skapar en åtkomstgranskning av grupp B med 500 användare. Gör det till en självgranskning. 500 licenser för varje användare som självgranskare 500
En administratör skapar en åtkomstgranskning av grupp C med 50 medlemsanvändare och 25 gästanvändare. Gör det till en självgranskning. 50 licenser för varje användare som självgranskare.* 50
En administratör skapar en åtkomstgranskning av grupp D med 6 medlemsanvändare och 108 gästanvändare. Gör det till en självgranskning. 6 licenser för varje användare som självgranskare. Gästanvändare debiteras per månatlig aktiv användare (MAU). Inga ytterligare licenser krävs. * 6

* Azure AD prissättningen för externa identiteter (gästanvändare) baseras på månatliga aktiva användare (MAU), vilket är antalet unika användare med autentiseringsaktivitet inom en kalendermånad. Den här modellen ersätter 1:5-förhållandets faktureringsmodell, som tillåter upp till fem gästanvändare för varje Azure AD Premium-licens i din klientorganisation. När din klientorganisation är länkad till en prenumeration och du använder externa identitetsfunktioner för att samarbeta med gästanvändare debiteras du automatiskt med hjälp av den MAU-baserade faktureringsmodellen. Mer information finns i Faktureringsmodell för Azure AD externa identiteter.

Nästa steg