Skapa en åtkomstgranskning av Azure-resursen och Azure AD roller i PIM

Behovet av åtkomst till privilegierade Azure-resurser och Azure AD roller för anställda ändras över tid. Minska risken för inaktuella rolltilldelningar genom att regelbundet granska åtkomsten. Du kan använda Azure Active Directory (Azure AD) Privileged Identity Management (PIM) för att skapa åtkomstgranskningar för privilegierad åtkomst till Azure-resurser och Azure AD roller. Du kan också konfigurera återkommande åtkomstgranskningar som sker automatiskt. Den här artikeln beskriver hur man skapar en eller flera åtkomstgranskningar.

Krav

Användning av den här funktionen kräver Azure AD Premium P2 licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Azure AD. Mer information om licenser för PIM finns i Licenskrav för att använda Privileged Identity Management.

Om du vill skapa åtkomstgranskningar för Azure-resurser måste du tilldelas rollen Ägare eller Administratör för användaråtkomst för Azure-resurserna. Om du vill skapa åtkomstgranskningar för Azure AD roller måste du tilldelas rollen Global administratör eller Privilegierad rolladministratör.

Åtkomstgranskningar för tjänstens huvudnamn kräver en Premium-plan för Entra-arbetsbelastningsidentiteter.

Skapa åtkomstgranskningar

  1. Logga in på Azure Portal som en användare som har tilldelats någon av de nödvändiga rollerna.

  2. Välj Identitetsstyrning.

  3. För Azure AD roller väljer du Azure AD roller under Privileged Identity Management. För Azure-resurser väljer du Azure-resurser under Privileged Identity Management.

    Välj Identitetsstyrning i Azure Portal skärmbild.

  4. För Azure AD roller väljer du Azure AD roller igen under Hantera. För Azure-resurser väljer du den prenumeration som du vill hantera.

  5. Under Hantera väljer du Åtkomstgranskningar och sedan Nytt för att skapa en ny åtkomstgranskning.

    Azure AD roller – Åtkomstgranskningslista som visar status för alla recensioner skärmbild.

  6. Ge åtkomstgranskningen ett namn. Du kan också ge granskningen en beskrivning. Namnet och beskrivningen visas för granskarna.

    Skapa en åtkomstgranskning – Skärmbild av granska namn och beskrivning.

  7. Ange startdatum. Som standard sker en åtkomstgranskning en gång, startar samma tid som den skapas och avslutas om en månad. Du kan ändra start- och slutdatumen så att en åtkomstgranskning startar i framtiden och varar hur många dagar du vill.

    Skärmbild av startdatum, frekvens, varaktighet, slut, antal gånger och slutdatum.

  8. Om du vill göra åtkomstgranskningen återkommande ändrar du inställningen Frekvens från En gång till Varje vecka, Varje månad, Kvartalsvis, Årligen eller Halvår. Använd skjutreglaget eller textrutan Varaktighet för att definiera hur många dagar varje granskning av den återkommande serien ska vara öppen för indata från granskare. Den maximala varaktighet som du kan ange för en månatlig granskning är till exempel 27 dagar, för att undvika överlappande granskningar.

  9. Använd inställningen Slut för att ange hur du avslutar serien med återkommande åtkomstgranskningar. Serien kan sluta på tre sätt: den körs kontinuerligt för att starta granskningar på obestämd tid, tills ett visst datum eller efter att ett definierat antal förekomster har slutförts. Du, eller en annan administratör som kan hantera granskningar, kan stoppa serien när den har skapats genom att ändra datumet i Inställningar, så att den slutar det datumet.

  10. I avsnittet Omfång för användare väljer du omfånget för granskningen. För Azure AD roller är det första omfångsalternativet Användare och grupper. Direkttilldelade användare och rolltilldelningsbara grupper tas med i det här valet. För Azure-resursroller är det första omfånget Användare. Grupper som tilldelats Azure-resursroller utökas för att visa transitiva användartilldelningar i granskningen med det här valet. Du kan också välja Tjänsthuvudnamn för att granska datorkontona med direkt åtkomst till antingen Azure-resursen eller Azure AD rollen.

    Användarnas omfång för att granska rollmedlemskap i skärmbilden.

  11. Eller så kan du bara skapa åtkomstgranskningar för inaktiva användare (förhandsversion). I avsnittet Användares omfång anger du endast inaktiva användare (på klientorganisationsnivå) till true. Om växlingsknappen är inställd på true fokuserar granskningsomfånget endast på inaktiva användare. Ange sedan Inaktiva dagar med ett antal inaktiva dagar upp till 730 dagar (två år). Användare som är inaktiva under det angivna antalet dagar är de enda användarna i granskningen.

  12. Under Granska rollmedlemskap väljer du den privilegierade Azure-resursen eller Azure AD roller som ska granskas.

    Anteckning

    Om du väljer mer än en roll skapas flera åtkomstgranskningar. Om du till exempel väljer fem roller skapas fem separata åtkomstgranskningar.

    Skärmbild av granska rollmedlemskap.

  13. I tilldelningstyp omfångsbegränsar du granskningen efter hur huvudnamnet tilldelades rollen. Välj endast berättigade tilldelningar för att granska berättigade tilldelningar (oavsett aktiveringsstatus när granskningen skapas) eller aktiva tilldelningar endast för att granska aktiva tilldelningar. Välj alla aktiva och berättigade tilldelningar för att granska alla tilldelningar oavsett typ.

    Skärmbild av granskarnas lista över tilldelningstyper.

  14. I avsnittet Granskare väljer du en eller flera personer för att granska alla användare. Eller så kan du välja att låta medlemmarna granska sin egen åtkomst.

    Granskare lista över valda användare eller medlemmar (själv)

    • Valda användare – Använd det här alternativet om du vill ange en specifik användare för att slutföra granskningen. Det här alternativet är tillgängligt oavsett omfånget för granskningen och de valda granskarna kan granska användare, grupper och tjänstens huvudnamn.
    • Medlemmar (själv) – Använd det här alternativet för att låta användarna granska sina egna rolltilldelningar. Det här alternativet är endast tillgängligt om granskningen är begränsad till användare och grupper eller användare. För Azure AD roller är rolltilldelningsbara grupper inte en del av granskningen när det här alternativet väljs.
    • Manager – Använd det här alternativet om du vill att användarens chef ska granska rolltilldelningen. Det här alternativet är endast tillgängligt om granskningen är begränsad till användare och grupper eller användare. När du väljer Chef har du också möjlighet att ange en reservgranskare. Återställningsgranskare uppmanas att granska en användare när användaren inte har någon hanterare angiven i katalogen. För Azure AD roller granskas rolltilldelningsbara grupper av reservgranskaren om en av dem har valts.

När inställningarna har slutförts

  1. Om du vill ange vad som händer när en granskning har slutförts expanderar du avsnittet Inställningar vid slutförande .

    När du har slutfört inställningarna för automatisk tillämpning och bör granska inte svara skärmbild.

  2. Om du vill ta bort åtkomst automatiskt för användare som nekats anger du Tillämpa automatiskt resultat på resurs tillAktivera. Om du vill tillämpa resultaten manuellt när granskningen är klar ställer du in växeln på Inaktivera.

  3. Använd listan Om granskaren svarar inte för att ange vad som händer för användare som inte granskas av granskaren inom granskningsperioden. Den här inställningen påverkar inte användare som har granskats av granskarna.

    • Ingen ändring – Lämna användarens åtkomst oförändrad
    • Ta bort åtkomst – Ta bort användarens åtkomst
    • Godkänn åtkomst – Godkänn användarens åtkomst
    • Ta rekommendationer – Följ systemets rekommendation om att neka eller godkänna användarens fortsatta åtkomst
  4. Använd åtgärden för att tillämpa på listan med nekade gästanvändare för att ange vad som händer för gästanvändare som nekas. Den här inställningen kan inte redigeras för Azure AD- och Azure-resursrollgranskningar just nu. Gästanvändare, precis som alla användare, förlorar alltid åtkomsten till resursen om de nekas.

    När inställningarna har slutförts – Åtgärd som ska tillämpas på nekad gästanvändare skärmbild.

  5. Du kan skicka meddelanden till ytterligare användare eller grupper för att få uppdateringar av slutförande av granskningar. Med den här funktionen kan andra intressenter än granskningsskapare uppdateras om granskningens förlopp. Om du vill använda den här funktionen väljer du Välj användare eller grupper och lägger till ytterligare en användare eller grupp när du vill få statusen slutförd.

    När inställningarna har slutförts – Lägg till ytterligare användare för att ta emot aviseringar skärmbild.

Avancerade inställningar

  1. Om du vill ange ytterligare inställningar expanderar du avsnittet Avancerade inställningar .

    Avancerade inställningar för att visa rekommendationer, kräva orsak för godkännande, e-postmeddelanden och skärmbild av påminnelser.

  2. Ange Visa rekommendationer till Aktivera för att visa granskarna systemrekommendationerna baserat på användarens åtkomstinformation. Rekommendationerna baseras på en intervallperiod på 30 dagar där användare som har loggat under de senaste 30 dagarna rekommenderas åtkomst, medan användare som inte har nekad åtkomst rekommenderas. Dessa inloggningar är oberoende av om de var interaktiva. Den sista inloggningen för användaren visas också tillsammans med rekommendationen.

  3. Ange Kräv orsak vid godkännande till Aktivera för att kräva att granskaren anger en orsak till godkännandet.

  4. Ställ in E-postaviseringarAktivera så att Azure AD skicka e-postaviseringar till granskare när en åtkomstgranskning startar och till administratörer när en granskning är klar.

  5. Ställ in PåminnelserAktivera så att Azure AD skicka påminnelser om pågående åtkomstgranskningar till granskare som inte har slutfört sin granskning.

  6. Innehållet i e-postmeddelandet som skickas till granskare genereras automatiskt baserat på granskningsinformationen, till exempel granskningsnamn, resursnamn, förfallodatum osv. Om du behöver ett sätt att förmedla ytterligare information, till exempel ytterligare instruktioner eller kontaktinformation, kan du ange den här informationen i Ytterligare innehåll för granskarens e-post som kommer att ingå i e-postmeddelanden för inbjudan och påminnelser som skickas till tilldelade granskare. I det markerade avsnittet nedan kan du se var den här informationen visas.

    Innehållet i e-postmeddelandet som skickas till granskare med höjdpunkter

Hantera åtkomstgranskningen

Du kan spåra förloppet när granskarna slutför sina granskningar på översiktssidan för åtkomstgranskningen. Inga åtkomsträttigheter ändras i katalogen förrän granskningen har slutförts. Nedan visas en skärmbild som visar översiktssidan för Azure-resurser och Azure AD roller åtkomstgranskningar.

Översiktssida för åtkomstgranskningar som visar information om åtkomstgranskningen för Azure AD roller skärmbild.

Om det här är en engångsgranskning följer du stegen i Slutför en åtkomstgranskning av Azure-resursen och Azure AD roller när åtkomstgranskningsperioden är över eller administratören stoppar åtkomstgranskningen för att se och tillämpa resultaten.

Om du vill hantera en serie åtkomstgranskningar går du till åtkomstgranskningen och hittar kommande förekomster i Schemalagda granskningar och redigerar slutdatumet eller lägger till/tar bort granskare i enlighet med detta.

Baserat på dina val i När inställningarna har slutförts körs automatisk tillämpning efter granskningens slutdatum eller när du stoppar granskningen manuellt. Statusen för granskningen ändras från Slutförd via mellanliggande tillstånd, till exempel Tillämpad och slutligen till tillståndet Tillämpad. Du bör förvänta dig att nekad användare, om några, tas bort från roller inom några minuter.

Effekten av grupper som tilldelats till Azure AD roller och Azure-resursroller i åtkomstgranskningar

• För Azure AD roller kan rolltilldelningsbara grupper tilldelas rollen med hjälp av rolltilldelningsbara grupper. När en granskning skapas på en Azure AD roll med tilldelade rolltilldelningsbara grupper visas gruppnamnet i recensionen utan att gruppmedlemskapet expanderas. Granskaren kan godkänna eller neka åtkomst för hela gruppen till rollen. Nekade grupper förlorar sin tilldelning till rollen när granskningsresultat tillämpas.

• För Azure-resursroller kan alla säkerhetsgrupper tilldelas till rollen. När en granskning skapas på en Azure-resursroll med en tilldelad säkerhetsgrupp, kommer de användare som tilldelats till den säkerhetsgruppen att expanderas fullständigt och visas för granskaren av rollen. När en granskare nekar en användare som har tilldelats rollen via säkerhetsgruppen tas användaren inte bort från gruppen, och därför misslyckas tillämpningen av neka-resultatet.

Anteckning

Det är möjligt för en säkerhetsgrupp att ha andra grupper tilldelade till sig. I det här fallet visas endast de användare som har tilldelats direkt till den säkerhetsgrupp som tilldelats rollen i granskningen av rollen.

Uppdatera åtkomstgranskningen

När en eller flera åtkomstgranskningar har startats kanske du vill ändra eller uppdatera inställningarna för dina befintliga åtkomstgranskningar. Här är några vanliga scenarier som du kanske vill överväga:

  • Lägga till och ta bort granskare – När du uppdaterar åtkomstgranskningar kan du välja att lägga till en reservgranskare utöver den primära granskaren. Primära granskare kan tas bort när de uppdaterar en åtkomstgranskning. Återställningsgranskare är dock inte flyttbara avsiktligt.

    Anteckning

    Återställningsgranskare kan bara läggas till när granskartypen är chef. Primära granskare kan läggas till när granskartypen är vald användare.

  • Påminn granskarna – När du uppdaterar åtkomstgranskningar kan du välja att aktivera påminnelsealternativet under Avancerade inställningar. När det har aktiverats får användarna ett e-postmeddelande i mitten av granskningsperioden, oavsett om de har slutfört granskningen eller inte.

    Skärmbild av påminnelsealternativet under inställningar för åtkomstgranskningar.

  • Uppdaterar inställningarna – Om en åtkomstgranskning är återkommande finns det separata inställningar under "Aktuell" jämfört med "Serie". Om du uppdaterar inställningarna under "Aktuell" tillämpas endast ändringar i den aktuella åtkomstgranskningen när inställningarna under "Serie" uppdateras för alla framtida upprepningar.

    Skärmbild av inställningssidan under åtkomstgranskningar.

Nästa steg