Microsoft Entra hozzáférési felülvizsgálatok üzembe helyezésének megtervezése
A Microsoft Entra hozzáférési felülvizsgálatai az erőforrás-hozzáférési életciklus kezelésével segítenek a szervezetnek a vállalati biztonság megőrzésében. A hozzáférési felülvizsgálatokkal a következőt teheti:
Rendszeres felülvizsgálatokat ütemezhet, vagy alkalmi felülvizsgálatokat hajthat végre, hogy kiderítse, ki férhet hozzá adott erőforrásokhoz, például alkalmazásokhoz és csoportokhoz.
Elemzési, megfelelőségi vagy szabályzati okokból nyomon követheti az értékeléseket.
Véleményezések delegálása adott rendszergazdáknak, üzlettulajdonosoknak vagy felhasználóknak, akik önigazolni tudják a folyamatos hozzáférés szükségességét.
Az elemzésekkel hatékonyan megállapíthatja, hogy a felhasználóknak továbbra is hozzáféréssel kell-e rendelkezniük.
Automatizálhatja a felülvizsgálat eredményeit, például eltávolíthatja a felhasználók erőforrásokhoz való hozzáférését.
A hozzáférési felülvizsgálatok a Microsoft Entra ID irányítás képessége. A többi lehetőség a jogosultságkezelés, a Privileged Identity Management (PIM), az életciklus-munkafolyamatok, a kiépítés és a használati feltételek. Együtt segítenek a következő négy kérdés megválaszolásában:
- Mely felhasználóknak kell hozzáféréssel rendelkezniük ahhoz, hogy mely erőforrásokhoz férhessenek hozzá?
- Mit csinálnak a felhasználók ezzel a hozzáféréssel?
- Van hatékony szervezeti vezérlés a hozzáférés kezeléséhez?
- Ellenőrizhetik az auditorok, hogy működnek-e a vezérlők?
A hozzáférési felülvizsgálatok üzembe helyezésének megtervezése elengedhetetlen ahhoz, hogy a szervezet felhasználói számára elérhető legyen a kívánt szabályozási stratégia.
Fő előnyök
A hozzáférési felülvizsgálatok engedélyezésének fő előnyei a következők:
- Az együttműködés szabályozása: A hozzáférési felülvizsgálatok lehetővé teszik a felhasználók számára szükséges összes erőforráshoz való hozzáférés kezelését. Amikor a felhasználók megosztják és együttműködnek, biztos lehet abban, hogy az információk csak a jogosult felhasználók között találhatók.
- Kockázatkezelés: A hozzáférési felülvizsgálatok lehetővé teszik az adatokhoz és alkalmazásokhoz való hozzáférés áttekintését, ami csökkenti az adatszivárgás és az adatszivárgás kockázatát. Ön képes rendszeresen áttekinteni a külső partnerek vállalati erőforrásokhoz való hozzáférését.
- A megfelelőség és a szabályozás kezelése: A hozzáférési felülvizsgálatokkal szabályozhatja és újraengedélyezheti a hozzáférési életciklust a csoportok, alkalmazások és webhelyek számára. Szabályozhatja és nyomon követheti a szervezetre vonatkozó megfelelőségi vagy kockázatérzékeny alkalmazásokkal kapcsolatos felülvizsgálatokat.
- Költségcsökkentés: A hozzáférési felülvizsgálatok a felhőben vannak felépítve, és natív módon működnek együtt a felhőbeli erőforrásokkal, például csoportokkal, alkalmazásokkal és hozzáférési csomagokkal. A hozzáférési felülvizsgálatok használata kevésbé költséges, mint a saját eszközök létrehozása vagy a helyszíni eszközkészlet más módon történő frissítése.
Képzési erőforrások
Az alábbi videók segítségével megismerheti a hozzáférési felülvizsgálatokat:
- Mik a hozzáférési felülvizsgálatok a Microsoft Entra ID-ban?
- Hozzáférési felülvizsgálatok létrehozása a Microsoft Entra-azonosítóban
- Automatikus hozzáférési felülvizsgálatok létrehozása minden olyan vendégfelhasználó számára, aki hozzáféréssel rendelkezik a Microsoft 365-csoportokhoz a Microsoft Entra-azonosítóban
- Hozzáférési felülvizsgálatok engedélyezése a Microsoft Entra-azonosítóban
- Hozzáférés áttekintése a Saját hozzáférés használatával
Licencek
Ehhez a funkcióhoz Microsoft Entra ID-kezelés vagy Microsoft Entra Suite-előfizetésre van szükség a szervezet felhasználói számára. Bizonyos képességek ebben a funkcióban Microsoft Entra ID P2-előfizetéssel is működhetnek. További információkért tekintse meg az egyes képességek cikkeit. A követelményeknek megfelelő licenc megtalálásához tekintse meg Microsoft Entra ID-kezelés licencelési alapjait.
Feljegyzés
Az inaktív felhasználók áttekintéséhez és felhasználók csoporthoz tartozása vonatkozó javaslatokhoz Microsoft Entra ID Governance licencre van szükség.
A hozzáférési felülvizsgálatok üzembehelyezési projektjének megtervezése
Vegye figyelembe, hogy a szervezetnek meg kell határoznia a hozzáférési felülvizsgálatok környezetbeli üzembe helyezésének stratégiáját.
A megfelelő érdekelt felek bevonása
Ha a technológiai projektek meghiúsulnak, általában a hatásra, az eredményekre és a felelősségekre vonatkozó eltérő elvárások miatt teszik ezt. A buktatók elkerülése érdekében győződjön meg arról, hogy a megfelelő érdekelt feleket szeretné bevonni, és hogy a projektszerepkörök egyértelműek legyenek.
Hozzáférési felülvizsgálatok esetén valószínűleg a következő csapatok képviselőit fogja tartalmazni a szervezeten belül:
Az informatikai felügyelet felügyeli az informatikai infrastruktúrát, és felügyeli a felhőberuházásokat és -szoftvereket szolgáltatásként (SaaS-alkalmazások). Ez a csapat:
- Áttekinti az infrastruktúra és alkalmazások kiemelt hozzáférését, beleértve a Microsoft 365-öt és a Microsoft Entra-azonosítót.
- Hozzáférési felülvizsgálatokat ütemez és futtat olyan csoportokon, amelyek kivétellisták vagy informatikai próbaprojektek karbantartására szolgálnak a naprakész hozzáférési listák fenntartásához.
- Biztosítja, hogy a szolgáltatásneveken keresztüli erőforrások programozott (szkriptelt) hozzáférése szabályozva legyen és áttekintve legyen.
- Automatizálhatja az olyan folyamatokat, mint a felhasználók előkészítése és bevezetése, a hozzáférési kérelmek és a hozzáférési tanúsítványok.
A biztonsági csapatok biztosítják, hogy a terv megfeleljen a szervezet biztonsági követelményeinek, és kikényszerítse a Zero Trust elveit. Ez a csapat:
- Csökkenti a kockázatokat, és erősíti a biztonságot
- Az erőforrásokhoz és alkalmazásokhoz való legkisebb jogosultsági hozzáférés kényszerítése
- Eszközöket használ, hogy lássa a központi hiteles forrást arról, ki férhet hozzá mihez és meddig.
A fejlesztői csapatok alkalmazásokat fejlesztenek és kezelnek a szervezet számára. Ez a csapat:
- Szabályozza, hogy kik férhetnek hozzá és kezelhetnek összetevőket az SaaS-ben, a szolgáltatásként nyújtott platformon (PaaS) és az infrastruktúra szolgáltatásként (IaaS)-erőforrásokon, amelyek a kifejlesztett megoldásokat alkotják.
- Olyan csoportokat kezel, amelyek hozzáférhetnek a belső alkalmazásfejlesztéshez szükséges alkalmazásokhoz és eszközökhöz.
- Olyan kiemelt azonosítókat igényel, amelyek hozzáférnek az ügyfelek számára üzemeltetett termelési szoftverekhez vagy megoldásokhoz.
Az üzleti egységek kezelik a projekteket és saját alkalmazásokat. Ez a csapat:
- Felülvizsgálja és jóváhagyja vagy letiltja a hozzáférést a belső és külső felhasználók csoportjaihoz és alkalmazásaihoz.
- Ütemezi és ellenőrzi a folyamatos hozzáférést az alkalmazottak és külső identitások, például üzleti partnerek számára.
- Az alkalmazottaknak hozzáféréssel kell rendelkezniük a munkájukhoz szükséges alkalmazásokhoz.
- Engedélyezi a részlegeknek a felhasználók hozzáférésének kezelését.
A vállalatirányítás biztosítja, hogy a szervezet betartsa a belső szabályzatot, és megfeleljen az előírásoknak. Ez a csapat:
- Új hozzáférési felülvizsgálatokat kér vagy ütemez.
- Értékeli a hozzáférés felülvizsgálatának folyamatait és eljárásait, beleértve a megfelelőség dokumentációját és nyilvántartását.
- Áttekinti a legtöbb kritikus erőforrásra vonatkozó korábbi felülvizsgálatok eredményeit.
- Ellenőrzi, hogy a megfelelő vezérlők megfelelnek-e a kötelező biztonsági és adatvédelmi szabályzatoknak.
- Ismétlődő hozzáférési folyamatokat igényel, amelyek könnyen ellenőrizhetők és jelenthetők.
Feljegyzés
A manuális értékeléseket igénylő felülvizsgálatok esetében tervezze meg a megfelelő véleményezőket és a szabályzat- és megfelelőségi igényeknek megfelelő felülvizsgálati ciklusokat. Ha a felülvizsgálati ciklusok túl gyakoriak, vagy túl kevés véleményező van, a minőség elveszhet, és túl sok vagy túl kevés személy rendelkezhet hozzáféréssel. Javasoljuk, hogy egyértelmű felelősségi köröket alakítson ki a hozzáférési felülvizsgálatok során részt vevő különböző érdekelt felek és részlegek számára. Minden résztvevő csapatnak és egyénnek tisztában kell lennie saját szerepeivel és kötelezettségeivel annak érdekében, hogy fenntartsák a legkevesebb jogosultság elvét.
Kommunikáció tervezése
A kommunikáció kritikus fontosságú az új üzleti folyamatok sikeressége szempontjából. Proaktív módon kommunikálhat a felhasználókkal a felhasználói élmény változásának módjáról és időpontjáról. Mondja el nekik, hogyan szerezhetnek támogatást, ha problémákat tapasztalnak.
Az elszámoltathatóság változásainak közlése
A hozzáférési felülvizsgálatok segítenek áthárítani a felelősséget az üzleti tulajdonosokra, hogy ők tekintsék át és cselekedjenek a folyamatos hozzáférések kapcsán. A hozzáférési döntések informatikai részlegtől való leválasztása pontosabb hozzáférési döntéseket hoz. Ez a változás kulturális változás az erőforrás-tulajdonos elszámoltathatóságában és felelősségében. Proaktív módon közölje ezt a változást, és győződjön meg arról, hogy az erőforrás-tulajdonosok betanultak, és az elemzések segítségével jó döntéseket hozhatnak.
Az informatikai részleg továbbra is kézben szeretné tartani az irányítást az infrastruktúrával kapcsolatos hozzáférési döntések és a kiemelt szerepkör-hozzárendelések esetében.
E-mail-kommunikáció testreszabása
A felülvizsgálat ütemezésekor kijelöli azokat a felhasználókat, akik ezt a felülvizsgálatot hajtják végre. Ezek a véleményezők ezután e-mailben értesítést kapnak a hozzájuk rendelt új felülvizsgálatokról, és emlékeztetőket kapnak, mielőtt a hozzájuk rendelt felülvizsgálat lejár.
A véleményezőknek küldött e-mail testre szabható úgy, hogy tartalmazzon egy rövid üzenetet, amely arra ösztönzi őket, hogy járjanak el a felülvizsgálaton. Használja a további szöveget a következő célokra:
Adjon meg személyes üzenetet a véleményezőknek, hogy tisztában legyenek azzal, hogy az Ön megfelelőségi vagy informatikai részlege küldte.
Adjon meg egy belső információt arról, hogy a felülvizsgálat milyen elvárásokat támaszt, valamint további referencia- vagy képzési anyagokat.
Miután kiválasztotta a Véleményezés indítása lehetőséget, a rendszer a véleményezőket a Saját hozzáférés portálra irányítja csoport- és alkalmazáshozzáférés-felülvizsgálatok céljából. A portál áttekintést nyújt azokról a felhasználókról, akik hozzáférnek az általuk áttekintett erőforráshoz, valamint a legutóbbi bejelentkezési és hozzáférési információk alapján rendszerjavaslatokat.
Próbaüzem megtervezása
Arra ösztönözzük az ügyfeleket, hogy először teszteljenek hozzáférési felülvizsgálatokat egy kis csoporttal, és ne kritikus erőforrásokat céloznak meg. A próbaüzem segíthet a folyamatok és a kommunikáció igény szerinti módosításában. Ez segíthet növelni a felhasználók és a felülvizsgálók azon képességét, hogy megfeleljenek a biztonsági és megfelelőségi követelményeknek.
A próbaverzióban a következőket javasoljuk:
- Kezdje az értékelésekkel, ahol az eredmények nem lesznek automatikusan alkalmazva, és szabályozhatja a következményeket.
- Győződjön meg arról, hogy minden felhasználó rendelkezik érvényes e-mail-címmel a Microsoft Entra-azonosítóban. Győződjön meg arról, hogy a megfelelő művelet végrehajtásához e-mail-kommunikációt kapnak.
- Dokumentálja az eltávolított hozzáféréseket a próbaüzem részeként, ha gyorsan vissza kell állítania.
- Az auditnaplók monitorozása az összes esemény megfelelő naplózásának biztosítása érdekében.
További információkért tekintse meg a próbaüzem ajánlott eljárásait.
Bevezetés a hozzáférés-felülvizsgálatok használatába
Ez a szakasz bemutatja a hozzáférés-ellenőrzési fogalmakat, amelyeket a felülvizsgálatok tervezése előtt ismernie kell.
Milyen erőforrástípusokat lehet áttekinteni?
Miután integrálta a szervezet erőforrásait a Microsoft Entra-azonosítóval, például felhasználókkal, alkalmazásokkal és csoportokkal, azok kezelhetők és áttekinthetők.
A felülvizsgálat tipikus céljai a következők:
- A Microsoft Entra ID-val integrált alkalmazások egyszeri bejelentkezéshez, például SaaS-hez és üzletághoz.
- A csoporttagság szinkronizálva van a Microsoft Entra-azonosítóval, vagy a Microsoft Entra-azonosítóban vagy a Microsoft 365-ben jött létre, beleértve a Microsoft Teamst is.
- Hozzáférési csomag , amely erőforrásokat, például csoportokat, alkalmazásokat és webhelyeket csoportosít egyetlen csomagba a hozzáférés kezeléséhez.
- A PIM-ben meghatározott Microsoft Entra-szerepkörök és Azure-erőforrásszerepkörök .
Ki fog hozzáférési felülvizsgálatokat létrehozni és kezelni?
A hozzáférési felülvizsgálat létrehozásához, kezeléséhez vagy olvasásához szükséges rendszergazdai szerepkör az erőforrás típusától függ, amelynek tagságát felülvizsgálják. Az alábbi táblázat az egyes erőforrástípusokhoz szükséges szerepköröket jelöli.
| Erőforrás típusa | Hozzáférési felülvizsgálatok létrehozása és kezelése (létrehozók) | Hozzáférési felülvizsgálat eredményeinek olvasása |
|---|---|---|
| Csoport vagy alkalmazás | Globális rendszergazda Felhasználói rendszergazda Identitásirányítási rendszergazda Kiemelt szerepkör-rendszergazda (csak a Microsoft Entra szerepkör-hozzárendelhető csoportjainak felülvizsgálatát végzi) Csoporttulajdonos (ha egy rendszergazda engedélyezte) |
Globális rendszergazda Globális olvasó Felhasználói rendszergazda Identitásirányítási rendszergazda Kiemelt szerepkörű rendszergazda Biztonsági olvasó Csoporttulajdonos (ha egy rendszergazda engedélyezte) |
| Microsoft Entra szerepek | Globális rendszergazda Kiemelt szerepkörű rendszergazda |
Globális rendszergazda Globális olvasó Felhasználói rendszergazda Kiemelt szerepkörű rendszergazda
Biztonsági olvasó |
| Azure-erőforrásszerepkörök | Felhasználói hozzáférés rendszergazdája (az erőforráshoz) Erőforrás tulajdonosa Egyéni szerepkörök Microsoft.Authorization/* engedéllyel. |
Felhasználói hozzáférés rendszergazdája (az erőforráshoz) Erőforrás tulajdonosa Olvasó (az erőforráshoz) Egyéni szerepkörök a Microsoft.Authorization/*/read engedélyekkel. |
| Hozzáférési csomag | Globális rendszergazda Identitásirányítási rendszergazda Katalógus tulajdonosa (a hozzáférési csomaghoz) Hozzáférési csomagkezelő (a hozzáférési csomaghoz) |
Globális rendszergazda Globális olvasó Felhasználói rendszergazda Identitásirányítási rendszergazda Katalógus tulajdonosa (a hozzáférési csomaghoz) Hozzáférési csomagkezelő (a hozzáférési csomaghoz) Biztonsági olvasó |
További információ: Rendszergazdai szerepkör-engedélyek a Microsoft Entra-azonosítóban.
Ki fogja áttekinteni az erőforráshoz való hozzáférést?
A hozzáférési felülvizsgálat létrehozója a létrehozáskor dönti el, hogy ki fogja elvégezni a felülvizsgálatot. Ez a beállítás a felülvizsgálat megkezdése után nem módosítható. A véleményezőket a következők képviselik:
- Az erőforrás üzleti tulajdonosai.
- A hozzáférési felülvizsgálatok rendszergazdája által kiválasztott egyénileg kiválasztott meghatalmazottak.
- Azok a felhasználók, akik önigazolni tudják, hogy szükségük van a folyamatos hozzáférésre.
- A vezetők áttekintik a közvetlen jelentések hozzáférését az erőforráshoz.
Feljegyzés
Erőforrás-tulajdonosok vagy -kezelők kiválasztásakor a rendszergazdák tartalék véleményezőket jelölnek ki, akik akkor lépnek kapcsolatba, ha az elsődleges partner nem érhető el.
Hozzáférési felülvizsgálat létrehozásakor a rendszergazdák választhatnak egy vagy több véleményezőt. Az összes véleményező megkezdheti és elvégezheti a felülvizsgálatot úgy, hogy kiválasztja a felhasználókat az erőforráshoz való folyamatos hozzáféréshez, vagy eltávolítja őket.
A hozzáférési felülvizsgálat összetevői
A hozzáférési felülvizsgálatok implementálása előtt tervezze meg a szervezet szempontjából releváns vélemények típusait. Ehhez üzleti döntéseket kell hoznia arról, hogy mit szeretne áttekinteni, és milyen műveleteket kell végrehajtania ezek alapján.
Hozzáférési felülvizsgálati szabályzat létrehozásához rendelkeznie kell a következő információkkal:
Milyen erőforrásokat kell áttekinteni?
Kinek a hozzáférése lesz felülvizsgálva?
Milyen gyakran történjen felülvizsgálat?
Ki fogja elvégezni a felülvizsgálatot?
- Hogyan kapnak értesítést a felülvizsgálatról?
- Milyen ütemtervek legyenek előírva a felülvizsgálatokhoz?
Milyen automatikus műveletek legyenek végrehajtva a felülvizsgálat alapján?
- Mi történik, ha a felülvizsgáló nem válaszol időben?
Milyen manuális műveleteket hajtunk végre a felülvizsgálat alapján?
Milyen kommunikációt kell küldeni a végrehajtott műveletek alapján?
Példa hozzáférési felülvizsgálati tervre
| Összetevő | Érték |
|---|---|
| Áttekintendő erőforrások | Hozzáférés a Microsoft Dynamics szolgáltatáshoz. |
| Felülvizsgálat gyakorisága | Havi. |
| Ki végzi a felülvizsgálatot? | Dynamics üzleti csoport programmenedzserei. |
| Értesítés | Az e-mailt a rendszer a felülvizsgálat elején elküldi a Dynamics-Pms aliasnak. Adjon meg egy bátorító egyéni üzenetet a véleményezőknek a bevásárlás biztonságossá tételéhez. |
| Idősor | Az értesítéstől számított 48 óra. |
| Automatikus műveletek | Távolítsa el a hozzáférést minden olyan fiókból, amely 90 napon belül nem rendelkezik interaktív bejelentkezéssel, ha eltávolítja a felhasználót a biztonsági csoport dinamikus hozzáféréséből. Ha nem tekinti át az idővonalon belül, műveleteket hajt végre. |
| Manuális műveletek | A véleményezők igény szerint elvégezhetik az eltávolítási jóváhagyást az automatizált művelet előtt. |
Műveletek automatizálása hozzáférési felülvizsgálatok alapján
A hozzáférés automatikus eltávolítását úgy választhatja ki, hogy az Eredmények automatikus alkalmazása az erőforrásra beállítást Engedélyezett állapotba kapcsolja.
Miután a felülvizsgálat befejeződött és befejeződött, a véleményező által nem jóváhagyott felhasználók automatikusan törlődnek az erőforrásból, vagy folyamatos hozzáféréssel maradnak. A beállítások azt jelenthetik, hogy eltávolítják a csoporttagságukat vagy az alkalmazás-hozzárendelésüket, vagy visszavonják a jogosultságuk emelési jogát egy kiemelt szerepkörre.
Ajánlások elfogadása
Javaslatok jelennek meg a véleményezők számára a véleményezői felület részeként, és jelzik a személy utolsó bejelentkezését a bérlőbe vagy az alkalmazás utolsó hozzáférését. Ezek az információk segítenek a véleményezőknek a megfelelő hozzáférési döntés meghozatalában. A Javaslatok kiválasztása a hozzáférési felülvizsgálat ajánlásait követi. A hozzáférési felülvizsgálat végén a rendszer automatikusan alkalmazza ezeket a javaslatokat azokra a felhasználókra, akikre a véleményezők nem válaszoltak.
A javaslatok a hozzáférési felülvizsgálat feltételein alapulnak. Ha például úgy konfigurálja a felülvizsgálatot, hogy 90 napig interaktív bejelentkezés nélkül távolítsa el a hozzáférést, a javaslat az, hogy az adott feltételeknek megfelelő összes felhasználót el kell távolítani. A Microsoft folyamatosan dolgozik a javaslatok javításán.
Vendégfelhasználói hozzáférés áttekintése
Használja a hozzáférési felülvizsgálatokat az együttműködő partnerek külső szervezetektől származó azonosítóinak felülvizsgálatára és tisztázására. A partnerenkénti felülvizsgálat konfigurálása megfelelhet a megfelelőségi követelményeknek.
A külső identitások hozzáférést kaphatnak a vállalati erőforrásokhoz. Ezek lehetnek:
- Hozzáadva egy csoporthoz.
- Meghívás a Teamsbe.
- Vállalati alkalmazáshoz vagy hozzáférési csomaghoz rendelve.
- Kiemelt szerepkört kapott a Microsoft Entra-azonosítóban vagy egy Azure-előfizetésben.
További információ: példaszkript. A szkript bemutatja, hogy a bérlőnél hol használják a meghívott külső identitásokat. A külső felhasználó csoporttagságait, szerepkör-hozzárendeléseit és alkalmazás-hozzárendeléseit a Microsoft Entra-azonosítóban tekintheti meg. A szkript nem jelenít meg a Microsoft Entra-azonosítón kívüli hozzárendeléseket, például a SharePoint-erőforrásokhoz való közvetlen jogosultság-hozzárendelést csoportok használata nélkül.
Amikor hozzáférési felülvizsgálatot hoz létre csoportokhoz vagy alkalmazásokhoz, dönthet úgy, hogy a véleményező csak a Minden felhasználóra vagy a Vendégfelhasználóra összpontosít. Ha a csak vendégfelhasználókat választja, az ellenőrök a Microsoft Entra B2B külső identitások szűrt listáját kapják meg, amelyek hozzáférnek az erőforráshoz.
Fontos
Ez a lista nem tartalmazza azokat a külső tagokat, akiknek a felhasználótípusatag. Ez a lista a Microsoft Entra B2B együttműködésen kívül meghívott felhasználókat sem tartalmazza. Ilyenek például azok a felhasználók, akik közvetlenül a SharePointon keresztül férnek hozzá a megosztott tartalmakhoz.
Hozzáférési csomagok hozzáférési felülvizsgálatainak tervezése
Az Access-csomagok jelentősen leegyszerűsíthetik az irányítási és hozzáférési felülvizsgálati stratégiát. A hozzáférési csomag az összes olyan erőforrás csomagja, amelynek hozzáférésével a felhasználónak dolgoznia kell egy projekten, vagy el kell végeznie a feladatát. Előfordulhat például, hogy olyan hozzáférési csomagot szeretne létrehozni, amely tartalmazza a szervezet fejlesztői által igényelt összes alkalmazást, vagy minden olyan alkalmazást, amelyhez külső felhasználóknak hozzáféréssel kell rendelkezniük. A rendszergazda vagy a delegált hozzáférési csomagkezelő ezután csoportosítja az erőforrásokat (csoportokat vagy alkalmazásokat), valamint azokat a szerepköröket, amelyekre a felhasználóknak szükségük van az erőforrásokhoz.
Hozzáférési csomag létrehozásakor létrehozhat egy vagy több hozzáférési csomagra vonatkozó szabályzatot, amelyek olyan feltételeket határoznak meg, amelyekhez a felhasználók hozzáférési csomagot kérhetnek, milyen a jóváhagyási folyamat, és hogy milyen gyakran kellene egy személynek újra hozzáférést kérnie, vagy hogy felül kell vizsgálnia a hozzáférését. A hozzáférési felülvizsgálatok a hozzáférési csomag szabályzatainak létrehozásakor vagy szerkesztésekor vannak konfigurálva.
Válassza az Életciklus lapot, és görgessen le a vélemények eléréséhez.
Hozzáférési felülvizsgálatok tervezése csoportok számára
A hozzáférési csomagok mellett a csoporttagság áttekintése a leghatékonyabb módja a hozzáférés szabályozásának. Hozzáférés hozzárendelése erőforrásokhoz biztonsági csoportokon vagy Microsoft 365-csoportokon keresztül. Adja hozzá a felhasználókat ezekhez a csoportokhoz a hozzáférés megszerzéséhez.
Egyetlen csoport minden megfelelő erőforráshoz hozzáférést kaphat. A csoporthozzáférést hozzárendelheti az egyes erőforrásokhoz vagy egy olyan hozzáférési csomaghoz, amely alkalmazásokat és más erőforrásokat csoportosít. Ezzel a módszerrel a csoporthoz való hozzáférést tekintheti át, nem pedig az egyes alkalmazásokhoz való hozzáférést.
A csoporttagság az alábbiak szerint tekinthető meg:
- Rendszergazdák.
- Csoporttulajdonosok.
- Kiválasztott felhasználók, akik a felülvizsgálat létrehozásakor delegált felülvizsgálati képességgel rendelkeznek.
- A csoport azok a tagjai, akik önmagukért tanúskodnak.
- Azok a vezetők, akik áttekintik a közvetlen beosztottak hozzáférését.
Csoport tulajdonjoga
A csoporttulajdonosok azért tekintik át a tagságot, mert a legalkalmasabbak arra, hogy tudják, kinek van szüksége hozzáférésre. A csoportok tulajdonjoga eltér a csoport típusától:
A Microsoft 365-ben és a Microsoft Entra-azonosítóban létrehozott csoportoknak legalább egy jól meghatározott tulajdonosa van. A legtöbb esetben ezek a tulajdonosok tökéletes véleményezőket alkotnak saját csoportjaik számára, mivel tudják, kinek kell hozzáféréssel rendelkezniük.
A Microsoft Teams például Microsoft 365-csoportok használ alapul szolgáló engedélyezési modellként, hogy hozzáférést biztosítson a felhasználóknak a SharePoint, az Exchange, a OneNote vagy más Microsoft 365-szolgáltatásokban található erőforrásokhoz. A csapat létrehozója automatikusan tulajdonossá válik, és felelősnek kell lennie a csoporttagság igazolásáért.
Előfordulhat, hogy a Manuálisan a Microsoft Entra felügyeleti központban vagy a Microsoft Graphon keresztüli szkripteléssel létrehozott csoportok nem feltétlenül rendelkeznek tulajdonosokkal. Definiálja őket a csoport Tulajdonosok szakaszában található Microsoft Entra felügyeleti központban vagy a Microsoft Graphon keresztül.
A helyi Active Directory szinkronizált csoportoknak nem lehet tulajdonosuk a Microsoft Entra-azonosítóban. Amikor hozzáférési felülvizsgálatot hoz létre számukra, válassza ki azokat a személyeket, akik a legalkalmasabbak a tagságuk eldöntésére.
Feljegyzés
Definiáljon olyan üzleti szabályzatokat, amelyek meghatározzák a csoportok létrehozásának módját, így biztosítva a csoport tulajdonjogának és elszámoltathatóságának egyértelműségét a tagság rendszeres felülvizsgálatához.
A kizárási csoportok tagságának felülvizsgálata a feltételes hozzáférési szabályzatokban
A kizárt csoportok tagságának áttekintéséhez tekintse át a Microsoft Entra hozzáférési felülvizsgálatainak használatát a feltételes hozzáférési szabályzatokból kizárt felhasználók kezeléséhez.
Vendégfelhasználók csoporttagságainak áttekintése
A vendégfelhasználók csoporttagságokhoz való hozzáférésének áttekintéséhez lásd : Vendéghozzáférés kezelése a Microsoft Entra hozzáférési felülvizsgálataival.
Helyszíni csoportokhoz való hozzáférés felülvizsgálata
Az access-felülvizsgálatok nem módosíthatják a helyszíni AD-ből a Microsoft Entra Connecttel szinkronizált csoportok tagságát. Ennek a korlátozásnak az az oka, hogy az AD-ből származó csoport tekintélyforrása a helyszíni Active Directory. Az AD-csoportalapú alkalmazásokhoz való hozzáférés szabályozásához használja a Microsoft Entra Cloud Sync csoportvisszaíróját.
Amíg nem migrált a Csoportvisszaíróval rendelkező Microsoft Entra-csoportokra, a hozzáférési felülvizsgálatok segítségével ütemezheti és karbantarthatja a meglévő helyszíni csoportok rendszeres felülvizsgálatát. Ebben az esetben a rendszergazdák az egyes felülvizsgálatok befejeződése után a helyszíni csoportban hajtják végre a műveletet. Ez a stratégia az összes felülvizsgálat eszközének tekinti a hozzáférési felülvizsgálatokat.
A helyszíni csoportok hozzáférés-felülvizsgálatának eredményeit felhasználhatja, és tovább feldolgozhatja őket a következők szerint:
- Töltse le a CSV-jelentést a hozzáférési felülvizsgálatból, és manuálisan hajtsa végre a műveletet.
- A Microsoft Graph használatával programozott módon lekérheti a befejezett hozzáférési felülvizsgálatok döntéseinek eredményeit.
Ha például egy Windows Server AD által felügyelt csoport eredményeit szeretné lekérni, használja ezt a PowerShell-mintaszkriptet. A szkript felvázolja a szükséges Microsoft Graph-hívásokat, és exportálja a Windows Server AD PowerShell-parancsokat a módosítások végrehajtásához.
Hozzáférési felülvizsgálatok tervezése alkalmazásokhoz
Amikor áttekinti az alkalmazáshoz rendelt összes felhasználót, áttekinti azokat a felhasználókat, köztük az alkalmazottakat és a külső identitásokat, akik a Microsoft Entra-identitásukkal hitelesíthetik magukat az adott alkalmazással. Akkor válassza az alkalmazás áttekintését, ha tudnia kell, hogy kinek van hozzáférése egy adott alkalmazáshoz hozzáférési csomag vagy csoport helyett.
Tervezze meg az alkalmazások felülvizsgálatát a következő helyzetekben, amikor:
- A felhasználók közvetlen hozzáférést kapnak az alkalmazáshoz (csoporton vagy hozzáférési csomagon kívül).
- Az alkalmazás kritikus vagy bizalmas információkat tesz közzé.
- Az alkalmazásnak speciális megfelelőségi követelményei vannak, amelyeket igazolnia kell.
- Jogosulatlan hozzáférésre gyanakszik.
Mielőtt hozzáférési felülvizsgálatokat hoz létre egy alkalmazáshoz, az alkalmazást integrálnia kell a Microsoft Entra-azonosítóval, mint alkalmazással a bérlőben, az alkalmazásszerepkörökhöz rendelt felhasználókkal, és a Felhasználó-hozzárendelés szükséges? beállítással az alkalmazás Igen értékre van állítva. Ha Nem értékre van állítva, a címtár minden felhasználója, beleértve a külső identitásokat is, hozzáférhet az alkalmazáshoz, és nem tudja felülvizsgálni az alkalmazáshoz való hozzáférést.
Ezután rendelje hozzá azokat a felhasználókat és csoportokat , akiknek a hozzáférését ellenőrizni szeretné.
További információ arról, hogyan készülhet fel a felhasználók alkalmazáshoz való hozzáférésének hozzáférési felülvizsgálatára.
Alkalmazás véleményezői
A hozzáférési felülvizsgálatok lehetnek a csoport tagjai vagy az alkalmazásokhoz hozzárendelt felhasználók számára. A Microsoft Entra-azonosítóban lévő alkalmazások nem feltétlenül rendelkeznek tulajdonossal, ezért nem lehetséges az alkalmazás tulajdonosának véleményezőként való kiválasztása. A felülvizsgálatok hatókörének további hatókörét úgy is alkalmazhatja, hogy csak az alkalmazáshoz rendelt vendégfelhasználókra tekintse át ahelyett, hogy az összes hozzáférést áttekinteni szeretné.
A Microsoft Entra ID és az Azure-erőforrásszerepkörök áttekintésének megtervezése
A Privileged Identity Management leegyszerűsíti, hogy a vállalatok hogyan kezelik a Microsoft Entra ID-ban az erőforrásokhoz való emelt szintű hozzáférést. A PIM használatával a Kiemelt szerepkörök listája a Microsoft Entra-azonosítóban és az Azure-erőforrásokban kisebb lesz. Emellett növeli a címtár általános biztonságát is.
A hozzáférési felülvizsgálatok lehetővé teszik, hogy a véleményezők igazolják, hogy a felhasználóknak továbbra is szerepkörrel kell-e rendelkezniük. A hozzáférési csomagok hozzáférési felülvizsgálataihoz hasonlóan a Microsoft Entra-szerepkörök és az Azure-erőforrások áttekintése is integrálva van a PIM rendszergazdai felhasználói felületébe.
Rendszeresen tekintse át a következő szerepkör-hozzárendeléseket:
- Globális rendszergazda
- Felhasználói rendszergazda
- Kiemelt hitelesítési rendszergazda
- Feltételes hozzáférésű rendszergazda
- Biztonsági rendszergazda
- A Microsoft 365 és a Dynamics Service összes felügyeleti szerepköre
A vizsgált szerepkörök állandó és jogosult hozzárendeléseket tartalmaznak.
A Véleményezők szakaszban válasszon ki egy vagy több embert az összes felhasználó áttekintéséhez. Vagy kiválaszthatja a kezelőt, hogy egy vezető áttekintse az általuk kezelt személyek hozzáférését, vagy tagok (saját) esetén, hogy a tagok áttekintsék saját hozzáférésüket.
Hozzáférési felülvizsgálatok üzembe helyezése
Miután elkészített egy stratégiát és egy tervet a Microsoft Entra ID-val integrált erőforrások hozzáférésének áttekintésére, helyezze üzembe és kezelje a felülvizsgálatokat az alábbi erőforrások használatával.
Hozzáférési csomagok áttekintése
Az elavult hozzáférés kockázatának csökkentése érdekében a rendszergazdák engedélyezhetik a hozzáférési csomaghoz aktív hozzárendeléssel rendelkező felhasználók rendszeres felülvizsgálatát. Kövesse a táblázatban felsorolt cikkek utasításait.
| Útmutatók | Leírás |
|---|---|
| Hozzáférési felülvizsgálatok létrehozása | Hozzáférési csomag véleményezésének engedélyezése. |
| Hozzáférési felülvizsgálatok | Hozzáférési felülvizsgálatokat hajthat végre a hozzáférési csomaghoz hozzárendelt többi felhasználó számára. |
| Hozzárendelt hozzáférési csomag(ok) önértékelése | Végezze el a hozzárendelt hozzáférési csomagok önértékelését. |
Feljegyzés
Azok a felhasználók, akik önértékeléssel rendelkeznek, és azt mondják, hogy már nincs szükségük hozzáférésre, nem lesznek azonnal eltávolítva a hozzáférési csomagból. A rendszer eltávolítja őket a hozzáférési csomagból, amikor a felülvizsgálat véget ér, vagy ha egy rendszergazda leállítja a felülvizsgálatot.
Csoportok és alkalmazások áttekintése
Az alkalmazottak és a vendégek hozzáférése a csoportokhoz és alkalmazásokhoz valószínűleg idővel megváltozik. Az elavult hozzáférés-hozzárendelésekkel járó kockázat csökkentése érdekében a rendszergazdák hozzáférési felülvizsgálatokat hozhatnak létre a csoporttagok vagy az alkalmazáshozzáférés számára. Kövesse a táblázatban felsorolt cikkek utasításait.
| Útmutatók | Leírás |
|---|---|
| Hozzáférési felülvizsgálatok létrehozása | Hozzon létre egy vagy több hozzáférési felülvizsgálatot a csoporttagok vagy alkalmazáshozzáférések számára. |
| Hozzáférési felülvizsgálatok | Hozzáférési felülvizsgálatot hajthat végre egy csoport vagy egy alkalmazáshoz hozzáféréssel rendelkező felhasználók számára. |
| Hozzáférés önértékelése | Lehetővé teszi a tagok számára, hogy áttekintsék a saját hozzáférésüket egy csoporthoz vagy alkalmazáshoz. |
| Teljes hozzáférési felülvizsgálat | Tekintse meg a hozzáférési felülvizsgálatot, és alkalmazza az eredményeket. |
| Intézkedés a helyszíni csoportokért | Minta PowerShell-szkripttel reagálhat a helyszíni csoportok hozzáférési véleményezésére. |
Microsoft Entra-szerepkörök áttekintése
Az elavult szerepkör-hozzárendelések kockázatának csökkentése érdekében rendszeresen tekintse át a kiemelt Microsoft Entra-szerepkörök hozzáférését.
Kövesse a táblázatban felsorolt cikkek utasításait.
| Útmutatók | Leírás |
|---|---|
| Hozzáférési felülvizsgálatok létrehozása | Hozzáférési felülvizsgálatok létrehozása kiemelt Microsoft Entra-szerepkörökhöz a PIM-ben. |
| Hozzáférés önértékelése | Ha rendszergazdai szerepkörhöz van rendelve, hagyja jóvá vagy tiltsa le a szerepkörhöz való hozzáférést. |
| Hozzáférési felülvizsgálat befejezése | Tekintse meg a hozzáférési felülvizsgálatot, és alkalmazza az eredményeket. |
Azure-erőforrásszerepkörök áttekintése
Az elavult szerepkör-hozzárendelések kockázatának csökkentése érdekében rendszeresen tekintse át a kiemelt Azure-erőforrás-szerepkörök hozzáférését.
Kövesse a táblázatban felsorolt cikkek utasításait.
| Útmutatók | Leírás |
|---|---|
| Hozzáférési felülvizsgálatok létrehozása | Hozzáférési felülvizsgálatok létrehozása emelt szintű Azure-erőforrás-szerepkörökhöz a PIM-ben. |
| Hozzáférés önértékelése | Ha rendszergazdai szerepkörhöz van rendelve, hagyja jóvá vagy tiltsa le a szerepkörhöz való hozzáférést. |
| Hozzáférési felülvizsgálat befejezése | Tekintse meg a hozzáférési felülvizsgálatot, és alkalmazza az eredményeket. |
Az Access Reviews API használata
Az áttekinthető erőforrások kezeléséhez és kezeléséhez tekintse meg a Microsoft Graph API módszereit , valamint a szerepkör- és alkalmazásengedély-engedélyezési ellenőrzéseket. A Microsoft Graph API hozzáférési ellenőrzési módszerei alkalmazás- és felhasználói környezetekben is elérhetők. Amikor szkripteket futtat az alkalmazáskörnyezetben, az API futtatásához használt fióknak (szolgáltatási fiók) accessReview.Read.All engedéllyel kell rendelkeznie ahhoz, hogy lekérdezhesse a hozzáférési áttekintéseket.
A Microsoft Graph API használatával automatizálandó népszerű hozzáférési felülvizsgálati feladatok a következők:
- Hozzáférési felülvizsgálat létrehozása és indítása.
- Manuálisan fejezheti be a hozzáférési felülvizsgálatot az ütemezett vége előtt.
- Sorolja fel az összes futó hozzáférési felülvizsgálatot és azok állapotát.
- Tekintse meg a felülvizsgálati sorozatok előzményeit, valamint az egyes felülvizsgálatokban hozott döntéseket és műveleteket.
- Hozzáférési felülvizsgálatból származó döntések összegyűjtése.
- Gyűjtse össze a befejezett felülvizsgálatokból származó döntéseket, amelyekben a véleményező más döntést hozott, mint amit a rendszer javasolt.
Amikor új Microsoft Graph API-lekérdezéseket hoz létre az automatizáláshoz, a Graph Explorerrel hozhat létre és vizsgálhat meg Microsoft Graph-lekérdezéseket, mielőtt szkriptekbe és kódba helyezené őket. Ez a lépés segít gyorsan iterálni a lekérdezést, hogy pontosan a keresett eredményeket kapja, a szkript kódjának módosítása nélkül.
Hozzáférési felülvizsgálatok figyelése
A hozzáférési felülvizsgálatok tevékenységeit a Microsoft Entra auditnaplói rögzítik és elérhetővé válnak. A naplózási adatokat szűrheti a kategóriára, tevékenységtípusra és dátumtartományra. Íme egy minta lekérdezés.
| Kategória | Szabályzat |
|---|---|
| Tevékenység típusa | Hozzáférési felülvizsgálat létrehozása |
| Hozzáférési áttekintés frissítése | |
| Hozzáférési felülvizsgálat befejezve | |
| Hozzáférési felülvizsgálat törlése | |
| Döntés jóváhagyása | |
| Döntés elutasítása | |
| Döntés alaphelyzete | |
| Döntés alkalmazása | |
| Dátumtartomány | Hét nap |
A hozzáférési felülvizsgálatok fejlettebb lekérdezéseiért és elemzéséért, valamint a módosítások és a felülvizsgálatok befejezésének nyomon követéséhez exportálja a Microsoft Entra-naplókat Azure Monitor Log Analytics- vagy Azure Event Hubsba. Ha a naplókat a Log Analytics tárolja, használhatja a hatékony elemzési nyelvet , és létrehozhat saját irányítópultokat. További információért olvassa el: Az archiválási naplókról és a jogosultságkezelés jelentéskészítéséről az Azure Monitorban.
Következő lépések
Ismerje meg a következő kapcsolódó technológiákat: