Een toegangsbeoordeling maken van Azure-resources en Microsoft Entra-rollen in PIM
De noodzaak voor toegang tot bevoorrechte Azure-resources en Microsoft Entra-rollen door uw gebruikers verandert in de loop van de tijd. Als u het risico wilt verminderen dat gepaard gaat met verouderde roltoewijzingen, moet u de toegang regelmatig beoordelen. U kunt Microsoft Entra Privileged Identity Management (PIM) gebruiken om toegangsbeoordelingen te maken voor bevoegde toegang tot Azure-resources en Microsoft Entra-rollen. U kunt ook terugkerende toegangsbeoordelingen configureren die automatisch worden uitgevoerd. In dit artikel wordt beschreven hoe u een of meer toegangsbeoordelingen maakt.
Vereisten
Voor het gebruik van Privileged Identity Management zijn licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties voor meer informatie over licenties.
Zie Licentievereisten voor het gebruik van Privileged Identity Management voor meer informatie over licenties voor PIM.
Als u toegangsbeoordelingen voor Azure-resources wilt maken, moet u zijn toegewezen aan de rol Eigenaar of Beheerder van gebruikerstoegang voor de Azure-resources. Als u toegangsbeoordelingen voor Microsoft Entra-rollen wilt maken, moet u ten minste de rol Beheerder van bevoorrechte rol krijgen.
Voor het gebruik van Toegangsbeoordelingen voor service-principals is een Microsoft Entra Workload-ID Premium-abonnement vereist naast een Microsoft Entra ID P2- of Microsoft Entra ID-governance-licentie.
- Premium-licenties voor workloadidentiteiten: u kunt licenties bekijken en verkrijgen op de blade Workloadidentiteiten in het Microsoft Entra-beheercentrum.
Notitie
Toegangsbeoordelingen leggen een momentopname van toegang vast aan het begin van elk beoordelingsexemplaren. Wijzigingen die tijdens het beoordelingsproces zijn aangebracht, worden doorgevoerd in de volgende beoordelingscyclus. Met het begin van elk nieuw terugkeerpatroon worden relevante gegevens met betrekking tot de gebruikers, resources die worden beoordeeld en hun respectieve revisoren opgehaald.
Toegangsbeoordelingen maken
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Meld u aan bij het Microsoft Entra-beheercentrum als een gebruiker die is toegewezen aan een van de vereiste rollen.
Blader naar Privileged Identity Management voor identiteitsbeheer>.
Voor Microsoft Entra-rollen selecteert u Microsoft Entra-rollen. Selecteer Azure-resources voor Azure-resources
Voor Microsoft Entra-rollen selecteert u microsoft Entra-rollen opnieuw onder Beheren. Selecteer voor Azure-resources het abonnement dat u wilt beheren.
Selecteer onder Beheren de optie Toegangsbeoordelingen en selecteer Vervolgens Nieuw om een nieuwe toegangsbeoordeling te maken.
Geef de toegangsbeoordeling een naam. Geef desgewenst een beschrijving voor de beoordeling op. De naam en beschrijving worden weergegeven voor de revisoren.
Stel de begindatum in. Standaard vindt er eenmaal een toegangsbeoordeling plaats, wordt dezelfde tijd gestart wanneer deze wordt gemaakt en eindigt deze in één maand. U kunt de begin- en einddatums wijzigen zodat er in de toekomst een toegangsbeoordeling begint en de laatste dagen wilt.
Als u de toegangsbeoordeling terugkerend wilt maken, wijzigt u de frequentie-instelling van één keer in Wekelijks, Maandelijks, Kwartaal, Jaarlijks of Halfjaarlijks. Gebruik de schuifregelaar Duur of het tekstvak om te definiëren hoeveel dagen elke beoordeling van de terugkerende reeks is geopend voor invoer van revisoren. De maximale duur die u voor een maandelijkse beoordeling kunt instellen, is bijvoorbeeld 27 dagen, om overlappende beoordelingen te voorkomen.
Gebruik de instelling Einde om op te geven hoe u de reeks terugkerende toegangsbeoordeling beëindigt. De reeks kan op drie manieren eindigen: deze wordt continu uitgevoerd om beoordelingen voor onbepaalde tijd te starten, tot een specifieke datum of nadat een bepaald aantal exemplaren is voltooid. U, of een andere beheerder die beoordelingen kan beheren, kan de reeks stoppen nadat deze is gemaakt door de datum in Instellingen te wijzigen, zodat deze eindigt op die datum.
Selecteer in de sectie Gebruikersbereik het bereik van de beoordeling. Voor Microsoft Entra-rollen is de eerste bereikoptie Gebruikers en Groepen. Direct toegewezen gebruikers en roltoewijsbare groepen worden opgenomen in deze selectie. Voor Azure-resourcerollen is het eerste bereik Gebruikers. Groepen die zijn toegewezen aan Azure-resourcerollen, worden uitgebreid om transitieve gebruikerstoewijzingen weer te geven in de beoordeling met deze selectie. U kunt ook service-principals selecteren om de computeraccounts te controleren met directe toegang tot de Azure-resource of de Microsoft Entra-rol.
U kunt ook alleen toegangsbeoordelingen maken voor inactieve gebruikers. Stel in de sectie Gebruikersbereik de inactieve gebruikers (op tenantniveau) alleen in op waar. Als de wisselknop is ingesteld op waar, richt het bereik van de beoordeling zich alleen op inactieve gebruikers. Geef vervolgens voor Dagen inactief een aantal inactieve dagen op (maximaal 730 dagen ofwel twee jaar). Gebruikers die inactief zijn voor het opgegeven aantal dagen, zijn de enige gebruikers in de beoordeling.
Selecteer onder Rollidmaatschap controleren de bevoorrechte Azure-resource of Microsoft Entra-rollen die u wilt controleren.
Notitie
Als u meer dan één rol selecteert, worden er meerdere toegangsbeoordelingen gemaakt. Als u bijvoorbeeld vijf rollen selecteert, worden er vijf afzonderlijke toegangsbeoordelingen gemaakt.
Beperk in het toewijzingstype de beoordeling door de manier waarop de principal aan de rol is toegewezen. Kies in aanmerking komende toewijzingen alleen om in aanmerking komende toewijzingen te controleren (ongeacht de activeringsstatus wanneer de beoordeling wordt gemaakt) of actieve toewijzingen alleen om actieve toewijzingen te controleren. Kies alle actieve en in aanmerking komende toewijzingen om alle toewijzingen te controleren, ongeacht het type.
Selecteer in de sectie Beoordelaars een of meer personen om alle gebruikers te beoordelen. Of u kunt ervoor kiezen om de leden hun eigen toegang te laten beoordelen.
- Geselecteerde gebruikers : gebruik deze optie om een specifieke gebruiker aan te wijzen om de beoordeling te voltooien. Deze optie is beschikbaar ongeacht het bereik van de beoordeling en de geselecteerde revisoren kunnen gebruikers, groepen en service-principals bekijken.
- Leden (zelf) - Gebruik deze optie om de gebruikers hun eigen roltoewijzingen te laten beoordelen. Deze optie is alleen beschikbaar als de beoordeling is gericht op gebruikers en groepen of gebruikers. Voor Microsoft Entra-rollen maken rollentoewijzingsgroepen geen deel uit van de beoordeling wanneer deze optie is geselecteerd.
- Manager : gebruik deze optie om de manager van de gebruiker de roltoewijzing te laten beoordelen. Deze optie is alleen beschikbaar als de beoordeling is gericht op gebruikers en groepen of gebruikers. Wanneer u Manager selecteert, hebt u ook de mogelijkheid om een terugvalrevisor op te geven. Revisoren van terugval worden gevraagd om een gebruiker te controleren wanneer de gebruiker geen manager heeft opgegeven in de directory. Voor Microsoft Entra-rollen worden rollentoewijzingsgroepen beoordeeld door de terugvalrevisor als deze is geselecteerd.
Na voltooiingsinstellingen
Als u wilt opgeven wat er gebeurt nadat een beoordeling is voltooid, vouwt u de sectie Bij voltooiingsinstellingen uit.
Als u automatisch de toegang wilt verwijderen voor gebruikers die zijn geweigerd, stelt u automatisch resultaten toe op resource op Inschakelen. Als u de resultaten handmatig wilt toepassen wanneer de beoordeling is voltooid, stelt u de schakeloptie in op Uitschakelen.
Gebruik de lijst Als revisor niet reageert om op te geven wat er gebeurt voor gebruikers die niet worden beoordeeld door de revisor binnen de beoordelingsperiode. Deze instelling heeft geen invloed op gebruikers die door de revisoren zijn beoordeeld.
- Geen wijziging : de toegang van de gebruiker ongewijzigd laten
- Toegang verwijderen - Gebruikerstoegang verwijderen
- Toegang goedkeuren - Toegang van gebruiker goedkeuren
- Aanbevelingen doen: neem de aanbeveling van het systeem voor het weigeren of goedkeuren van de continue toegang van de gebruiker
Gebruik de actie om toe te passen op de lijst met geweigerde gastgebruikers om op te geven wat er gebeurt voor gastgebruikers die worden geweigerd. Deze instelling kan momenteel niet worden bewerkt voor Microsoft Entra ID en Azure-resourcerolbeoordelingen; gastgebruikers, zoals alle gebruikers, verliezen altijd de toegang tot de resource als deze wordt geweigerd.
U kunt meldingen verzenden naar extra gebruikers of groepen om voltooiingsupdates voor revisies te ontvangen. Met deze functie kunnen andere belanghebbenden dan de maker van de beoordeling worden geïnformeerd over de voortgang van de beoordeling. Als u deze functie wilt gebruiken, selecteert u Gebruiker(en) of groep(en) selecteren en voegt u een extra gebruiker of groep toe wanneer u de status van voltooiing wilt ontvangen.
Geavanceerde instellingen
Als u aanvullende instellingen wilt opgeven, vouwt u de sectie Geavanceerde instellingen uit.
Stel Aanbevelingen weergeven in op Inschakelen om de revisoren de systeemaanbevelingen weer te geven op basis van de toegangsgegevens van de gebruiker. Aanbevelingen zijn gebaseerd op een intervalperiode van 30 dagen. Gebruikers die de afgelopen 30 dagen zijn aangemeld, worden weergegeven met aanbevolen goedkeuring van toegang, terwijl gebruikers die niet zijn aangemeld, worden weergegeven met aanbevolen weigering van toegang. Deze aanmeldingen zijn ongeacht of ze interactief waren. De laatste aanmelding van de gebruiker wordt ook weergegeven samen met de aanbeveling.
Stel Reden vereisen voor goedkeuring in op Inschakelen zodat de revisor een reden voor goedkeuring moet opgeven.
Stel E-mailmeldingen in op Inschakelen zodat Microsoft Entra ID e-mailmeldingen verzendt naar beoordelaars wanneer een toegangsbeoordeling wordt gestart, en naar beheerders wanneer een beoordeling is voltooid.
Stel Herinneringen in op Inschakelen zodat Microsoft Entra ID herinneringen voor toegangsbeoordelingen die in behandeling zijn, verzendt naar de beoordelaars die de beoordeling nog niet hebben voltooid.
De inhoud van de e-mail die naar revisoren wordt verzonden, wordt automatisch gegenereerd op basis van de details van de beoordeling, zoals de naam van de beoordeling, de resourcenaam, de einddatum, enzovoort. Als u aanvullende informatie nodig hebt, zoals aanvullende instructies of contactgegevens, kunt u deze gegevens opgeven in de aanvullende inhoud voor revisor-e-mail die wordt opgenomen in de uitnodigings- en herinneringsmails die worden verzonden naar toegewezen revisoren. Deze informatie wordt in de gemarkeerde sectie hieronder weergegeven.
De toegangsbeoordeling beheren
U kunt de voortgang bijhouden terwijl de revisoren hun beoordelingen voltooien op de pagina Overzicht van de toegangsbeoordeling. Er worden geen toegangsrechten gewijzigd in de map totdat de beoordeling is voltooid. Hieronder ziet u een schermopname met de overzichtspagina voor Azure-resources en Toegangsbeoordelingen voor Microsoft Entra-rollen.
Als dit een eenmalige beoordeling is, volgt u de stappen in Het voltooien van een toegangsbeoordeling van Azure-resources en Microsoft Entra-rollen nadat de toegangsbeoordeling is verstreken of de beheerder de toegangsbeoordeling stopt.
Als u een reeks toegangsbeoordelingen wilt beheren, gaat u naar de toegangsbeoordeling en vindt u toekomstige exemplaren in Geplande beoordelingen en bewerkt u de einddatum of voegt u revisoren dienovereenkomstig toe of verwijdert u revisoren toe.
Op basis van uw selecties in Bij voltooiingsinstellingen wordt automatisch toepassen uitgevoerd na de einddatum van de beoordeling of wanneer u de beoordeling handmatig stopt. De status van de beoordeling verandert van Voltooid tot tussenliggende statussen, zoals Toepassen en ten slotte op status Toegepast. U kunt verwachten dat geweigerde gebruikers binnen een paar minuten worden verwijderd uit rollen.
Impact van groepen die zijn toegewezen aan Microsoft Entra-rollen en Azure-resourcerollen in toegangsbeoordelingen
• Voor Microsoft Entra-rollen kunnen rollentoewijzingsgroepen aan de rol worden toegewezen met behulp van rollentoewijzingsgroepen. Wanneer er een beoordeling wordt gemaakt op een Microsoft Entra-rol waaraan rollen kunnen worden toegewezen, wordt de groepsnaam weergegeven in de beoordeling zonder het groepslidmaatschap uit te breiden. De revisor kan de toegang van de hele groep tot de rol goedkeuren of weigeren. Geweigerde groepen verliezen hun toewijzing aan de rol wanneer de beoordelingsresultaten worden toegepast.
• Voor Azure-resourcerollen kan elke beveiligingsgroep worden toegewezen aan de rol. Wanneer een beoordeling wordt gemaakt op een Azure-resourcerol waaraan een beveiligingsgroep is toegewezen, worden de gebruikers die aan die beveiligingsgroep zijn toegewezen, volledig uitgebreid en weergegeven aan de revisor van de rol. Wanneer een revisor een gebruiker weigert die is toegewezen aan de rol via de beveiligingsgroep, wordt de gebruiker niet uit de groep verwijderd. Dit komt doordat een groep mogelijk is gedeeld met andere Azure- of niet-Azure-resources. Daarom moeten de wijzigingen die voortvloeien uit de geweigerde toegang door de beheerder worden uitgevoerd.
Notitie
Het is mogelijk dat aan een beveiligingsgroep andere groepen zijn toegewezen. In dit geval worden alleen de gebruikers die rechtstreeks zijn toegewezen aan de beveiligingsgroep die aan de rol is toegewezen, weergegeven in de beoordeling van de rol.
De toegangsbeoordeling bijwerken
Nadat een of meer toegangsbeoordelingen zijn gestart, kunt u de instellingen van uw bestaande toegangsbeoordelingen wijzigen of bijwerken. Hier volgen enkele veelvoorkomende scenario's die u mogelijk wilt overwegen:
Revisoren toevoegen en verwijderen: wanneer u toegangsbeoordelingen bijwerkt, kunt u ervoor kiezen om naast de primaire revisor een terugvalrevisor toe te voegen. Primaire revisoren kunnen worden verwijderd bij het bijwerken van een toegangsbeoordeling. Terugvalrevisoren zijn echter niet standaard verwisselbaar.
Notitie
Revisoren van terugval kunnen alleen worden toegevoegd wanneer revisortype manager is. Primaire revisoren kunnen worden toegevoegd wanneer revisortype is geselecteerd.
De revisoren eraan herinneren: wanneer u toegangsbeoordelingen bijwerkt, kunt u ervoor kiezen om de herinneringsoptie in te schakelen onder Geavanceerde instellingen. Zodra deze optie is ingeschakeld, ontvangen gebruikers een e-mailmelding op het middelpunt van de beoordelingsperiode, ongeacht of ze de beoordeling hebben voltooid of niet.
De instellingen bijwerken: als een toegangsbeoordeling terugkerend is, zijn er afzonderlijke instellingen onder 'Huidig' versus onder 'Reeks'. Als u de instellingen onder Huidige bijwerkt, worden alleen wijzigingen toegepast op de huidige toegangsbeoordeling terwijl de instellingen onder Reeks worden bijgewerkt, wordt de instelling bijgewerkt voor alle toekomstige terugkeerpatronen.