Opisywanie przeglądów dostępu

  • 5 min

Przeglądy dostępu firmy Microsoft Entra umożliwiają organizacjom efektywne zarządzanie członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisywaniem ról. Regularne przeglądy dostępu zapewniają, że tylko odpowiednie osoby mają dostęp do zasobów. Nadmierne prawa dostępu są znanym ryzykiem bezpieczeństwa. Jednak gdy ludzie przechodzą między zespołami lub podejmują lub rezygnują z obowiązków, prawa dostępu mogą być trudne do kontrolowania.

Microsoft Entra ID umożliwia współpracę z użytkownikami z organizacji i z użytkownikami zewnętrznymi. Użytkownicy mogą dołączać do grup, zapraszać gości, łączyć się z aplikacjami w chmurze i zdalnie pracować z urządzeń służbowych lub osobistych. Ta wygoda doprowadziła do potrzeby lepszego zarządzania dostępem.

Istnieje wiele przypadków użycia, w których należy używać przeglądów dostępu. Oto kilka przykładów.

  • Zbyt wielu użytkowników w rolach uprzywilejowanych: dobrym pomysłem jest sprawdzenie, ilu użytkowników ma dostęp administracyjny i czy nie ma zaproszonych gości lub partnerów, którzy nie zostali usunięci po przypisaniu do wykonania zadania administracyjnego. Możesz ponownie certyfikować przypisanie roli użytkowników w rolach firmy Microsoft Entra, takich jak administratorzy globalni lub role zasobów platformy Azure, takie jak administrator dostępu użytkowników w środowisku usługi Microsoft Entra Privileged Identity Management (PIM).
  • Dostęp do danych krytycznych dla działania firmy: w przypadku niektórych zasobów, takich jak aplikacje krytyczne dla działania firmy, może być wymagane w ramach procesów zgodności, aby poprosić użytkowników o regularne ponowne potwierdzenie i uzasadnić, dlaczego potrzebują ciągłego dostępu.
  • Aby zachować listę wyjątków zasad: czasami istnieją przypadki biznesowe, które wymagają wyjątków od zasad. Jako administrator IT możesz zarządzać tym zadaniem i udostępniać audytorom dowód regularnego przeglądania tych wyjątków.
  • Poproś właścicieli grup o potwierdzenie, że nadal potrzebują gości w swoich grupach: jeśli grupa zapewnia gościom dostęp do zawartości poufnej dla firmy, to właściciel grupy jest odpowiedzialny za potwierdzenie, że goście nadal mają uzasadnione potrzeby biznesowe dostępu.
  • Przeglądy są okresowo powtarzane: możesz skonfigurować cykliczne przeglądy dostępu użytkowników przy ustawionych częstotliwościach, takich jak cotygodniowy, miesięczny, kwartalny lub roczny. Recenzenci są powiadamiani na początku każdej recenzji i po zakończeniu zatwierdzają lub odmawiają dostępu za pośrednictwem przyjaznego interfejsu użytkownika oraz z pomocą inteligentnych zaleceń.

Zarządzanie dostępem użytkowników i gości za pomocą przeglądów dostępu

Dzięki przeglądom dostępu można łatwo upewnić się, że użytkownicy lub goście mają odpowiedni dostęp. Możesz poprosić bezpośrednio użytkowników lub osobę podejmującą decyzje o udział w przeglądzie dostępu i ponowne certyfikowanie (potwierdzenie) dostępu użytkowników. Recenzenci mogą przekazać swoje dane wejściowe na potrzeby dalszego dostępu każdego użytkownika na podstawie sugestii z witryny Microsoft Entra ID. Po zakończeniu przeglądu dostępu można wprowadzić zmiany i odebrać dostęp użytkownikom, którzy już go nie potrzebują.

Administratorzy, którzy tworzą przeglądy dostępu, mogą śledzić postęp w miarę ukończenia procesu przez recenzentów. Żadne prawa dostępu nie zostaną zmienione do momentu zakończenia przeglądu. Możesz jednak zatrzymać przegląd, zanim osiągnie zaplanowany koniec.

Po zakończeniu przeglądu można ustawić opcję ręcznego lub automatycznego wprowadzania zmian w celu usunięcia dostępu z członkostwa w grupie lub przypisania aplikacji, z wyjątkiem grupy dynamicznej lub grupy pochodzącej ze środowiska lokalnego. W takich przypadkach zmiany muszą być stosowane bezpośrednio do grupy.

Przeglądy dostępu wieloetapowego

Przeglądy dostępu firmy Microsoft Entra obsługują maksymalnie trzy etapy przeglądu, w których wielu typów recenzentów angażuje się w określanie, kto nadal potrzebuje dostępu do zasobów firmy.

Przeglądy dostępu wieloetapowego umożliwiają Tobie i Twojej organizacji włączenie złożonych przepływów pracy w celu spełnienia wymagań dotyczących ponownego certyfikacji i inspekcji wywołujących, że wielu recenzentów potwierdzi dostęp do użytkowników w określonej sekwencji. Pomaga również zaprojektować bardziej wydajne przeglądy dla właścicieli zasobów i audytorów, zmniejszając liczbę decyzji, dla których każdy recenzent jest odpowiedzialny.

Przechwytywanie ekranu powiadomienia przeglądu dostępu, które zaprasza użytkowników do przeglądania praw dostępu.