Создание проверки доступа пакета доступа в управлении правами
Чтобы снизить риск устаревшего доступа, следует включить периодические проверки пользователей, имеющих активные назначения пакету доступа в управлении правами. Вы можете включить проверки при создании нового пакета для доступа или изменении политики назначения для существующего пакета для доступа. В этой статье описывается, как включить проверки доступа для пакетов доступа.
Предварительные условия
Для использования этой функции требуются лицензии Microsoft Entra ID Governance или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. основы лицензирования Microsoft Entra ID Governance.
Создайте обзор доступа для пакета доступа
Вы можете включить проверки доступа при создании нового пакета доступа или редактировании политики назначения существующего пакета доступа. Если у вас несколько политик запроса доступа, назначенных разным сообществам пользователей, вы можете поддерживать независимые расписания проверки доступа для каждой политики. Чтобы включить проверки доступа для назначений пакета доступа, выполните следующие действия.
Войдите в Центра администрирования Microsoft Entra в качестве как минимум администратора управления удостоверениями.
Перейдите к Управление удостоверениями>Проверки доступа>Пакет доступа.
Чтобы создать новую политику доступа, выберите новый пакет доступа .
Чтобы изменить существующую политику доступа, в меню слева выберите Пакеты доступа и откройте пакет доступа, который требуется изменить. Затем в меню слева выберите "Политики" и выберите политику с параметрами жизненного цикла, которые нужно изменить.
На вкладке Жизненный цикл политики назначения пакета для доступа укажите, когда истекает срок действия назначения пользователя на данный пакет. Вы также можете указать, могут ли пользователи расширять свои назначения.
В разделе Окончание срока действия задайте для параметра "Срок действия назначения пакета для доступа" значение Дата, Количество дней, Количество часов или Никогда.
Для варианта Дата выберите дату окончания срока действия в будущем.
Для варианта Количество дней укажите число от 0 до 3660 дней.
Для количества часов укажите количество часов.
На основе вашего выбора срок действия назначения пользователя к пакету доступа истекает на конкретную дату, через определенное количество дней после его утверждения или может никогда не истечь.
Выберите "Показать расширенные параметры срока действия", чтобы отобразить другие параметры.
Чтобы разрешить пользователю продлевать свои назначения, установите переключатель Разрешить пользователям продлевать доступ в значение Да.
Если расширения разрешены в политике, пользователь получает сообщение электронной почты в течение 14 дней, а также один день до истечения срока действия назначения пакета доступа, предлагая им продлить назначение. Пользователь должен находиться в области действия политики на момент запроса продления. Кроме того, если в политике указана явная дата окончания назначений, и пользователь подает запрос на продление доступа, дата продления в запросе должна быть не позже даты окончания назначений, как определено в политике, которая использовалась для предоставления пользователю доступа к пакету доступа. Например, если политика указывает, что назначение истекает 30 июня, пользователь может запросить продление только до 30 июня.
Если доступ пользователя расширен, он не сможет запросить пакет доступа после указанной даты расширения (дата, заданная в часовом поясе пользователя, создавшего политику).
Чтобы включить утверждение запросов на продление, установите для параметра Требовать утверждение запросов на продление значение Да.
Будут использоваться те же параметры утверждения, которые были указаны на вкладке Запросы.
Затем установите переключатель Требуется проверка доступа в положение Да.
Укажите дату начала отзывов рядом с Начиная с.
Затем задайте Периодичность проверки: ежегодно, два раза в год, ежеквартально или ежемесячно. Этот параметр определяет частоту проверок доступа.
Задайте длительность, чтобы определить, сколько дней каждый обзор повторяющейся серии открыт для ввода от рецензентов. Например, вы можете запланировать годовую проверку, которая начинается 1 января и открыта для проверки в течение 30 дней, чтобы рецензенты имели до конца месяца ответить.
Рядом с пунктом Рецензенты выберите Самостоятельный просмотр, если нужно, чтобы пользователи выполняли собственную проверку доступа, или же назначьте конкретного рецензента (-ов) при необходимости назначения рецензента. Вы также можете выбрать менеджер, если вы хотите назначить руководителя рецензента в качестве рецензента. Если этот параметр выбран, необходимо добавить резервный вариант для пересылки проверки в случае, если менеджер не найден в системе.
Если выбраны определенные рецензенты, укажите, какие пользователи выполняют проверку доступа:
- Выберите пункт Добавить рецензентов.
- На панели Выбор рецензентов найдите и выберите пользователей, которых нужно сделать рецензентами.
- Выбрав рецензентов, нажмите кнопку "Выбрать ".
Если вы выбрали вариант Менеджер, задайте резервного рецензента:
- Выберите Добавить резервных рецензентов.
- На панели "Выбор резервных рецензентов" найдите и выберите пользователей, которые вы хотите получить резервным рецензентом для руководителя рецензента.
- Выбрав резервного(-ых) рецензента(-ов), нажмите кнопку «Выбрать».
Есть и другие дополнительные параметры, которые можно настроить. Чтобы настроить другие параметры проверки расширенного доступа, выберите "Показать параметры проверки расширенного доступа":
Если вы хотите указать, что происходит с доступом пользователей, когда рецензент не отвечает, выберите "Если рецензенты не отвечают", а затем выберите один из следующих вариантов:
- Без изменений, если не требуется принимать решение в отношении доступа пользователей.
- Запретить доступ, если необходимо запретить доступ пользователей.
- Принять рекомендации, если вы хотите, чтобы решение было принято на основе рекомендаций от MyAccess.
Если вы хотите просмотреть системные рекомендации, выберите "Показать помощников по принятию решений рецензентов". Системные рекомендации учитывают действия пользователей. Рецензенты видят одну из следующих рекомендаций:
- утвердить результаты проверки, если пользователь выполнял вход по крайней мере один раз за последние 30 дней.
- отклонить проверку, если пользователь не входил в систему за последние 30 дней.
Если вы хотите, чтобы рецензент поделился своими причинами принятия решения об утверждении, выберите " Требовать обоснование рецензента". Это обоснование будут видеть и другие проверяющие, и автор запроса.
Выберите Рецензирование и создание или выберите далее, если вы создаете новый пакет доступа. Выберите "Обновить", если вы редактируете пакет доступа, в нижней части страницы.
Просмотр состояния проверки доступа
После даты начала проверка доступа будет отображена в разделе Проверки доступа. Чтобы просмотреть состояние проверки доступа, выполните следующие действия.
В разделе "Управление удостоверениями" выберите пакеты доступа, а затем выберите пакет доступа с состоянием проверки доступа, которое вы хотите проверить.
Когда вы находитесь в обзоре пакета доступа, выберите Обзоры доступа в меню слева.
Появится список, содержащий все политики, к которым относятся проверки доступа. Выберите рецензирование, чтобы просмотреть его отчет.
При просмотре отчета отображается число проверенных пользователей и действия, предпринятые рецензентом.
Уведомления по электронной почте о проверках доступа
Вы можете назначить рецензентов, или пользователи могут самостоятельно проверять свой доступ. По умолчанию идентификатор Microsoft Entra отправляет сообщение электронной почты рецензентам или самостоятельным рецензентам вскоре после начала проверки.
В сообщении электронной почты содержатся инструкции по обзору доступа к пакетам доступа. Если проверка предназначена для пользователей и имеет целью проверить их доступ, покажите им инструкции по выполнению самостоятельного анализа пакетов доступа.
Если вы назначили гостевых пользователей в качестве рецензентов, и они не приняли приглашение гостя Microsoft Entra, они не будут получать сообщения электронной почты от проверок доступа. Сначала они должны принять приглашение и создать учетную запись с идентификатором Microsoft Entra, прежде чем они смогут получать сообщения электронной почты.
Примечание.
Пока цикл проверки открыт, рецензенты всегда могут изменять свои решения о проверке доступа. В середине проверки доступа, даже если рецензент ранее принял решение, сообщение электронной почты напоминания по-прежнему отправляется рецензентам, уведомляя их о том, что цикл проверки доступа по-прежнему открыт.