Поделиться через


Проверка доступа к ресурсам Azure и ролям Microsoft Entra в PIM

Администраторы привилегированных ролей могут просматривать привилегированный доступ после запуска проверки доступа. управление привилегированными пользователями (PIM) в идентификаторе Microsoft Entra id автоматически отправляет сообщение электронной почты, которое запрашивает у пользователей доступ. Если пользователь не получил электронное письмо, ему можно отправить инструкции по выполнению проверки доступа.

После создания проверки выполните действия, описанные в этой статье, чтобы проверить доступ и просмотреть результаты.

Выполнение проверок доступа

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra в качестве пользователя, которому назначена одна из необходимых ролей.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями.

  3. Для ролей Microsoft Entra выберите роли Microsoft Entra. Для ресурсов Azure выберите ресурсы Azure

  4. Выберите необходимую проверку доступа. Ниже приведен пример снимка экрана с обзором проверки доступа для ресурсов Azure и ролей Microsoft Entra.

    Снимок экрана: список проверок доступа с указанием роли, владельца, даты начала, даты окончания и состояния.

На странице сведений доступны следующие параметры для управления проверкой ресурсов Azure и ролями Microsoft Entra:

Снимок экрана: параметры для управления проверкой ресурсов Azure —

Остановка проверки доступа

Все проверки доступа имеют дату окончания, но можно воспользоваться кнопкой Остановить , чтобы завершить их выполнение раньше. Кнопка Остановить доступна для нажатия только в том случае, если активен экземпляр проверки. Нельзя перезапустить проверку после ее остановки.

Сброс проверки доступа

Если экземпляр проверки активен и рецензентами было принято по крайней мере одно решение, то можно сбросить проверку доступа, нажав кнопку Сбросить, чтобы удалить все принятые в ходе проверки решения. После сброса проверки доступа все пользователи будут отмечены как непроверенные.

Применение проверки доступа

Нажав кнопку Применить после завершения проверки доступа из-за достижения даты окончания или из-за остановки вручную, можно удалить доступ запрещенных пользователей к роли. Если во время проверки доступ пользователя был отклонен, это шаг, который удаляет назначение ролей. Если при создании проверки был настроен параметр Авто, эта кнопка всегда будет отключена, так как результаты проверки будут применяться автоматически, а не вручную.

Удаление проверки доступа

Если вы еще не заинтересованы в проверке, удалите его. Чтобы удалить проверку доступа из службы Privileged Identity Management, нажмите кнопку Удалить.

Внимание

Вам не потребуется подтверждать это изменение, поэтому убедитесь, что вы хотите удалить эту проверку.

Результаты

На странице Результаты можно просмотреть и скачать список результатов проверки.

Страница результатов с описанием пользователей, результатов, причин, рассмотренных, примененных и примененных результатов для ролей Microsoft Entra снимок экрана.

Примечание.

Роли Microsoft Entra имеют концепцию групп, назначаемых ролями, где группу можно назначить роли. В этом случае в проверке будет отображаться группа, а не развернутый список членов группы, и рецензент будет утверждать либо запрещать всю группу.

Снимок экрана: страница результатов, на которой перечислены пользователи, результаты, причины, кем выполнена проверка, кто применил проверку и результаты применения для ролей ресурсов Azure.

Примечание.

Если группе назначены роли ресурсов Azure, то рецензент роли ресурсов Azure увидит развернутый список пользователей во вложенной группе. Если рецензент запретит доступ члена вложенной группы, этот запрет не будет применен, так как пользователь не будет удален из вложенной группы.

Рецензенты

На странице Рецензенты можно просмотреть и добавить рецензентов в имеющиеся проверки доступа. На это странице вы можете также напомнить рецензентам о завершении проверок.

Примечание.

Если выбран тип рецензента "Пользователь или группа", то в любой момент вы можете добавить дополнительных пользователей или группы в качестве основных рецензентов. Вы можете также удалить основных рецензентов в любое время. Если тип рецензента — "Руководитель", то вы можете добавить пользователей или группы в качестве резервных рецензентов для выполнения проверок для пользователей, не имеющих руководителей. Невозможно удалить резервных рецензентов.

Снимок экрана: страница

Следующие шаги