Поделиться через

Создание проверки доступа ресурсов Azure и ролей Microsoft Entra в PIM

  • Статья

Потребность в доступе к привилегированным ресурсам Azure и ролям Microsoft Entra пользователям с течением времени изменяется. Чтобы снизить риск, связанный с устаревшими назначениями ролей, следует регулярно проверять наличие, тип и уровень доступа. Вы можете использовать Microsoft Entra управление привилегированными пользователями (PIM) для создания проверок доступа для привилегированного доступа к ресурсу Azure и ролям Microsoft Entra. Вы также можете настроить автоматические повторные проверки доступа. В этой статье объясняется, как создать одну или несколько проверок доступа.

Необходимые компоненты

Для использования управление привилегированными пользователями требуются лицензии. Дополнительные сведения о лицензировании см. в Управление идентификацией Microsoft Entra основах лицензирования.

Для получения дополнительной информации о лицензиях для PIM см. раздел Требования к лицензии для использования PIM.

Для создания проверок доступа для ресурсов Azure необходима роль Azure Владелец или Администратор доступа пользователей для этих ресурсов Azure. Чтобы создать проверки доступа для ролей Microsoft Entra, необходимо назначить по крайней мере роль администратора привилегированных ролей.

Для использования проверок доступа для субъектов-служб требуется план Идентификация рабочей нагрузки Microsoft Entra Premium в дополнение к лицензии Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra.

  • Лицензирование удостоверений рабочей нагрузки Premium. Вы можете просматривать и получать лицензии в колонке "Удостоверения рабочей нагрузки" в Центре администрирования Microsoft Entra.

Примечание.

Проверки доступа записывают моментальный снимок доступа в начале каждого экземпляра проверки. Любые изменения, внесенные во время процесса проверки, будут отражены в последующем цикле проверки. По сути, при начале каждого нового повторения извлекаются соответствующие данные о пользователях, ресурсах и их соответствующих рецензентах.

Создание проверок доступа

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra в качестве пользователя, которому назначена одна из необходимых ролей.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями.

  3. Для ролей Microsoft Entra выберите роли Microsoft Entra. Для ресурсов Azure выберите ресурсы Azure

    Выберите

  4. Для ролей Microsoft Entra снова выберите роли Microsoft Entra в разделе "Управление". Для ресурсов Azure выберите подписку, которой хотите управлять.

  5. В разделе "Управление" выберите Проверки доступа, после чего выберите Создать, чтобы создать проверку доступа.

    Роли Microsoft Entra — список проверок доступа, показывающий состояние всех отзывов снимок экрана.

  6. Назовите проверку доступа. При необходимости укажите описание проверки. Имя и описание отображаются для рецензентов.

    Снимок экрана: создание проверки доступа — имя и описание проверки.

  7. Установите дату начала. По умолчанию проверка доступа выполняется один раз. Он начинается во время создания, и заканчивается в течение одного месяца. Можно изменить даты начала и окончания таким образом, чтобы проверка доступа началась в будущем и длилась необходимое количество дней.

    Снимок экрана: дата начала, частота, длительность, завершение, количество раз и дата окончания.

  8. Чтобы настроить повторяющуюся проверку доступа, измените значение параметра Частота со значения Один раз на Еженедельно, Ежемесячно, Ежеквартально, Ежегодно или Раз в полгода. Используйте ползунок длительность или текстовое поле для указания длительности проверки. Например, для ежемесячной проверки вы можете настроить продолжительность не более 27 дней, что позволяет избежать перекрытия интервалов проверки.

  9. Параметр Окончание позволяет указать, как закончится эта серия повторяющихся проверок доступа. Серия может завершиться тремя способами: она выполняется непрерывно до бесконечности, до наступления определенной даты или после выполнения определенного числа серий. Вы (или другой администратор, который может управлять проверками) можете остановить серию после создания, указав в разделе Параметры нужную дату окончания.

  10. В разделе Область действия пользователей выберите объем проверки. Для ролей Microsoft Entra первый параметр области — "Пользователи и группы". В этот выбор включены непосредственно назначенные пользователи и группы с возможностью назначения ролей. Для ролей ресурсов Azureпервая область — "Пользователи". При выборе этого параметра группы, назначенные ролям ресурсов Azure, развертываются для отображения транзитивных назначений пользователей в проверке. Вы также можете выбрать субъектов-служб , чтобы просмотреть учетные записи компьютера с прямым доступом к ресурсу Azure или роли Microsoft Entra.

    Снимок экрана: область

  11. Кроме того, можно создавать проверки доступа только для неактивных пользователей. В разделе Область пользователей задайте для параметра Только неактивные пользователи (на уровне клиента) значение true. Если переключатель имеет значение true, область проверки фокусируется только на неактивных пользователях. Затем укажите неактивные дни. Можно указать до 730 дней (два года). Пользователи, неактивные в течение указанного числа дней, являются единственными пользователями в проверке.

  12. В разделе "Проверка членства в роли" выберите привилегированный ресурс Azure или роли Microsoft Entra для проверки.

    Примечание.

    Если выбрать несколько ролей, будет создано несколько проверок доступа. Например, если выбрать пять ролей, будет создано пять отдельных проверок доступа.

    Снимок экрана: проверка членств в роли.

  13. В поле Тип назначения укажите, как субъект был назначен роли. Выберите элемент Только допустимые назначения для проверки допустимых назначений (независимо от состояния активации при создании проверки) или Только активные назначения для проверки активных назначений. Выберите Все активные и подходящие назначения, чтобы просмотреть все назначения, независимо от типа.

    Снимок экрана: список рецензентов типов назначений.

  14. В разделе Рецензенты выберите одного или нескольких пользователей для проверки всех пользователей. Или можно указать, чтобы участники сами проверяли собственный доступ.

    Список рецензентов:

    • Выбранные пользователи - воспользуйтесь данным параметром, чтобы назначить конкретного пользователя для завершения обзора. Этот параметр доступен независимо от области проверки, а выбранные рецензенты могут просматривать учётные записи пользователей, групп и служб.
    • Участники (самостоятельно): выберите этот параметр, чтобы пользователи сами проверяли назначенные им роли. Данный параметр доступен только в том случае, если областью проверки является Пользователи и группы или Пользователи. Для ролей Microsoft Entraгруппы с возможностью назначения ролей не являются частью проверки при выборе этого параметра.
    • Менеджер - воспользуйтесь данным параметром, чтобы менеджер пользователя проверил назначение ролей. Данный параметр доступен только в том случае, если областью проверки является Пользователи и группы или Пользователи. При выборе менеджера можно также указать запасного рецензента. Запасные рецензенты просят провести проверку пользователя, если у пользователя не указан менеджер в каталоге. Для ролей Microsoft Entraгруппы с возможностью назначения ролей проверяются резервным рецензентом при выборе.

После заполнения параметров

  1. Чтобы указать, что происходит после завершения проверки, разверните раздел Настройки после завершения.

    Снимок экрана: параметры завершения для автоматического применения, а варианты не должны отвечать рецензентам.

  2. Если вы хотите автоматически удалять доступ пользователей, для которых были получены запреты, задайте для параметра Автоматически применять результаты к ресурсу значение Включить. Если вы хотите вручную применять результаты по завершении проверки, выберите здесь значение Отключить.

  3. Используйте список Если рецензент не отвечает, чтобы указать, что происходит с пользователями, которые не были проверены рецензентом в течение периода рецензирования. Этот параметр не влияет на пользователей, которые уже проверены.

    • Без изменений — доступ пользователя сохраняется без изменений.
    • Удалить доступ — доступ пользователя блокируется.
    • Утвердить доступ — доступ пользователя утверждается.
    • Получить рекомендации — применить рекомендации системы в отношении запрета или утверждения доступа пользователя.

  4. Используйте список Action to apply on denied guest users (Действие, которое будет применено к гостевым пользователям, которым было отказано в доступе), чтобы указать, что происходит с гостевыми пользователями, которым было отказано в доступе. Этот параметр нельзя редактировать для Microsoft Entra ID и проверок ролей ресурсов Azure на данный момент; гостевые пользователи, как и все пользователи, всегда теряют доступ к ресурсу, если доступ отклонён.

    Снимок экрана: параметры после завершения — действие, применяемое для гостевых пользователей, которым было отказано в доступе.

  5. Вы можете отправлять уведомления другим пользователям или группам для получения обновлений завершения проверки. Данная функция позволяет заинтересованным сторонам, за исключением автора обзора, получать информацию о ходе проверки. Чтобы использовать эту функцию, выберите Пользователя(-ей) или Группу(-ы) и добавьте всех пользователей или группы, которые вы хотите, чтобы получали уведомления о состоянии завершения.

    Снимок экрана: параметры после завершения — добавление дополнительных пользователей для получения уведомлений.

Расширенные настройки

  1. Чтобы настроить дополнительные параметры, разверните раздел Дополнительные параметры.

    Снимок экрана: дополнительные параметры для вариантов

  2. Задайте для параметра Показывать рекомендации значение Включить, чтобы рецензенты видели рекомендации системы на основе данных о доступе пользователя. Рекомендации основаны на 30-дневном интервале. Пользователи, вошедшие в систему за последние 30 дней, отображаются с рекомендуемым утверждением доступа, в то время как пользователи, которые не вошли в систему, отображаются с рекомендуемым отказом в доступе. Рекомендации не зависят от того, были ли операции входа интерактивными. Вместе с рекомендацией отображается последний вход пользователя.

  3. Задайте для параметра Требовать причину утверждения значение Включить, чтобы требовать от рецензентов указывать причину утверждения.

  4. Задайте для параметра Оповещения по электронной почте значение Включить, чтобы Microsoft Entra ID отправляла рецензентам по электронной почте уведомления о начале проверки доступа и сообщала администраторам о ее завершении.

  5. Настройте напоминания, чтобы включить отправку напоминаний о текущих проверках доступа рецензентам, не завершившим свою проверку.

  6. Содержимое электронной почты, отправленное рецензентам, автоматически создается на основе сведений о проверке, таких как имя проверки, имя ресурса, дата выполнения и т. д. Если вам нужен способ передачи дополнительных сведений, таких как дополнительные инструкции или контактные данные, можно указать эти сведения в Дополнительные сведения для электронной почты рецензента включены в приглашение и сообщения электронной почты напоминания, отправленные назначенным рецензентам. Выделенный раздел содержит эти сведения.

    Содержание электронного письма, отправленного рецензентам, с указанием основных пунктов

Управление проверкой доступа

Вы можете отслеживать, как рецензенты завершают свои обзоры, на странице Обзор проверки доступа. Права доступа к каталогу не меняются до тех пор, пока проверка не будет завершена. Страница обзора доступа с подробными сведениями о проверке доступа для ролей Microsoft Entra.

После проверки доступа выполните шаги, указанные в разделе Проведение проверки доступа к ресурсам Azure и ролям Microsoft Entra, чтобы просмотреть и применить результаты.

Если вы управляете рядом проверок доступа, перейдите к просмотру доступа, найдите предстоящие события в запланированных проверках и измените дату окончания или добавьте/удалите рецензентов соответствующим образом.

В зависимости от вашего выбора в Настройках по завершении автоматическое применение будет выполнено после даты окончания проверки или когда вы вручную остановите проверку. Статус проверки изменяется с Завершено через промежуточные состояния, такие как Применение, и, наконец, к состоянию Применен. Следует ожидать, что запрещенные пользователи, при наличии таковых, будут удалены из ролей спустя несколько минут.

Влияние групп, назначенных ролям Microsoft Entra и ролям ресурсов Azure в проверках доступа

• Для ролей Microsoft Entra группы, назначаемые ролями, можно назначить роли с помощью групп, назначаемых ролями. При создании проверки на роли Microsoft Entra с назначенными группами, назначаемыми ролями, имя группы отображается в проверке без расширения членства в группе. Рецензент может утвердить или запретить доступ для всей группы к роли. Отклоненные группы теряют свое назначение роли при применении результатов проверки.

• Для ролей ресурсов Azure любой группе безопасности можно назначить роль. При создании обзора для роли ресурса Azure с назначенной группой безопасности, рецензенты ролей могут видеть полностью развернутое представление участников группы. Если рецензент отказывает пользователю в роли, назначенной через группу безопасности, пользователь не удаляется из группы. Это связано с тем, что группа может быть предоставлена другим ресурсам Azure или ресурсам, не связанным с Azure. Администраторы должны реализовать изменения, вызванные отказом доступа.

Примечание.

Группа безопасности может назначить для этого другие группы. В этом случае только пользователи, назначенные непосредственно для группы безопасности, назначенной роли, будут отображаться в проверке роли.

Обновление проверки доступа

После запуска одной или нескольких проверок доступа может потребоваться изменить или обновить параметры имеющихся проверок доступа. Ниже приведено несколько распространенных сценариев, которые может потребоваться рассмотреть.

  • Добавление и удаление рецензентов. При обновлении проверок доступа вы можете добавить резервного рецензента в дополнение к основному рецензенту. При обновлении проверки доступа основные рецензенты могут быть удалены. Тем не менее, резервных рецензентов нельзя удалить по замыслу.

    Примечание.

    Резервных рецензентов можно добавлять, только если типом рецензента является "Руководитель". Основных рецензентов можно добавлять, если выбран тип рецензента "Пользователь".

  • Напоминание рецензентам. При обновлении проверок доступа вы можете включить параметр напоминания в разделе "Дополнительные параметры". После включения пользователи получают уведомление по электронной почте в середине периода проверки. Рецензенты получают уведомления независимо от того, завершили ли они проверку.

    Снимок экрана: параметр напоминания в разделе параметров проверки доступа.

  • Обновление параметров. Если проверка доступа повторяется, то в разделах "Текущий" и "Серия" доступны отдельные параметры. Изменения параметров в разделе "Текущий" будут применены только к текущей проверке доступа, а изменения параметров в разделе "Серия" будут действовать для всех последующих повторений.

    Снимок экрана: страница параметров проверок доступа.

Следующие шаги