Управление доступом пользователей с помощью проверок доступа Azure Active Directory

  • 8 мин

Доступ сотрудников и гостей к группам и приложениям со временем изменяется. Чтобы снизить риск, связанный с устаревшими назначениями доступа, администраторы могут создавать проверки доступа для участников групп и для доступа к приложениям, используя Azure Active Directory (Azure AD). Вот некоторые из сценариев использования проверок доступа:

  • Слишком много пользователей с привилегированными ролями
  • Автоматизация недоступна
  • Группа используется для новой цели
  • Доступ к критически важным для бизнеса данным
  • Ведение списка исключений из политики
  • Просьба к владельцам групп подтвердить, что им по-прежнему нужны гости в группах
  • Периодические проверки

С помощью проверок доступа Azure Active Directory (Azure AD) организации могут эффективно управлять участием в группах без административного контроля. Можно убедиться в наличии необходимого доступа у пользователей и у гостей. Проверки доступа предоставляют следующие возможности:

  • Планирование регулярных проверок и проведение произвольных проверок, чтобы определить, кто обладает доступом к определенным ресурсам, таким как приложения и группы.
  • Отслеживание отзывов для их анализа, обеспечения соответствия требованиям и соблюдения политик.
  • Делегирование отзывов определенным администраторам, владельцам бизнеса или конечным пользователям, которые могут самостоятельно подтвердить необходимость сохранения доступа.
  • Эффективное использование аналитик, чтобы определить, следует ли продолжить предоставлять доступ пользователям.
  • Автоматизация результатов проверки, например, удаление доступа пользователей к ресурсам.
  • Автоматизация проверки групп в Azure AD с одним или несколькими гостями в качестве участников.
  • Автоматизация проверки приложений, подключенных к Azure AD, которым назначен один или несколько гостевых пользователей.

Схема процесса проверки доступа.

Основные преимущества

Основные преимущества проверок доступа:

  • Управление совместной работой: проверки доступа дают организациям возможность управлять доступ ко всем ресурсам, которые нужны пользователям. В ходе обмена данными и совместной работы пользователей доступ к информации предоставляется только авторизованным пользователям.

  • Управление рисками: проверки доступа предоставляют организациям возможность проверять доступ к данным и приложениям, за счет чего снижается риск утечки данных. В частности, реализована возможность регулярно проверять доступ внешних партнеров к корпоративным ресурсам.

  • Решение задач соответствия требованиям и управления: с помощью проверок доступа можно управлять жизненным циклом доступа к группам, приложениям и сайтам. Можно отслеживать проверки, чтобы обеспечивать соответствие требованиям или работу особо важных с точки зрения приложений, используемых в вашей организации.

  • Снижение затрат: проверки доступа встроены в облако и изначально поддерживают облачные ресурсы, такие как группы, приложения и пакеты доступа. Использование проверок доступа дешевле, чем создание собственных инструментов или расширение функциональности средств в локальной среде.

Создание проверок доступа для участников группы

Предварительные требования

  • Azure AD Premium P2
  • Глобальный администратор или администратор пользователей
  • Microsoft 365 и владелец группы безопасности (предварительная версия)

Создание одного или нескольких проверок доступа

  1. Войдите на портал Azure и откройте страницу Управление удостоверениями.

  2. Выберите Проверки доступа > + Новая проверка доступа, чтобы создать новую проверку доступа.

  3. В разделе Выбор объекта для проверки выберите Команды и группы.

  4. В разделе Область проверки выберите один из двух вариантов:

    • Все группы Microsoft 365 с гостевыми пользователями: выберите этот вариант, если нужно создать регулярные проверки для всех гостевых пользователей во всех группах Microsoft Teams и Microsoft 365 в вашей организации. Можно исключить определенные группы, выбрав "Выберите исключаемые группы".

    • Определенные команды и группы: выберите этот вариант, если нужно указать конечный набор команд и групп для проверки. После выбора этого варианта справа появится список доступных для выбора групп.

  5. В разделе Область можно выбрать область проверки. Доступные варианты:

    • Только гостевые пользователи: если выбрать этот вариант, проверка доступа затронет только гостей Azure AD B2B в вашем каталоге.
    • Все пользователи: если выбрать этот вариант, проверка доступа затронет все объекты пользователей, связанные с ресурсом.

    Если вы выбрали "Все группы Microsoft 365 с гостями", то вы сможете проверить только гостевых пользователей.

    Команды и группы

  6. Нажмите кнопку Далее: проверки.

  7. В разделе Выбор проверяющих выберите одного или нескольких пользователей, которые будут выполнять проверку доступа. Можно выбрать одно из следующих значений.

    • Владельцы групп (доступно только при проверке команды или группы)
    • Выбранные пользователи или группы
    • Пользователи проверяют свой собственный доступ
    • Руководители пользователей Если выбрать Руководители пользователей или Владельцы групп, можно указать резервного проверяющего. Резервные проверяющие получают просьбу о проведении проверки, если в каталоге для пользователя не указан руководитель, а также если у группы нет владельца.

  8. В разделе Выберите периодичность проверки можно указать, насколько часто следует проводить проверку: раз в неделю, раз в месяц, раз в квартал, раз в полгода, раз в год. Затем необходимо указать длительность: в течение какого времени проверяющие смогут предоставлять входные данные. Например, для ежемесячной проверки максимальная длительность составляет 27 дней, чтобы проверки не пересекались. Может потребоваться сократить длительность, чтобы можно было раньше применить действия проверяющих. Затем можно выбрать дату начала и дату окончания.

    Новая проверка доступа

  9. Нажмите кнопку Далее: параметры в нижней части страницы.

  10. В разделе параметров "По завершении" можно указать, что следует сделать после завершения проверки.

    Если нужно автоматически удалить доступ пользователей, которым он запрещен, установите значение "Включить" для параметра Автоматически применять результаты к ресурсам. Если нужно вручную применять результаты после окончания проверки, установите для этого параметра значение Отключить.

    Используйте список Если проверяющие не отвечают, чтобы указать, что должно произойти для пользователей, которые не будут проверены проверяющим до окончания срока проверки. Этот параметр не влияет на пользователей, которые были проверены проверяющими вручную. Если проверяющий принимает окончательное решение Запретить, то доступ пользователя будет удален.

    • Не изменять: доступ пользователя остается прежним
    • Удалить доступ: доступ пользователя будет удален
    • Утвердить доступ: доступ пользователя будет утвержден
    • Использовать рекомендации: будут использованы рекомендации системы в отношении запрета или утверждения дальнейшего доступа пользователя

    Используйте действие, применяемое к запрещенным гостям, чтобы указать, что должно произойти с гостевыми пользователями в случае отказа в доступе.

    • Если удалить членство пользователя из ресурса, доступ пользователя к проверяемой группе или приложению будет удален, но пользователь по-прежнему сможет входить в клиент.
    • Если выбрать "Заблокировать вход пользователя на 30 дней, затем удалить пользователя из клиента", пользователь не сможет входить в клиент вне зависимости от наличия доступа к другим ресурсам. Если доступ был запрещен по ошибке, администратор может снова включить доступ 30 дней после отключения пользователя. Если не выполнять никаких действий в отношении отключенных пользователей, они будут удалены из клиента.

  11. Можно отправлять уведомления другим пользователям или группам, чтобы они получали сведения о ходе проверки. Благодаря этой функции о ходе проверки смогут узнавать не только создатели проверки, но и другие заинтересованные лица. Чтобы использовать эту функцию, выберите Выбранные пользователи или группы и добавьте дополнительного пользователя или группу, которым нужно получить данные о состоянии проверки.

  12. В разделе Включить помощников по принятию решения выберите, должны ли проверяющие получать рекомендации в процессе проверки.

  13. В разделе "Расширенные параметры" можно выбрать следующее:

    • Установите для параметра Требуется обоснование значение Включить, чтобы проверяющий должен был указывать причину утверждения доступа.
    • Установите для параметра Уведомления по электронной почте значение Включить, чтобы система Azure AD отправляла уведомления по электронной почте: проверяющим — о начале проверки доступа, администраторам — о завершении проверки.
    • Установите для параметра Напоминания значение Включить, чтобы система Azure AD отправляла напоминания о текущей проверке доступа проверяющим, которые еще не выполнили проверку. Эти напоминания будут отправлены после истечения половины длительности проверки.
    • Содержимое сообщений электронной почты, которые будут отправлены проверяющим, формируется автоматически на основе данных проверки: название проверки, имя ресурса, срок и другие сведения. Если вам нужен способ обмениваться другими сведениями, например инструкциями или контактными данными, эти сведения можно указать в разделе Дополнительное содержимое для сообщений проверяющим. Указанные вами сведения будут включены в приглашение и в напоминания, отправляемые назначенным проверяющим по электронной почте. На следующем изображении выделен раздел, в котором указываются эти сведения.

    Варианты параметров, применяемых после завершения

  14. Нажмите кнопку Далее: проверка и создание, чтобы перейти на следующую страницу.

  15. Укажите название проверки доступа. При желании можно указать описание. Проверяющие видят название и описание проверки.

  16. Проверьте сведения и нажмите кнопку Создать.

Разрешить владельцам групп создавать проверки доступа и управлять ими (предварительная версия)

Необходимая роль: глобальный администратор или администратор пользователей

  1. Войдите на портал Azure и откройте страницу Управление удостоверениями.

  2. В меню слева выберите Проверки доступа, Параметры.

  3. На странице "Представитель, способный создавать проверки доступа и управлять ими" установите для параметра (Предварительная версия) Владельцы групп могут создавать проверки доступа и управлять ими для своих групп значение Да.

Проверка доступа к группам

Настроив параметры проверки доступа, нажмите кнопку Начать. Проверка доступа появится в списке с индикатором состояния.

По умолчанию Azure AD отправляет проверяющим сообщение электронной почты вскоре после начала проверки. Если вы отключили отправку электронной почты в Azure AD, не забудьте оповестить проверяющих о том, что им необходимо выполнить проверку доступа.

Начать процесс проверки доступа можно из уведомления, полученного по электронной почте. или непосредственно на сайте https://myapps.microsoft.com. Утвердить или запретить доступ можно двумя способами.

  • Можно вручную утвердить или запретить доступ одному или нескольким пользователям, выбирая соответствующие действия для каждого запроса пользователя.

  • Можно принять рекомендации системы.

    Открытая проверка доступа со списком проверяемых пользователей

Журналы аудита в Azure Active Directory

Помимо проверок доступа, администраторы могут использовать журналы аудита для проверки записей о системных действиях на соответствие требованиям, включая:

Представление, ориентированное на пользователей

  • Какие типы обновлений были применены к пользователям?
  • Сколько пользователей было изменено?
  • Сколько паролей было изменено?
  • Какие действия администратор выполнил в каталоге?

Представление, ориентированное на группы

  • Какие группы были добавлены?
  • Есть ли группы с измененным членством?
  • Изменились ли владельцы группы?
  • Какие лицензии были назначены группе или пользователю?

Представление, ориентированное на приложения

  • Какие приложения были добавлены или обновлены?
  • Какие приложения были удалены?
  • Изменился ли субъект-служба для приложения?
  • Изменились ли имена приложений?
  • Кто предоставил согласие для приложения?

Вы можете получить доступ к журналу аудита из раздела Мониторинг в Центре администрирования Azure Active Directory и использовать фильтры для поиска информации.

Журнал аудита в Центре администрирования AAD

Дополнительные сведения см. в статье Журналы аудита в Azure Active Directory.