Что такое проверки доступа

Проверки доступа в идентификаторе Microsoft Entra, части Microsoft Entra, позволяют организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениям ролей. Доступ пользователей можно регулярно проверять, чтобы убедиться, что только правильные пользователи имеют постоянный доступ.

Вот видео, в котором представлен краткий обзор проверки доступа:

Почему важны проверки доступа

Идентификатор Microsoft Entra позволяет взаимодействовать с пользователями из вашей организации и внешними пользователями. Пользователи могут присоединяться к группам, приглашать гостей, подключаться к облачным приложениям и работать удаленно с рабочих или личных устройств. Удобство самообслуживания привели к потребности в более широких возможностях управления доступом.

  • Как обеспечить новым сотрудникам необходимый доступ, чтобы они работали максимально производительно?
  • Люди переходят из одной команды в другою и уходят из компании. Как отозвать у них старые права доступа?
  • Чрезмерные права доступа могут привести к компрометации данных.
  • Чрезмерное право доступа также может привести к выводу аудита, поскольку они указывают на отсутствие контроля над доступом.
  • Вам нужно заблаговременно обратиться к владельцам ресурсов и убедиться, что они регулярно проверяют, у кого есть доступ к их ресурсам.

Когда следует использовать проверки доступа?

  • Слишком много пользователей в привилегированных ролях: рекомендуется проверить, сколько пользователей имеют административный доступ, сколько из них являются глобальными администраторами, и если есть приглашенные гости или партнеры, которые не были удалены после назначения административной задачи. Вы можете повторно сертифицировать пользователей назначения ролей в ролях Microsoft Entra, таких как глобальные администраторы, или роли ресурсов Azure, такие как администратор доступа пользователей в интерфейсе Microsoft Entra управление привилегированными пользователями (PIM).
  • Если автоматизация невозможна: вы можете создавать правила для динамических групп членства, групп безопасности или Группы Microsoft 365, но что делать, если данные отдела кадров не содержатся в идентификаторе Microsoft Entra или если пользователи по-прежнему нуждаются в доступе после выхода из группы для обучения их замены? Затем вы можете создать проверку в этой группе, чтобы убедиться, что те, кто по-прежнему нуждается в доступе, сохраняют доступ.
  • Если группа используется для новой цели: если у вас есть группа, которая будет синхронизирована с идентификатором Microsoft Entra ID, или если вы планируете включить приложение Salesforce для всех участников группы продаж, будет полезно попросить владельца группы проверить группу динамического членства, прежде чем она будет использоваться в другом содержимом риска.
  • Доступ к критически важным для бизнеса данным: для определенных ресурсов, например для критически важных для бизнеса приложений, в целях обеспечения соответствия требованиям может потребоваться механизм регулярного подтверждения и обоснования причин, требующих сохранения доступа.
  • Требуется список исключений из политики. Только в идеальном мире все пользователи используют одинаковые политики доступа для защиты доступа к ресурсам организации. Но иногда в интересах бизнеса приходится делать исключения. ИТ-администраторы могут управлять этой задачей, чтобы не просмотреть исключения политик и предоставить аудиторам доказательства регулярной проверки этих исключений.
  • Попросите владельцев групп подтвердить, что им по-прежнему нужны гости в своих группах: доступ сотрудников может быть автоматизирован с другими функциями управления удостоверениями и доступом, такими рабочими процессами жизненного цикла на основе данных из источника кадров, но не приглашенных гостей. Если группа предоставляет гостям доступ к конфиденциальному бизнес-содержимому, то владелец группы должен подтвердить, что гостям по-прежнему на законных основаниях требуется такой доступ для бизнеса.
  • Периодически выполняйте проверки: вы можете настроить повторяющиеся проверки доступа пользователей на заданных частотах, таких как еженедельно, ежемесячно, квартально или ежегодно, а рецензенты уведомляются в начале каждого обзора. Рецензенты могут подтверждать или отклонять доступ с помощью удобного интерфейса и смарт-рекомендаций.

Примечание.

Если вы готовы попробовать проверки доступа, ознакомьтесь с разделом Создание проверки доступа групп или приложений.

Где создавать проверки

В зависимости от того, что требуется проверить, можно создать проверку доступа в проверках доступа, корпоративных приложениях Microsoft Entra, PIM или управлении правами.

Права доступа пользователей Типы рецензентов Где создана проверка Работа рецензентов
Члены группы безопасности
Члены группы Office
Указанные рецензенты
Владельцы группы
Самостоятельная проверка
проверка
доступа групп Microsoft Entra
Панель доступа
Назначенные для подключенного приложения Указанные рецензенты
Самостоятельная проверка
проверка
доступа корпоративных приложений Microsoft Entra
Панель доступа
Роль Microsoft Entra Указанные рецензенты
Самостоятельная проверка
PIM Центр администрирования Microsoft Entra
Роль ресурса Azure Указанные рецензенты
Самостоятельная проверка
PIM Центр администрирования Microsoft Entra
Назначения пакетов для доступа Указанные проверяющие
Члены группы
Самостоятельная проверка
управление правами Панель доступа

Требования к лицензиям

Эта функция требует Управление идентификацией Microsoft Entra или подписок Microsoft Entra Suite для пользователей вашей организации. Некоторые возможности в рамках этой функции могут работать с подпиской Microsoft Entra ID P2. Дополнительные сведения см. в статьях о каждой возможности. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.

Примечание.

Для создания проверки неактивных пользователей и рекомендаций о принадлежности пользователей к группам требуется лицензия Управление идентификацией Microsoft Entra.

Следующие шаги