Создание проверки доступа ресурсов Azure и ролей Microsoft Entra в PIM
Потребность в доступе к привилегированным ресурсам Azure и ролям Microsoft Entra пользователям с течением времени изменяется. Чтобы снизить риск, связанный с устаревшими назначениями ролей, следует регулярно проверять наличие, тип и уровень доступа. Вы можете использовать Microsoft Entra управление привилегированными пользователями (PIM) для создания проверок доступа для привилегированного доступа к ресурсу Azure и ролям Microsoft Entra. Вы также можете настроить автоматические повторные проверки доступа. В этой статье объясняется, как создать одну или несколько проверок доступа.
Необходимые компоненты
Для использования управление привилегированными пользователями требуются лицензии. Дополнительные сведения о лицензировании см. в Управление идентификацией Microsoft Entra основах лицензирования.
Для получения дополнительной информации о лицензиях для PIM см. раздел Требования к лицензии для использования PIM.
Для создания проверок доступа для ресурсов Azure необходима роль Azure Владелец или Администратор доступа пользователей для этих ресурсов Azure. Чтобы создать проверки доступа для ролей Microsoft Entra, необходимо назначить по крайней мере роль привилегированной роли Администратор istrator.
Для использования проверок доступа для субъектов-служб требуется план Идентификация рабочей нагрузки Microsoft Entra Premium в дополнение к лицензии Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra.
- Лицензирование удостоверений рабочей нагрузки Premium. Вы можете просматривать и получать лицензии в колонке "Удостоверения рабочей нагрузки" в Центре администрирования Microsoft Entra.
Примечание.
Проверки доступа записывают моментальный снимок доступа в начале каждого экземпляра проверки. Любые изменения, внесенные во время процесса проверки, будут отражены в последующем цикле проверки. По сути, при начале каждого нового повторения извлекаются соответствующие данные о пользователях, ресурсах и их соответствующих рецензентах.
Создание проверок доступа
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra в качестве пользователя, которому назначена одна из необходимых ролей.
Перейдите к управлению удостоверениями> управление привилегированными пользователями.
Для ролей Microsoft Entra выберите роли Microsoft Entra. Для ресурсов Azure выберите ресурсы Azure
Для ролей Microsoft Entra снова выберите роли Microsoft Entra в разделе "Управление". Для ресурсов Azure выберите подписку, которой хотите управлять.
В разделе "Управление" выберите Проверки доступа, после чего выберите Создать, чтобы создать проверку доступа.
Назовите проверку доступа. При необходимости укажите описание проверки. Имя и описание отображаются для рецензентов.
Установите дату начала. По умолчанию проверка доступа выполняется однократно, начинается в то же самое время, когда она создается, и завершается через один месяц. Можно изменить даты начала и окончания таким образом, чтобы проверка доступа началась в будущем и длилась необходимое количество дней.
Чтобы настроить повторяющуюся проверку доступа, измените значение параметра Частота со значения Один раз на Еженедельно, Ежемесячно, Ежеквартально, Ежегодно или Раз в полгода. Используйте ползунок длительности или текстовое поле, чтобы определить, сколько дней каждая проверка из повторяющейся серии будет открыта для ответов рецензентов. Например, для ежемесячной проверки вы можете настроить продолжительность не более 27 дней, что позволяет избежать перекрытия интервалов проверки.
Параметр Окончание позволяет указать, как закончится эта серия повторяющихся проверок доступа. Для завершения серии можно выбрать один из трех режимов: непрерывно и неограниченно долго, до определенной даты или до определенного числа проверок. Вы (или другой администратор, который может управлять проверками) можете остановить серию после создания, указав в разделе Параметры нужную дату окончания.
В разделе Область действия пользователей выберите объем проверки. Для ролей Microsoft Entra первый параметр область — "Пользователи и группы". Он позволяет добавить непосредственно назначенных пользователей и группы с назначением ролей. Для ролей ресурсов Azure первой будет область "Пользователи". При выборе этого параметра группы, назначенные ролям ресурсов Azure, развертываются для отображения транзитивных назначений пользователей в проверке. Вы также можете выбрать субъектов-служб , чтобы просмотреть учетные записи компьютера с прямым доступом к ресурсу Azure или роли Microsoft Entra.
Кроме того, можно создавать проверки доступа только для неактивных пользователей. В разделе Область пользователей задайте для параметра Только неактивные пользователи (на уровне клиента) значение true. Если переключатель имеет значение true, область проверки будет сосредоточена только на неактивных пользователях. Затем укажите для параметра Число дней неактивности соответствующее число до 730 (два года). Пользователи, неактивные в течение указанного количества дней, будут единственными пользователями в обзоре.
В разделе "Проверка членства в роли" выберите привилегированный ресурс Azure или роли Microsoft Entra для проверки.
Примечание.
Если выбрать несколько ролей, будет создано несколько проверок доступа. Например, если выбрать пять ролей, будет создано пять отдельных проверок доступа.
В поле Тип назначения укажите, как субъект был назначен роли. Выберите элемент Только допустимые назначения для проверки допустимых назначений (независимо от состояния активации при создании проверки) или Только активные назначения для проверки активных назначений. Выберите Все активные и подходящие назначения, чтобы просмотреть все назначения, независимо от типа.
В разделе Рецензенты выберите одного или нескольких пользователей для проверки всех пользователей. Или можно указать, чтобы участники сами проверяли собственный доступ.
- Выбранные пользователи - воспользуйтесь данным параметром, чтобы назначить конкретного пользователя для завершения обзора. Данный параметр доступен независимо от области проверки, и выбранные рецензенты могут просматривать пользователей, группы и субъекты-службы.
- Участники (самостоятельно): выберите этот параметр, чтобы пользователи сами проверяли назначенные им роли. Данный параметр доступен только в том случае, если областью проверки является Пользователи и группы или Пользователи. Для ролей Microsoft Entra группы, назначаемые ролями, не будут частью проверки при выборе этого параметра.
- Менеджер - воспользуйтесь данным параметром, чтобы менеджер пользователя проверил назначение ролей. Данный параметр доступен только в том случае, если областью проверки является Пользователи и группы или Пользователи. После выбора Менеджера у вас также будет возможность указать резервного рецензента. Запасные рецензенты просят провести проверку пользователя, если у пользователя не указан менеджер в каталоге. Для ролей Microsoft Entra группы с возможностью назначения ролей будут проверяться резервным рецензентом при выборе.
После заполнения параметров
Чтобы указать, что происходит после завершения проверки, разверните раздел Настройки после завершения.
Если вы хотите автоматически удалять доступ пользователей, для которых были получены запреты, задайте для параметра Автоматически применять результаты к ресурсу значение Включить. Если вы хотите вручную применять результаты по завершении проверки, выберите здесь значение Отключить.
Список Если рецензент не отвечает позволяет указать, что нужно делать для тех пользователей, которые не будут проверены рецензентами в установленный период проверки. Этот параметр не влияет на пользователей, проверенных рецензентами.
- Без изменений — доступ пользователя сохраняется без изменений.
- Удалить доступ — доступ пользователя блокируется.
- Утвердить доступ — доступ пользователя утверждается.
- Получить рекомендации — применить рекомендации системы в отношении запрета или утверждения доступа пользователя.
Используйте список Action to apply on denied guest users (Действие, которое будет применено к гостевым пользователям, которым было отказано в доступе), чтобы указать, что происходит с гостевыми пользователями, которым было отказано в доступе. Этот параметр не редактируется для идентификатора Microsoft Entra и проверок ролей ресурсов Azure в настоящее время; Гостевые пользователи, как и все пользователи, всегда теряют доступ к ресурсу при отказе.
Вы можете отправлять уведомления дополнительным пользователям или группам, чтобы получать последние сведения о завершении проверок. Данная функция позволяет заинтересованным сторонам, за исключением автора обзора, получать информацию о ходе проверки. Чтобы использовать данную функцию, выберите Выбрать пользователей или группы и добавьте дополнительного пользователя или группу, если вы хотите получить статус завершения.
Расширенные настройки
Чтобы настроить дополнительные параметры, разверните раздел Дополнительные параметры.
Задайте для параметра Показывать рекомендации значение Включить, чтобы рецензенты видели рекомендации системы на основе данных о доступе пользователя. Рекомендации основаны на 30-дневном интервале. Пользователи, вошедшие в систему за последние 30 дней, отображаются с рекомендуемым утверждением доступа, в то время как пользователи, не вошедшие в систему, отображаются с рекомендуемым отказом в доступе. Рекомендации не зависят от того, были ли операции входа интерактивными. Вместе с рекомендацией отображается последний вход пользователя.
Задайте для параметра Требовать причину утверждения значение Включить, чтобы требовать от рецензентов указывать причину утверждения.
Задайте для параметра Оповещения по электронной почте значение Включить, чтобы Microsoft Entra ID отправляла рецензентам по электронной почте уведомления о начале проверки доступа и сообщала администраторам о ее завершении.
Задайте для параметра Напоминания значение Включить, чтобы Microsoft Entra ID отправляла напоминания о текущей проверке доступа рецензентам, которые еще не завершили проверку.
Содержимое электронной почты, отправленное рецензентам, создается автоматически на основе сведений о проверке, таких как имя проверки, имя ресурса, дата выполнения и т. д. Если вам нужен способ передачи дополнительных сведений, таких как дополнительные инструкции или контактные данные, можно указать эти сведения в дополнительном контенте для сообщения электронной почты рецензента, который будет включен в приглашение и сообщения электронной почты напоминания, отправленные назначенным рецензентам. В выделенном ниже разделе будет отображаться указанная информация.
Управление проверкой доступа
Вы можете отслеживать, как рецензенты завершают свои обзоры, на странице Обзор проверки доступа. Права доступа к каталогу не меняются до тех пор, пока проверка не будет завершена. Ниже приведен снимок экрана: страница обзора ресурсов Azure и проверки доступа к ролям Microsoft Entra.
Если это одноразовая проверка, то после окончания периода проверки доступа или администратор останавливает проверку доступа, выполните действия, описанные в разделе "Завершение проверки доступа ресурсов Azure" и ролей Microsoft Entra, чтобы просмотреть и применить результаты.
Чтобы управлять серией проверок доступа, перейдите к проверке доступа, и вы найдете предстоящие вхождения в запланированных проверках и соответственно измените дату окончания или добавьте/удалите рецензентов.
В зависимости от вашего выбора в Настройках по завершении автоматическое применение будет выполнено после даты окончания проверки или когда вы вручную остановите проверку. Статус проверки изменится с Завершено через промежуточные состояния, такие как Применяется, и, наконец, на состояние Применено. Следует ожидать, что запрещенные пользователи, при наличии таковых, будут удалены из ролей спустя несколько минут.
Влияние групп, назначенных ролям Microsoft Entra и ролям ресурсов Azure в проверках доступа
• Для ролей Microsoft Entra группы, назначаемые ролями, можно назначить роли с помощью групп, назначаемых ролями. При создании проверки на роли Microsoft Entra с назначенными группами, назначаемыми ролями, имя группы отображается в проверке без расширения членства в группе. Рецензент может утвердить или запретить доступ для всей группы к роли. Группы с запретом потеряют назначение роли при применении результатов проверки.
• Для ролей ресурсов Azure любой группе безопасности можно назначить роль. При создании проверки в роли ресурса Azure с назначенной группой безопасности пользователи, назначенные этой группе безопасности, будут полностью развернуты и показаны рецензенту роли. Если рецензент запрещает пользователю, которому назначена роль через группу безопасности, пользователь не будет удален из группы. Это связано с тем, что группа, возможно, была предоставлена другим ресурсам Azure или не в Azure. Поэтому изменения, вызванные отказом в доступе, должны выполняться администратором.
Примечание.
Группа безопасности может назначить для этого другие группы. В этом случае только пользователи, назначенные непосредственно для группы безопасности, назначенной роли, будут отображаться в проверке роли.
Обновление проверки доступа
После запуска одной или нескольких проверок доступа может потребоваться изменить или обновить параметры имеющихся проверок доступа. Ниже приведено несколько распространенных сценариев, которые может потребоваться рассмотреть.
Добавление и удаление рецензентов. При обновлении проверок доступа вы можете добавить резервного рецензента в дополнение к основному рецензенту. При обновлении проверки доступа основные рецензенты могут быть удалены. Однако резервных рецензентов удалить невозможно, и это ограничение введено намеренно.
Примечание.
Резервных рецензентов можно добавлять, только если типом рецензента является "Руководитель". Основных рецензентов можно добавлять, если выбран тип рецензента "Пользователь".
Напоминание рецензентам. При обновлении проверок доступа вы можете включить параметр напоминания в разделе "Дополнительные параметры". После этого пользователи будут получать уведомление по электронной почте в средней точке периода проверки, независимо от того, завершили ли они проверку.
Обновление параметров. Если проверка доступа повторяется, то в разделах "Текущий" и "Серия" доступны отдельные параметры. Изменения параметров в разделе "Текущий" будут применены только к текущей проверке доступа, а изменения параметров в разделе "Серия" будут действовать для всех последующих повторений.