التخطيط لمراجعات صلاحية الوصول

18 دقائق

ما المقصود بمراجعة صلاحية الوصول؟

مراجعة صلاحية الوصول كما يوحي الاسم، هي مراجعة مخططة لاحتياجات الوصول والحقوق وتاريخ وصول المستخدم. تساعد مراجعات صلاحية الوصول المستخدمين على ضمان حصول الأشخاص المناسبين على حق الوصول إلى الموارد المناسبة. وتخفف من مخاطر الوصول عن طريق حماية الوصول إلى الأصول الهامة ومراقبتها وتدقيقها، مع ضمان إنتاجية الموظفين وشركاء العمل. وأخيرا، يتم تنفيذ مراجعة الوصول في Microsoft Entra ID Governance. مطلوب ترخيص Microsoft Entra ID Premium P2.

خذ بعين الاعتبار احتياجات المؤسسة لتحديد استراتيجية لنشر مراجعات صلاحية الوصول في بيئتك.

إشراك المساهمين المناسبين

عندما تفشل المشاريع التكنولوجية، فإن ذلك يحدث عادةً بسبب عدم تطابق التوقعات والنتائج والمسؤوليات. لتجنب هذه المخاطر، تأكد من إشراك أصحاب المصلحة المناسبينومن وضوح أدوارهم في المشروع. بالنسبة إلى مراجعات صلاحية الوصول، من المحتمل أن تضم ممثلين من الفرق التالية داخل مؤسستك:

تدير إدارة تكنولوجيا المعلومات البنية الأساسية ل تكنولوجيا المعلومات وتدير استثماراتك السحابية وتطبيقات البرامج كخدمة (SaaS).
تقوم فرق التطوير بإنشاء تطبيقات لمؤسستك وصيانتها
تدير وحدات الأعمال المشاريع والتطبيقات الخاصة بها.
تضمن حوكمة الشركة أن تتبع المؤسسة السياسة الداخلية وتمتثل للوائح.

إشعار

للمراجعات التي تتطلب تقييمات يدوية، تأكد من التخطيط للمراجعين الملائمين ودورات المراجعة التي تلبي احتياجات النهج والتوافق. إذا كانت دورات المراجعة متكررة جدا، أو كان هناك عدد قليل جدا من المراجعين، يتم فقدان الجودة ووصول عدد كبير جدا أو قليل جدا من الأشخاص.

ما هو Microsoft Entra ID Governance؟

تمكنك حوكمة هوية Microsoft Entra من تحقيق التوازن بين حاجة مؤسستك إلى الأمان وإنتاجية الموظفين والعمليات المناسبة والرؤية. فهي توفر لك القدرات لضمان أن للأشخاص المناسبين صلاحية الوصول إلى الموارد المناسبة. تتيح لك هذه الميزات وميزات Microsoft Entra ID وEnterprise Mobility + Security ذات الصلة التخفيف من مخاطر الوصول من خلال حماية الوصول إلى الأصول الهامة ومراقبته والتدقيق فيه - مع ضمان إنتاجية الموظفين وشركاء الأعمال.

تمنح Identity Governance المؤسسات القدرة على إكمال المهام عبر الموظفين وشركاء الأعمال والبائعين، وعبر الخدمات والتطبيقات داخليًا وفي السحب على حدٍّ سواء. وعلى وجه التحديد، يُقصد من هذا مساعدة المنظمات على معالجة هذه المسائل الرئيسية الأربعة:

أي المستخدمين يجب أن يكون لديهم حق الوصول إلى أي من الموارد؟
ماذا يفعل هؤلاء المستخدمون بهذا الوصول؟
هل هناك ضوابط مؤسسية فعالة لإدارة الوصول؟
هل يمكن للمدققين التحقق من أن عناصر التحكم تعمل؟

التخطيط لإصدار تجريبي

نحن نشجع العملاء على إجراء مراجعات صلاحية الوصول التجريبية في البداية من خلال مجموعة صغيرة واستهداف الموارد غير المهمة. يمكن أن تساعدك التجربة في ضبط العمليات والاتصالات حسب الحاجة وزيادة قدرة المستخدمين والمراجعين على تلبية متطلبات الأمان والتوافق.

في إصدارك التجريبي، نوصي بما يلي:

البدء بالمراجعات التي لا يتم فيها تطبيق النتائج تلقائيًا، وحيث يمكنك التحكم في الآثار المترتبة.
تأكد من أن جميع المستخدمين لديهم عناوين بريد إلكتروني صالحة مدرجة في معرف Microsoft Entra وأنهم يتلقون اتصالا بالبريد الإلكتروني لاتخاذ الإجراء المناسب.
توثيق أي صلاحية وصول تمت إزالتها كجزء من الإصدار التجريبي في حالة حاجتك إلى استعادتها بسرعة.
مراقبة سجلات التدقيق للتأكد من أن جميع الأحداث يتم تدقيقها بشكل صحيح.

ما أنواع الموارد التي يمكن مراجعتها؟

بمجرد دمج موارد مؤسستك مع معرف Microsoft Entra (مثل المستخدمين والتطبيقات والمجموعات)، يمكن إدارتها ومراجعتها.

وتشمل الأهداف النموذجية للمراجعة ما يلي:

وصول المستخدم إلى التطبيقات المتكاملة مع معرف Microsoft Entra لتسجيل الدخول الأحادي (مثل SaaS، خط العمل).
عضوية المجموعة (متزامنة مع معرف Microsoft Entra، أو تم إنشاؤها في معرف Microsoft Entra أو Microsoft 365، بما في ذلك Microsoft Teams).
حزمة الوصول التي تجمع الموارد (المجموعات والتطبيقات والمواقع) في حزمة واحدة لإدارة الوصول.
أدوار Microsoft Entra وأدوار Azure Resource كما هو محدد في إدارة الهويات المتميزة (PIM).

من سينشئ مراجعات صلاحية الوصول ويديرها؟

يعتمد الدور الإداري المطلوب لإنشاء مراجعة صلاحية الوصول أو إدارتها أو قراءتها على نوع المورد الذي تتم مراجعته.

نوع المورد	إنشاء مراجعات صلاحية الوصول وإدارتها (المؤلفون)	قراءة نتائج مراجعات صلاحية الوصول
المجموعة أو التطبيق	مسؤول العمومي	مسؤول عمومي
	مسؤول المستخدم	قارئ عام
	مسؤول إدارة الهوية	مسؤول المستخدم
	مسؤول الدور المتميز (يقوم فقط بمراجعة مجموعات Microsoft Entra القابلة للتعيين)	مسؤول Identity Governance
	مالك المجموعة	مسؤول الدور المتميز
		قارئ معلومات الأمان
		مالك المجموعة
دور Microsoft Entra	مسؤول العمومي
	مسؤول الدور المتميز	مسؤول عمومي
		قارئ عام
		مسؤول المستخدم
		مسؤول الدور المتميز
		قارئ معلومات الأمان
أدوار مورد Azure	مسؤول العمومي	مسؤول العمومي
	المسؤول عن وصول المستخدم	المسؤول عن وصول المستخدم
	مالك المورد	مالك المورد
		القارئ (للمورد)
حزمة الوصول	مسؤول العمومي	مسؤول العمومي
	مسؤول المستخدم
	مسؤول Identity Governance	قارئ عام
		مسؤول المستخدم
		مسؤول إدارة الهوية
		قارئ معلومات الأمان

من سيراجع صلاحية الوصول إلى المورد؟

يقرر منشئ مراجعة صلاحية الوصول في وقت الإنشاء من سيجري المراجعة. لا يمكن تغيير هذا الإعداد بمجرد بدء المراجعة. ويتمثل المراجعون في ثلاث شخصيات:

مالكي الموارد، الذين يُعدون مالكي العمل للمورد.
مجموعة من المفوضين المحددين بشكل فردي، كما تم تحديده من قبل مسؤول مراجعة صلاحية الوصول.
المستخدمين النهائيين الذين سيشهد كل منهم بنفسه على حاجته إلى الوصول المستمر.

عندما يُنشئ المسؤول مراجعة صلاحية الوصول، يمكن للمسؤولين اختيار مراجع واحد أو أكثر. يمكن لجميع المراجعين بدء إجراء مراجعة وتنفيذها، واختيار منح المستخدمين صلاحية الوصول المستمر إلى مورد ما أو إزالتها.

مكوّنات مراجعة صلاحية الوصول

قبل تنفيذ مراجعات صلاحية الوصول، يجب التخطيط لأنواع المراجعات ذات الصلة بالمؤسسة. لتنفيذ ذلك، ستحتاج إلى اتخاذ قرارات العمل حول ما تريد مراجعته والإجراءات التي يجب اتخاذها بناءً على تلك المراجعات.

لإنشاء نهج مراجعة صلاحية الوصول، يجب أن تملك المعلومات التالية.

ما المورد (الموارد) الذي يجب مراجعته؟
من الذي تتم مراجعة صلاحية وصوله؟
كم مرة يجب أن تتم المراجعة؟
من سيجري المراجعة؟
كيف سيتم إعلامه بالمراجعة؟
ما المخططات الزمنية التي يتعين تطبيقها على المراجعة؟
ما الإجراءات التلقائية التي ينبغي فرضها بناءً على المراجعة؟
ماذا يحدث إذا لم يستجب المراجع في الوقت المناسب؟
ما الإجراءات اليدوية التي سيتم اتخاذها كنتيجة بناءً على المراجعة؟
ما الرسائل التي ينبغي إرسالها بناءً على الإجراءات المتخذة؟

مثال على خطة مراجعة صلاحية الوصول

المكون	القيمة
الموارد المراد مراجعتها	الوصول إلى Microsoft Dynamics
تكرار المراجعة	شهري
يقوم روبوت Who بإجراء المراجعة	مديرو برامج مجموعة الأعمال في Dynamics
الإعلام	رسالة إلكترونية قبل 24 ساعة من المراجعة إلى الاسم المستعار Dynamics-Pms
	تضمين رسالة مخصصة لتشجيع المراجعين لضمان اشتراكهم
الجدول الزمني	48 ساعة من الإعلام
الإجراءات التلقائية	إزالة الوصول من أي حساب لا يحتوي على تسجيل الدخول التفاعلي في غضون 90 يومًا عن طريق إزالة المستخدم من مجموعة الأمان dynamics-access
	تنفيذ الإجراءات إذا لم تُراجع ضمن المخطط الزمني
الإجراءات اليدوية	المراجعون يقومون بالموافقة على عمليات الإزالة قبل اتخاذ إجراء تلقائي إذا رغبت في ذلك
الرسائل	أرسل رسالة إلكترونية إلى المستخدمين الداخليين (الأعضاء) الذين أُزيلوا تخبرهم بذلك وبكيفية استعادة الوصول

التخطيط لمراجعات صلاحية الوصول لحزم الوصول

يمكن أن تعمل حزم الوصول على تبسيط إستراتيجية مراجعة الحوكمة والوصول إلى حد كبير. تُعد حزمة الوصول حزمة من جميع الموارد التي يمكن الوصول إليها والتي يحتاج إليها المستخدم للعمل على مشروع أو تنفيذ المهمة. على سبيل المثال، قد تحتاج إلى إنشاء حزمة وصول تتضمن جميع التطبيقات التي يحتاجها المطورون في مؤسستك، أو جميع التطبيقات التي يجب أن يكون للمستخدمين الخارجيين حق الوصول إليها. يجمع المسؤول أو مدير حزمة الوصول المفوض الموارد (المجموعات أو التطبيقات) والأدوار التي يحتاج إليها المستخدمون لهذه الموارد.

عند إنشاء حزمة وصول، يمكنك إنشاء نهج وصول واحد أو أكثر والذي يحدد الشروط التي يمكن للمستخدمين طلب حزمة الوصول لها، وكيف تبدو عملية الموافقة ، وعدد المرات التي يتعين على الشخص إعادة طلب الوصول إليها. يتم تكوين مراجعات صلاحية الوصول في أثناء إنشاء نهج حزمة الوصول أو تحريره.

تخطيط مراجعات صلاحية الوصول للمجموعات

بالإضافة إلى حزم الوصول، فإن مراجعة عضوية المجموعة تُعد الطريقة الأكثر فعالية في حوكمة الوصول. نوصي بأن يتم تعيين الوصول إلى الموارد عبر مجموعات الأمان أو مجموعات Microsoft 365، وأن تتم إضافة المستخدمين إلى هذه المجموعات للحصول على حق الوصول.

يمكن منح مجموعة واحدة صلاحية الوصول إلى كافة الموارد المناسبة. يمكنك تعيين صلاحية وصول المجموعة إلى موارد فردية أو إلى حزمة الوصول التي تجمع التطبيقات والموارد الأخرى. باستخدام هذا الأسلوب، يمكنك مراجعة صلاحية الوصول إلى المجموعة بدلاً من الوصول الفردي إلى كل تطبيق.

يمكن مراجعة عضوية المجموعة بواسطة:

المسؤولون
مالكي المجموعات
المستخدمين المحددين، المفوضين بالقدرة على المراجعة عند إنشاء المراجعة
أعضاء المجموعة، الذين يشهدون لأنفسهم

ملكية المجموعة

نوصي مالكي المجموعات بمراجعة العضوية، حيث إنهم في أفضل مكان لمعرفة من يحتاج إلى الوصول. تختلف ملكية المجموعات حسب نوع المجموعة.

تحتوي المجموعات التي تم إنشاؤها في Microsoft 365 ومعرف Microsoft Entra على مالك واحد أو أكثر من المالكين المحددين جيدا. في معظم الحالات، يُعد هؤلاء المالكون المراجعين الأفضل لمجموعاتهم الخاصة لأنهم على دراية بالأشخاص الذين ينبغي أن يتمتعوا بصلاحية الوصول. على سبيل المثال، تستخدم Microsoft Teams مجموعات Microsoft 365 كنموذج التخويل الأساسي لمنح المستخدمين صلاحية الوصول إلى الموارد الموجودة في SharePoint أو Exchange أو OneNote أو خدمات Microsoft 365 أخرى. يصبح منشئ الفريق مالكًا تلقائيًا وينبغي أن يكون مسؤولاً عن الشهادة على عضوية تلك المجموعة.
قد لا يكون للمجموعات التي تم إنشاؤها يدويا في مدخل مركز إدارة Microsoft Entra أو عبر البرمجة النصية من خلال Microsoft Graph مالكين محددين بالضرورة. نوصي بتعريفها إما من خلال مدخل المسؤول في قسم "المالكين" للمجموعة أو عبر Graph.
لا يمكن أن يكون للمجموعات التي تتم مزامنتها من Active Directory محلي مالك في معرف Microsoft Entra. عند إنشاء مراجعة صلاحية الوصول لهم، يجب عليك اختيار الأفراد المناسبين لاتخاذ قرار بشأن العضوية فيها.

إشعار

نوصي بتحديد نُهُج الأعمال التي تحدد كيفية إنشاء المجموعات لضمان وضوح ملكية المجموعة والمساءلة فيها عند المراجعة المنتظمة للعضوية.

مراجعة عضوية مجموعات الاستبعاد في نُهج CA

ثمة أوقات لا تنطبق فيها نُهج الوصول المشروط المصممة للحفاظ على أمان شبكتك على المستخدمين كافة. على سبيل المثال، قد لا ينطبق نهج CA الذي يسمح فقط للمستخدمين بتسجيل الدخول أثناء وجودهم على شبكة الشركة على فريق المبيعات، الذي يسافر على نطاق واسع. في هذه الحالة، سيتم وضع أعضاء فريق المبيعات في مجموعة وسيتم استبعاد هذه المجموعة من نهج CA.

مراجعة عضوية مجموعة المستخدمين الخارجيين

لتقليل العمل اليدوي والأخطاء المحتملة المقترنة به، يجب استخدام المجموعات الديناميكية لتعيين عضوية المجموعة استنادًا إلى سمات المستخدم. تريد إنشاء مجموعة ديناميكية واحدة أو أكثر للمستخدمين الخارجيين. يمكن للراعي الداخلي أن يعمل كمراجع للعضوية في المجموعة.

مراجعة صلاحية الوصول إلى المجموعات الداخلية

لا يمكن لمراجعات صلاحية الوصول تغيير عضوية المجموعة للمجموعات التي تقوم بمزامنتها محليا مع Microsoft Entra الاتصال. وذلك لأن مصدر السلطة داخلي. لا يزال بإمكانك استخدام مراجعات صلاحية الوصول لجدولة المراجعات المنتظمة للمجموعات المحلية والحفاظ عليها. ثم يتخذ المراجعون حينئذٍ إجراءً في المجموعة المحلية. تُبقي هذه الاستراتيجية على مراجعات صلاحية الوصول كأداة لجميع المراجعات. يمكنك استخدام النتائج من مراجعة صلاحية الوصول على المجموعات المحلية ومعالجتها بشكل أكبر. تتوفر البيانات في ملف بتنسيق CSV أو من Microsoft Graph.

التخطيط لمراجعات صلاحية الوصول للتطبيقات

عند مراجعة صلاحية الوصول إلى تطبيق ما، فأنت تراجع صلاحية وصول الموظفين والهويات الخارجية إلى المعلومات والبيانات الموجودة داخل التطبيق. اختر مراجعة تطبيق ما عندما تحتاج إلى معرفة من يملك صلاحية الوصول إلى تطبيق معين، بدلاً من حزمة الوصول أو المجموعة.

نوصيك بتخطيط المراجعات للتطبيقات في السيناريوهات التالية:

يتم منح المستخدمين الوصول المباشر إلى التطبيق (خارج مجموعة أو حزمة الوصول).
يكشف التطبيق معلومات هامة أو حساسة.
للتطبيق متطلبات توافق محددة يجب أن تشهد عليها.
تشك في وصول غير ملائم.

المراجعين لأحد التطبيقات

يمكن أن تكون مراجعات صلاحية الوصول لأعضاء مجموعة أو للمستخدمين الذين تم تعيينهم لتطبيق ما. لا تحتوي التطبيقات في معرف Microsoft Entra بالضرورة على مالك، وهذا هو السبب في أن خيار تحديد مالك التطبيق كمراجع غير ممكن. يمكنك توسيع نطاق المراجعة لمراجعة المستخدمين الضيوف المعينين للتطبيق فقط، بدلاً من مراجعة جميع الوصول.

مراجعة خطة Microsoft Entra ID وأدوار موارد Azure

يبسط إدارة الهويات المتميزة (PIM) كيفية إدارة المؤسسات للوصول المتميز إلى الموارد في Microsoft Entra ID. يحافظ هذا على قائمة الأدوار المتميزة، في كل من Microsoft Entra ID وموارد Azure، أصغر بكثير ويزيد من الأمان العام للدليل.

تسمح مراجعات صلاحية الوصول للمراجعين بأن يشهدوا على ما إذا كان المستخدمون لا يزالون بحاجة إلى البقاء في دور ما. تماما مثل مراجعات صلاحية الوصول لحزم الوصول، يتم دمج مراجعات أدوار Microsoft Entra ومورد Azure في تجربة مستخدم مسؤول PIM. نوصيك بمراجعة تعيينات الأدوار التالية بشكل منتظم:

مسؤول العمومي
مسؤول المستخدم
مسؤول المصادقة المتميزة
مسؤول الوصول المشروط
مسؤول الأمان
جميع أدوار Microsoft 365 وإدارة خدمة Dynamics

نشر مراجعات صلاحية الوصول

بعد إعداد استراتيجية وخطة لمراجعة الوصول إلى الموارد المتكاملة مع معرف Microsoft Entra، قم بنشر المراجعات وإدارتها باستخدام الموارد أدناه.

مراجعة حزم الوصول

لتقليل مخاطر الوصول الذي لا معنى له، يمكن للمسؤولين تمكين المراجعات الدورية للمستخدمين الذين لديهم تعيينات نشطة إلى إحدى حزم الوصول. يمكنك إنشاء مراجعات صلاحية الوصول، أو إجراء مراجعات صلاحية الوصول للآخرين الذين تم تعيينهم إلى حزمة الوصول، أو إجراء مراجعة ذاتية لحزمة (حزم) الوصول المخصص.

مراجعة المجموعات والتطبيقات

من المحتمل أن تتغير احتياجات وصول الموظفين والضيوف إلى المجموعات والتطبيقات بمرور الوقت. لتقليل المخاطر المقترنة بتعيينات الوصول الذي لا معنى له، يمكن للمسؤولين إنشاء مراجعات صلاحية الوصول لأعضاء المجموعة أو الوصول إلى التطبيق.

يمكنك إنشاء مراجعات صلاحية الوصول لأعضاء المجموعة أو الوصول إلى التطبيقات، وإجراء مراجعات صلاحية الوصول لأعضاء مجموعة أو مستخدمين يتمتعون بصلاحية الوصول إلى تطبيق ما، والسماح للأعضاء بمراجعة وصولهم إلى مجموعة أو تطبيق، وعرض مراجعات صلاحية الوصول، واتخاذ إجراءات للمجموعات المحلية باستخدام PowerShell.

مراجعة أدوار Microsoft Entra

لتقليل المخاطر المرتبطة بتعيينات الأدوار القديمة، يجب عليك مراجعة الوصول إلى أدوار Microsoft Entra المتميزة بانتظام.

مراجعة أدوار Azure Resource

لتقليل المخاطر المقترنة بتعيينات الأدوار التي لا معنى لها، يجب مراجعة الوصول إلى أدوار Azure Resource المتميزة بشكل منتظم.

استخدام واجهة برمجة تطبيقات مراجعات صلاحية الوصول

تتوفر أساليب مراجعات صلاحية الوصول في واجهة برمجة التطبيقات لـ Microsoft Graph لكل من سياقات التطبيقات والمستخدمين. عند تشغيل البرامج النصية في سياق التطبيق، يجب منح الحساب المُستخدم لتشغيل واجهة برمجة التطبيقات (مبدأ الخدمة) الإذن "AccessReview.Read.All" للاستعلام عن معلومات مراجعات صلاحية الوصول.

مهام مراجعات صلاحية الوصول الشائعة اللازمة أتمتتها باستخدام واجهة برمجة التطبيقات لـ Graph لمراجعات صلاحية الوصول هي:

إنشاء مراجعة صلاحية الوصول وبدؤها.
إنهاء مراجعة صلاحية الوصول يدويًا قبل موعد انتهائها المحدد.
سرد جميع مراجعات صلاحية الوصول الجارية وحالتها.
مراجعة تاريخ سلسلة المراجعات والقرارات والإجراءات المتخذة في كل مراجعة.
جمع القرارات من مراجعة صلاحية الوصول.
جمع القرارات من المراجعات المكتملة، حيث اتخذ المراجع قرارًا مختلفًا عما أوصى به النظام.

إشعار

عند إنشاء استعلامات Graph API جديدة للأتمتة، نوصي باستخدام Graph Explorer. يمكنك إنشاء استعلامات Graph واستكشافها قبل وضعها في البرامج النصية والتعليمات البرمجية. يمكن أن يساعدك هذا في تكرار الاستعلام بسرعة بحيث تحصل على النتائج التي تبحث عنها بالضبط، دون تغيير التعليمة البرمجية للبرنامج النصي.

مراقبة مراجعات صلاحية الوصول

يتم تسجيل أنشطة مراجعات صلاحية الوصول وإتاحتها من سجلات تدقيق Microsoft Entra. يمكنك تصفية بيانات التدقيق بحسب الفئة ونوع النشاط ونطاق التاريخ. وفيما يلي عينة للاستعلام:

الفئة	السياسات
نوع النشاط	إنشاء مراجعة صلاحية الوصول
	تحديث مراجعة صلاحية الوصول
	انتهت مراجعة صلاحية الوصول
	حذف مراجعة صلاحية الوصول
	الموافقة على القرار
	رفض القرار
	إعادة تعيين القرار
	تطبيق القرار
نطاق التواريخ	سبعة أيام

لمزيد من الاستعلامات المتقدمة وتحليل مراجعات صلاحية الوصول، ولتعقب التغييرات وإكمال المراجعات، نوصي بتصدير سجلات تدقيق Microsoft Entra إلى Azure Log Analytics أو Azure Event Hubs. عند تخزين السجلات في تحليلات سجلات Azure، يمكنك استخدام لغة التحليلات القوية وإنشاء لوحات المعلومات الخاصة بك.

تخطيط الاتصالات

تُعد الاتصالات أمرًا بالغ الأهمية لنجاح أي عملية أعمال جديدة. تواصل بشكل استباقي مع المستخدمين بشأن كيفية تغير تجربتهم وموعدها وكيفية الحصول على الدعم إذا واجهتهم مشكلات.

التواصل مع التغييرات في المساءلة: تدعم مراجعات صلاحية الوصول نقل مسؤولية المراجعة والعمل على استمرار الوصول إلى مالكي الأعمال. يؤدي فصل قرارات الوصول عن تكنولوجيا المعلومات إلى اتخاذ قرارات وصول أكثر دقة. ويُعد هذا تغييرًا ثقافيًا في مساءلة مالكي الموارد ومسؤوليتهم. تواصل بشكل استباقي بشأن هذا التغيير وتأكد من تدريب مالكي الموارد وقدرتهم على استخدام نتائج التحليلات لاتخاذ قرارات جيدة.

ومن الواضح أن تظل تكنولوجيا المعلومات ترغب في التحكم في جميع قرارات الوصول المتعلقة بالبنية الأساسية وتعيينات الأدوار المتميزة.

تخصيص اتصال البريد الإلكتروني: عند جدولة مراجعة، يمكنك ترشيح المستخدمين الذين سيقومون بإجراء هذه المراجعة. سيتلقى هؤلاء المراجعون حينئذٍ إشعارًا بالبريد الإلكتروني بالمراجعات الجديدة التي تم تعيينها إليهم، فضلاً عن التذكيرات قبل انتهاء المراجعة التي تم تعيينها إليهم.

يمكن للمسؤولين اختيار إرسال هذا الإشعار إما في منتصف الطريق قبل انتهاء صلاحية المراجعة أو قبل يوم من انتهاء صلاحيتها.

يمكن تخصيص الرسالة الإلكترونية المرسلة إلى المراجعين لتضمين رسالة قصيرة مخصصة تشجعهم على العمل على المراجعة. نوصيك باستخدام النص الإضافي من أجل:

تضمين رسالة شخصية إلى المراجعين، حتى يفهموا أنها مرسلة من قبل قسم التوافق أو قسم تكنولوجيا المعلومات لديك.
إدراج ارتباط تشعبي أو إشارة إلى المعلومات الداخلية حول التوقعات من المراجعة، وإشارة إضافية أو مواد تدريبية.
تضمين رابط إلى الإرشادات حول كيفية إجراء مراجعة ذاتية لصلاحية الوصول.

عند تحديد بدء المراجعة، سيتم توجيه المراجعين إلى مدخل MyAccess لمراجعات صلاحية الوصول للمجموعات والتطبيقات. يوفر المدخل لهم نظرة عامة على جميع المستخدمين الذين يتمتعون بصلاحية الوصول إلى المورد الذي يراجعونه وتوصيات النظام استنادًا إلى معلومات تسجيل الدخول والوصول الأخيرة.

كم عدد التراخيص التي يجب أن تمتلكها؟

يحتاج الدليل إلى عدد تراخيص Microsoft Entra ID Premium P2 على الأقل مثل عدد الموظفين الذين سيقومون بتنفيذ المهام التالية:

المستخدمون الأعضاء الذين تم تعيينهم كمراجعين
المستخدمون الأعضاء الذين ينفذون مراجعة ذاتية
المستخدمون الأعضاء كمالكين للمجموعة الذين يراجعون صلاحية الوصول
المستخدمون الأعضاء كمالكين للتطبيق الذين يراجعون صلاحية الوصول

بالنسبة للمستخدمين الضيوف، ستعتمد متطلبات الترخيص على نموذج الترخيص الذي تستخدمه. ومع ذلك، تعتبر أنشطة المستخدمين الضيوف أدناه استخدام Microsoft Entra ID Premium P2:

المستخدمون الضيوف الذين تم تعيينهم كمراجعين
المستخدمون الضيوف الذين ينفذون مراجعة ذاتية
المستخدمون الضيوف كمالكين للمجموعة الذين يراجعون صلاحية الوصول
المستخدمون الضيوف كمالكين للتطبيق الذين يراجعون صلاحية الوصول

تراخيص Microsoft Entra ID Premium P2 غير مطلوبة للمستخدمين الذين لديهم أدوار global مسؤول istrator أو المستخدم مسؤول istrator الذين قاموا بإعداد مراجعات صلاحية الوصول أو تكوين الإعدادات أو تطبيق القرارات من المراجعات.

متابعة