Co jsou kontroly přístupu Azure AD?What are Azure AD access reviews?

Kontroly přístupu Azure Active Directory (Azure AD) umožňují organizacím efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazování rolí.Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. Přístup uživatele se může pravidelně kontrolovat, aby se zajistilo, že budou mít přístup jenom přípravní lidé.User's access can be reviewed on a regular basis to make sure only the right people have continued access.

Tady je video, které poskytuje rychlý přehled kontrol přístupu:Here's a video that provides a quick overview of access reviews:

Proč jsou recenze přístupů důležité?Why are access reviews important?

Azure AD umožňuje interně spolupracovat v rámci vaší organizace a s uživateli z externích organizací, jako jsou partneři.Azure AD enables you to collaborate internally within your organization and with users from external organizations, such as partners. Uživatelé můžou připojit skupiny, pozvat hosty, připojit se ke cloudovým aplikacím a vzdáleně pracovat ze svých pracovních nebo osobních zařízení.Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. Pohodlí využívání možnosti samoobslužné služby vedlo k nutnosti lepšího řízení přístupu.The convenience of leveraging the power of self-service has led to a need for better access management capabilities.

  • Když se noví zaměstnanci připojí, jak zajistit, že mají správný přístup k produktivitě?As new employees join, how do you ensure they have the right access to be productive?
  • Když lidé přesunou týmy nebo odejdou ze společnosti, jak si zaručíte, že jejich starý přístup se odebere, obzvláště když zahrnuje hosty?As people move teams or leave the company, how do you ensure their old access is removed, especially when it involves guests?
  • Nadměrně přístupná práva můžou vést k tomu, že auditují zjištění a ohrožení bezpečnosti, protože označují nedostatečné řízení přístupu.Excessive access rights can lead to audit findings and compromises as they indicate a lack of control over access.
  • Je nutné proaktivně zapojit vlastníky prostředků, aby bylo zajištěno, že budou pravidelně kontrolovat, kdo má přístup ke svým prostředkům.You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

Kdy použít recenze přístupu?When to use access reviews?

  • Příliš mnoho uživatelů v privilegovaných rolích: Je vhodné zjistit, kolik uživatelů má přístup pro správu, kolik z nich je globálních správců, a pokud existují pozvaní hostů nebo partneři, kteří se po přiřazení k úloze správy neodebrali.Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Administrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. V rolích Azure AD , jako jsou globální správci nebo role prostředků Azure , jako je například správce přístupu uživatele, můžete znovu certifikovat přiřazení rolí uživatelům v prostředí Azure AD Privileged Identity Management (PIM) .You can recertify the role assignment users in Azure AD roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • Pokud je automatizace neproveditelná: Můžete vytvořit pravidla pro dynamické členství ve skupinách zabezpečení nebo skupinách Office 365, ale co když data o PERSONÁLNÍm oddělení nejsou ve službě Azure AD, nebo pokud uživatelé stále potřebují přístup, když opustí skupinu a vyškolí jejich náhradu?When automation is infeasible: You can create rules for dynamic membership on security groups or Office 365 groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? Pak můžete vytvořit revizi této skupiny, abyste měli jistotu, že budou mít přístup i nadále potřebují mít přístup.You can then create a review on that group to ensure those who still need access should have continued access.
  • Když se skupina používá pro nový účel: Pokud máte skupinu, která bude synchronizovaná s Azure AD, nebo pokud chcete povolit službu Salesforce pro všechny uživatele ve skupině Sales Team, je vhodné požádat vlastníka skupiny, aby zkontroloval členství ve skupině před tím, než se skupina používá v jiném riziku. hová.When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • Přístup k důležitým podnikovým datům: u určitých prostředků se může vyžadovat, aby uživatelé mimo ni požádali, aby se pravidelně odhlásili a měli odůvodněné důvody k tomu, proč potřebují přístup pro účely auditování.Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign out and give a justification on why they need access for auditing purposes.
  • Chcete-li zachovat seznam výjimek zásad: V ideálním světě by všichni uživatelé za účelem zabezpečení přístupu k prostředkům vaší organizace dodržovali zásady přístupu.To maintain a policy's exception list: In an ideal world, all users would follow the access policies to secure access to your organization's resources. Někdy ale existují obchodní případy, které vyžadují, abyste měli výjimky.However, sometimes there are business cases that require you to make exceptions. Jako správce IT můžete spravovat tuto úlohu, vyhnout se nedohledu nad výjimkami zásad a poskytovat auditorům kontrolu nad tím, že se tyto výjimky pravidelně kontrolují.As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • Požádejte vlastníky skupiny, abyste potvrdili, že stále potřebují hosty ve svých skupinách: Přístup zaměstnanců může být automatizovaný s některými místními nástroji IAM, ale nezvanými hosty.Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on premises IAM, but not invited guests. Pokud skupina poskytuje přístup hostů k firemnímu citlivému obsahu, pak je zodpovědností vlastníka skupiny na potvrzení, že hosté mají k dispozici legitimní obchodní nutnost přístupu.If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • Pravidelně opakují se recenze: Můžete nastavit opakované kontroly přístupu uživatelů při nastavených frekvencích, jako je týdenní, měsíční, čtvrtletní nebo roční a kontroloři se budou informovat na začátku každé recenze.Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. Recenzenti mohou schvalovat nebo odmítat přístup pomocí popisného rozhraní a s využitím inteligentních doporučení.Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

Kde můžete vytvářet recenze?Where do you create reviews?

V závislosti na tom, co chcete zkontrolovat, vytvoříte kontrolu přístupu v rámci kontrol přístupu Azure AD, Azure AD Enterprise Apps (ve verzi Preview) nebo Azure AD PIM.Depending on what you want to review, you will create your access review in Azure AD access reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

Přístupová práva uživatelůAccess rights of users Revidující mohou býtReviewers can be Kontrola vytvořená vReview created in Možnosti kontroloraReviewer experience
Členové skupiny zabezpečeníSecurity group members
Členové skupiny OfficeOffice group members
Určení kontrolořiSpecified reviewers
Vlastníci skupinyGroup owners
Samoobslužné kontrolySelf-review
Kontroly přístupu Azure ADAzure AD access reviews
Skupiny Azure ADAzure AD groups
Přístupový panelAccess panel
Přiřazeno k připojené aplikaciAssigned to a connected app Určení kontrolořiSpecified reviewers
Samoobslužné kontrolySelf-review
Kontroly přístupu Azure ADAzure AD access reviews
Aplikace Azure AD Enterprise (ve verzi Preview)Azure AD enterprise apps (in preview)
Přístupový panelAccess panel
Role Azure ADAzure AD role Určení kontrolořiSpecified reviewers
Samoobslužné kontrolySelf-review
Azure AD PIMAzure AD PIM portál AzureAzure portal
Role prostředku AzureAzure resource role Určení kontrolořiSpecified reviewers
Samoobslužné kontrolySelf-review
Azure AD PIMAzure AD PIM portál AzureAzure portal

Zavést kontroly přístupuOnboard access reviews

Chcete-li připojit kontroly přístupu, postupujte podle těchto kroků.To onboard access reviews, follow these steps.

  1. Jako globální správce nebo Správce uživatelů se přihlaste k Azure Portal , ve kterém chcete používat kontroly přístupu.As a Global administrator or User administrator, sign in to the Azure portal where you want to use access reviews.

  2. V levém navigačním panelu klikněte na Azure Active Directory.In the left navigation, click Azure Active Directory.

  3. V nabídce vlevo klikněte na zásady správného řízení identity.In the left menu, click Identity Governance.

  4. Klikněte na recenze přístupů.Click Access reviews.

    Úvodní stránka kontroly přístupu

  5. Na stránce klikněte na tlačítko připojit .On the page, click the Onboard now button.

    Zprovoznění kontrol přístupu

Další informace o kontrolách přístupuLearn about access reviews

Pokud chcete získat další informace o vytváření a provádění kontrol přístupu, podívejte se do této krátké ukázky:To learn more about creating and performing access reviews, watch this short demo:

Pokud jste připraveni nasadit kontroly přístupu ve vaší organizaci, postupujte podle těchto kroků ve videu, Projděte si správce a vytvořte svou první kontrolu přístupu.If you are ready to deploy access reviews in your organization, follow these steps in the video to onboard, train your administrators, and create your first access review!

Licenční požadavkyLicense requirements

Tato funkce vyžaduje licenci Azure AD Premium P2.Using this feature requires an Azure AD Premium P2 license. Správnou licenci pro vaše požadavky najdete v tématu porovnání všeobecně dostupných funkcí v edicích Free, Basic a Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Kteří uživatelé musí mít licence?Which users must have licenses?

Každý uživatel, který komunikuje s recenzemi kontroly přístupu, musí mít placenou Azure AD Premiumovou licenci P2.Each user who interacts with access reviews must have a paid Azure AD Premium P2 license. Příklady obsahují:Examples include:

  • Správci, kteří vytvářejí kontrolu přístupuAdministrators who create an access review
  • Vlastníci skupiny, kteří provádějí kontrolu přístupuGroup owners who perform an access review
  • Uživatelé přiřazení jako kontrolořiUsers assigned as reviewers
  • Uživatelé, kteří provádějí kontrolu samiUsers who perform a self-review

Můžete také požádat uživatele typu Host, aby zkontrolovali vlastní přístup.You can also ask guest users to review their own access. Pro každou placená licenci Azure AD Premium P2, kterou přiřadíte k jednomu z uživatelů vaší organizace, můžete použít Azure AD Business-to-Business (B2B) k pozvání až pěti uživatelů typu Host v rámci osvobození od externích uživatelů.For each paid Azure AD Premium P2 license that you assign to one of your own organization's users, you can use Azure AD business-to-business (B2B) to invite up to five guest users under the External User Allowance. Tito uživatelé typu Host můžou také používat funkce Azure AD Premium P2.These guest users can also use Azure AD Premium P2 features. Další informace najdete v tématu pokyny k licencování spolupráce Azure AD B2B.For more information, see Azure AD B2B collaboration licensing guidance.

Tady je několik ukázkových scénářů, které vám pomůžou určit počet licencí, které musíte mít.Here are some example scenarios to help you determine the number of licenses you must have.

ScénářScenario VýpočetCalculation Požadovaný počet licencíRequired number of licenses
Správce vytvoří kontrolu přístupu skupiny A s uživateli 500.An administrator creates an access review of Group A with 500 users. Přiřadí 3 vlastníky skupiny jako kontrolory.Assigns 3 group owners as reviewers. 1 licence pro správce + 3 licence pro každého vlastníka skupiny jako kontroloři.1 license for the administrator + 3 licenses for each group owner as reviewers. 44
Správce vytvoří kontrolu přístupu skupiny A s uživateli 500.An administrator creates an access review of Group A with 500 users. Provede si ho samy se změnami.Makes it a self-review. 1 licence pro licence správce + 500 pro každého uživatele jako kontroloři pro sebe.1 license for the administrator + 500 licenses for each user as self-reviewers. 501501
Správce vytvoří kontrolu přístupu skupiny B s 5 uživateli a 25 uživateli typu Host.An administrator creates an access review of Group B with 5 users and 25 guest users. Provede si ho samy se změnami.Makes it a self-review. 1 licence pro licence správce + 5 pro každého uživatele jako kontroloři pro sebe.1 license for the administrator + 5 licenses for each user as self-reviewers.
(uživatelé typu Host jsou zahrnuti v požadovaném poměru 1:5.)(guest users are covered in the required 1:5 ratio)
66
Správce vytvoří kontrolu přístupu skupiny C s 5 uživateli a 108 uživateli typu Host.An administrator creates an access review of Group C with 5 users and 108 guest users. Provede si ho samy se změnami.Makes it a self-review. 1 licence pro licence správce + 5 pro každého uživatele jako samoobslužné uživatele + 16 dalších licencí k pokrytí všech 108 uživatelů typu Host v požadované 1:5 poměru.1 license for the administrator + 5 licenses for each user as self-reviewers + 16 additional licenses to cover all 108 guest users in the required 1:5 ratio.
1 + 5 = 6 licencí, které pokrývají*5 6 = 30 uživatelů typu Host.1+5=6 licenses, which cover 5*6=30 guest users. Pro zbývající (108-5*6) = 78 uživatelů typu Host se vyžaduje 78/5 = 16 dalších licencí.For the remaining (108-5*6)=78 guest users, 78/5=16 additional licenses are required. Proto jsou vyžadovány celkem 6 + 16 = 22 licencí.Thus in total, 6+16=22 licenses are required.
2222

Informace o tom, jak přiřadit licence k vašim účelům, najdete v tématu přiřazení nebo odebrání licencí pomocí portálu Azure Active Directory.For information about how to assign licenses to your uses, see Assign or remove licenses using the Azure Active Directory portal.

Další krokyNext steps