Vytvoření revize přístupu k prostředkům Azure a rolím Azure AD v PIM

Potřeba přístupu k privilegovaných prostředkům Azure a rolím Azure AD ze strany zaměstnanců se v průběhu času mění. Pokud chcete snížit riziko spojené s přiřazením zastaralých rolí, měli byste přístup pravidelně kontrolovat. Pomocí nástroje Azure Active Directory (Azure AD) Privileged Identity Management (PIM) můžete vytvořit recenze přístupu pro privilegovaný přístup k prostředkům Azure a rolím Azure AD. Můžete také nakonfigurovat opakované recenze přístupu, ke kterým dochází automaticky. Tento článek popisuje, jak vytvořit jednu nebo více recenzí přístupu.

Požadavky

Použití této funkce vyžaduje licenci Azure AD Premium P2. Správnou licenci pro vaše požadavky najdete v tématu porovnání všeobecně dostupných funkcí v edicích Free, Office 365 a Premium.Další informace o licencích pro PIM najdete v tématu Licenční požadavky na použití Privileged Identity Management.

Pokud chcete vytvořit recenze přístupu pro prostředky Azure, musíte mít přiřazenou roli Vlastník nebo Správce uživatelských přístupů pro prostředky Azure. Pokud chcete vytvořit recenze přístupu pro role Azure AD, musíte být přiřazeni k roli Globální správce nebo Správce privilegovaných rolí.

Vytvoření recenzí přístupu

  1. Přihlaste se Azure Portal jako uživatel přiřazený k jedné z požadovaných rolí.

  2. Vyberte Zásady správného řízení identit.

  3. V části Role Azure AD vyberte Role Azure AD v části Privileged Identity Management. V části Prostředky Azure vyberte prostředky Azure v části Privileged Identity Management.

    Snímek obrazovky s výběrem zásad správného řízení identit na webu Azure Portal

  4. V části Spravovat role Azure AD znovu vyberte Role Azure AD. V případě prostředků Azure vyberte prostředek, který chcete spravovat, například předplatné.

  5. V části Spravovat vyberte Kontrola přístupu a pak výběrem možnosti Nový vytvořte novou recenzi přístupu.

    Role Azure AD – seznam recenzí přístupu zobrazující stav všech recenzí

  6. Pojmete si přístup ke čtení. Volitelně můžete zadat popis recenze. Jméno a popis se zobrazí kontrolorům.

    Vytvoření revize přístupu – snímek obrazovky s názvem a popisem revize

  7. Nastavte počáteční datum. Ve výchozím nastavení se kontrola přístupu spustí jednou, spustí se ve stejném čase, kdy se vytvoří, a skončí za jeden měsíc. Počáteční a koncové datum můžete změnit tak, aby kontrola přístupu začíná v budoucnu a trvala podle toho, kolik dní chcete.

    Snímek obrazovky s počátečním datem, frekvencí, dobou trvání, koncem, počtem opakování a koncovým datem

  8. Pokud chcete, aby kontrola přístupu byla opakovaná, změňte nastavení Frekvence z Jednou na Týdně, Měsíčně, Čtvrtletně, Ročně nebo Pololetně. Pomocí posuvníku Doba trvání nebo textového pole můžete definovat, kolik dní budou jednotlivé revize opakujících se řad otevřené pro vstup od revidujícího. Například maximální doba trvání, kterou můžete nastavit pro měsíční revize, je 27 dnů, aby se zabránilo překrývání recenzí.

  9. Pomocí nastavení Konec určete, jak ukončit sérii opakovaných recenzí přístupu. Řada může končila třemi způsoby: běží nepřetržitě a spouští revize po neomezenou dobu, až do určitého data nebo po dokončení definovaného počtu výskytů. Vy nebo jiný správce, který může spravovat recenze, můžete řadu po vytvoření zastavit změnou data v Nastavení tak, aby končí v tomto datu.

  10. V části Rozsah uživatelů vyberte rozsah recenze. Pro role Azure AD je první možností oboru Uživatelé a skupiny. Do tohoto výběru se zahrnou přímo přiřazení uživatelé a skupiny s možností přiřazení rolí. V případě rolí prostředků Azure bude prvním oborem uživatelé. Skupiny přiřazené k rolím prostředků Azure jsou rozbalené tak, aby se v recenzi v tomto výběru zobrazují tranzitivní přiřazení uživatelů. Můžete také vybrat Instanční objekty a zkontrolovat účty počítačů s přímým přístupem k prostředku Azure nebo roli Azure AD.

    Rozsah uživatelů pro kontrola členství v rolích snímku obrazovky

  11. V části Zkontrolovat členství v rolích vyberte privilegovaný prostředek Azure nebo role Azure AD, které chcete zkontrolovat.

    Poznámka

    Výběrem více než jedné role vytvoříte několik recenzí přístupu. Když například vyberete pět rolí, vytvoří se pět samostatných recenzí přístupu.

    Snímek obrazovky s přehledem členství v rolích

  12. V části typ přiřazení na rozsah zkontrolujte, jak byl objekt zabezpečení přiřazen k roli. Výběrem oprávněných přiřazení můžete zkontrolovat pouze oprávněná přiřazení (bez ohledu na stav aktivace při vytvoření revize) nebo aktivní přiřazení pouze pro zobrazení aktivních přiřazení. Zvolte všechna aktivní a oprávněná přiřazení a zkontrolujte všechna přiřazení bez ohledu na typ.

    Snímek obrazovky se seznamem typů přiřazení revidující

  13. V části Revidující vyberte jednoho nebo více lidí a zkontrolujte všechny uživatele. Nebo můžete vybrat, aby členové mohli zkontrolovat svůj vlastní přístup.

    Seznam kontrolorů vybraných uživatelů nebo členů (vlastní)

    • Vybraní uživatelé – Tuto možnost použijte, pokud chcete určit konkrétního uživatele k dokončení revize. Tato možnost je dostupná bez ohledu na rozsah recenze a vybraní revidující mohou zkontrolovat uživatele, skupiny a instanční objekty.
    • Členové (vlastní) – Tuto možnost použijte, pokud chcete, aby si uživatelé prohlédněte svá vlastní přiřazení rolí. Tato možnost je dostupná jenom v případě, že je kontrola vymezená na uživatele a skupiny nebo uživatele. V případě rolí Azure AD nebudou skupiny s možností přiřazení rolí součástí revize, pokud je tato možnost vybraná.
    • Manažer – Tuto možnost použijte, pokud chcete, aby manažer uživatele zkontrolovat přiřazení role. Tato možnost je dostupná jenom v případě, že je kontrola vymezená na uživatele a skupiny nebo uživatele. Po výběru možnosti Manager (Manažer) budete mít také možnost určit záložního kontrolora. Revidující v případě, že v adresáři není zadaný žádný vedoucí, se uživateli zobrazí dotaz, jestli má zkontrolovat uživatele. V případě rolí Azure AD bude skupina s možností přiřazení rolí zkontrolovat záložní kontrolor, pokud je vybraná.

Po dokončení nastavení

  1. Pokud chcete určit, co se stane po dokončení revize, rozbalte část Po dokončení nastavení.

    Po dokončení nastavení pro automatické použití by se měl zobrazit snímek obrazovky, který nereaguje.

  2. Pokud chcete automaticky odebrat přístup pro uživatele, kteří byli odepřeni, nastavte možnost Automaticky použít výsledky na prostředek na Povolit. Pokud chcete výsledky po dokončení revize použít ručně, nastavte přepínač na Zakázat.

  3. Pomocí seznamu Pokud revidující nereaguje určete, co se stane pro uživatele, které revidující v rámci období revize nezhodnotil. Toto nastavení nemá vliv na uživatele, kteří byli revidující přezkoumání.

    • Beze změny – ponechte přístup uživatele beze změny.
    • Odebrání přístupu – Odebrání přístupu uživatele
    • Schválení přístupu – schválení přístupu uživatele
    • Vezměme si doporučení systému k zamítnutí nebo schválení trvalého přístupu uživatele.
  4. Pomocí seznamu Akce pro použití u odepřených uživatelů guest určete, co se stane pro uživatele hosta, kteří jsou odepřeni. Toto nastavení v tuto chvíli není možné upravovat pro recenze rolí prostředků Azure a Azure AD. Uživatelé typu host, stejně jako všichni uživatelé, vždy ztratí přístup k prostředku v případě odepření.

    Snímek obrazovky po dokončení nastavení – Akce, která se má použít u odepřených uživatelů hosta

  5. Můžete posílat oznámení dalším uživatelům nebo skupinám, aby mohli dostávat aktualizace dokončení revize. Tato funkce umožňuje, aby se o průběhu revize aktualizovaly jiné účastníky než tvůrce recenze. Pokud chcete tuto funkci použít, vyberte Vybrat uživatele nebo skupiny a přidejte dalšího uživatele nebo skupinu, u kterého chcete získat stav dokončení.

    Po dokončení nastavení – Snímek obrazovky s přidáním dalších uživatelů pro příjem oznámení.

Rozšířená nastavení

  1. Pokud chcete zadat další nastavení, rozbalte část Upřesnit nastavení.

    Advanced settings for show recommendations, require reason on approval, mail notifications, and reminders screenshot.

  2. Nastavte Zobrazit doporučení na Povolit, abyste kontrolorům na základě přístupových informací uživatele ukázali systémová doporučení.

  3. Nastavte Vyžadovat důvod při schválení na Povolit, aby kontrolor vyžadovat, aby uvedl důvod pro schválení.

  4. Nastavte e-mailová oznámení na Povolit, aby služba Azure AD po spuštění kontrolorů odesílala e-mailová oznámení kontrolorům, a správcům po dokončení revize.

  5. Nastavte Připomenutí na Povolit, pokud chcete, aby služba Azure AD posílala připomenutí kontrol přístupu kontrolorům, kteří neskončili jejich revidování.

  6. Obsah e-mailu odeslaného revidujícím se automaticky vygeneruje na základě podrobností o kontrolách, jako je název recenze, název prostředku, datum splatnosti atd. Pokud potřebujete způsob, jak sdělit další informace, jako jsou další pokyny nebo kontaktní informace, můžete tyto podrobnosti zadat v e-mailu Další obsah pro revidující, který bude součástí pozvánek a e-mailů s připomenutím odesílaných přiřazeným revidující. V níže uvedené zvýrazněné části se zobrazí tyto informace.

    Obsah e-mailu odeslaného revidující se zvýrazněnou zprávou

Správa revize přístupu

Průběh kontrolorů můžete sledovat na stránce Přehled v kontrolorech přístupu. Dokud se kontrola nedokončí, v adresáři se nezmění žádná přístupová práva. Níže je snímek obrazovky se stránkou přehledu pro prostředky Azure a recenzemi přístupu rolí Azure AD.

Stránka s přehledem recenzí přístupu zobrazující podrobnosti o recenzi přístupu pro role Azure AD

Pokud se jedná o one-time kontrolu, pak po uplynutí období pro kontrolu přístupu nebo zastavení správce kontrolu přístupu postupujte podle kroků v tématu Dokončení revize přístupu k prostředkům Azure a rolím Azure AD a podívejte se na výsledky a použijte je.

Pokud chcete spravovat řadu kontrol přístupu, přejděte ke kontrolám přístupu a v části Naplánované revize najdete nadcházející výskyty a odpovídajícím způsobem upravte koncové datum nebo přidejte nebo odeberte revidující.

Na základě vašeho výběru v nastavení Po dokončení se automatické použití provede po koncovém datu revize nebo při ručním zastavení recenze. Stav recenze se změní z Dokončeno prostřednictvím přechodných stavů, jako je například Applying (Aplikování) a finally to state (Použito). Během několika minut byste měli očekávat, že se z rolí odebrali odepření uživatelé, pokud nějaké jsou.

Důležité

Pokud je skupina přiřazená k rolím prostředků Azure, kontrolor role prostředku Azure uvidí rozšířený seznam nepřímých uživatelů s přístupem přiřazeným prostřednictvím vnořené skupiny. Pokud revidující zamítá člena vnořené skupiny, výsledek zamítnutí se pro roli úspěšně neupřesní, protože uživatel nebude z vnořené skupiny odebrán. V případě rolí Azure AD se skupiny, které je možné přiřadit rolím, zobrazí v přehledu místo rozšíření členů skupiny a kontrolor buď schválí, nebo zamítne přístup k celé skupině.

Aktualizace revize přístupu

Po spuštění jedné nebo více recenzí přístupu můžete upravit nebo aktualizovat nastavení stávajících recenzí přístupu. Tady je několik běžných scénářů, které byste měli zvážit:

  • Přidávání a odebírání revidující – při aktualizaci kontrol přístupu se můžete rozhodnout přidat kromě primárního revidujícího i záložního kontrolora. Primární revidující mohou být při aktualizaci kontrol přístupu odebráni. Záložní kontroloři se ale ze návrhu nesměšovat.

    Poznámka

    Záložní kontrolory je možné přidat jenom v případě, že je typ revidujícího manažer. Primární revidující je možné přidat, když je vybraný typ revidujícího uživatel.

  • Připomenutí kontrolorů – Při aktualizaci kontrol přístupu se můžete rozhodnout povolit možnost připomenutí v části Upřesnit Nastavení. Po povolení dostanou uživatelé e-mailové oznámení v polovině období kontroly bez ohledu na to, jestli dokončili nebo ne.

    Snímek obrazovky s možností připomenutí v nastaveních pro recenze přístupu

  • Aktualizace nastavení – Pokud se kontrola přístupu opakuje, v části Aktuální a v části Series existují samostatná nastavení. Při aktualizaci nastavení v části Aktuální se při aktualizaci nastavení v části Řada aktualizují jenom změny aktuální revize přístupu. Nastavení se aktualizuje pro všechna budoucí opakování.

    Snímek obrazovky se stránkou nastavení v části s recenzemi přístupu

Další kroky