Hozzáférési felülvizsgálatok tervezése

18 perc

Mi az a hozzáférési felülvizsgálat?

A hozzáférési felülvizsgálat , ahogy a neve is mutatja, a felhasználói hozzáférés hozzáférési igényeinek, jogosultságainak és előzményeinek tervezett áttekintése. A hozzáférési felülvizsgálatok segítségével a felhasználók biztosíthatják, hogy a megfelelő személyek megfelelő hozzáféréssel rendelkezzenek a megfelelő erőforrásokhoz. A kritikus fontosságú eszközökhöz való hozzáférés védelmével, monitorozásával és naplózásával mérsékelik a hozzáférési kockázatokat, miközben biztosítják az alkalmazottak és az üzleti partnerek termelékenységét. Végül a hozzáférési felülvizsgálat a Microsoft Entra ID-kezelés történik. Prémium szintű P2-licencre van szükség a Microsoft Entra ID-hoz.

Vegye figyelembe, hogy a szervezetnek meg kell határoznia a hozzáférési felülvizsgálatok környezetbeli üzembe helyezésének stratégiáját.

A megfelelő érdekelt felek bevonása

Ha a technológiai projektek meghiúsulnak, általában az eltérő elvárások, eredmények és felelősségek miatt teszik ezt. A buktatók elkerülése érdekében győződjön meg arról, hogy a megfelelő érdekelt feleket szeretné bevonni, és hogy a projektszerepkörök egyértelműek legyenek. A hozzáférési felülvizsgálatok esetében valószínűleg a szervezet következő csapatainak képviselőit fogja tartalmazni:

Az informatikai felügyelet felügyeli az informatikai infrastruktúrát, és felügyeli a felhőberuházásokat és az SaaS-alkalmazásokat.
A fejlesztői csapatok alkalmazásokat fejlesztenek és kezelnek a szervezet számára
Az üzleti egységek kezelik a projekteket és saját alkalmazásokat.
A vállalatirányítás biztosítja, hogy a szervezet betartsa a belső szabályzatot, és megfeleljen a szabályozásoknak.

Megjegyzés:

A manuális értékeléseket igénylő felülvizsgálatok esetében mindenképpen tervezze meg a szabályzat és a megfelelőségi igényeknek megfelelő felülvizsgálók és felülvizsgálati ciklusok tervezését. Ha a felülvizsgálati ciklusok túl gyakoriak, vagy túl kevés a véleményező, a minőség elveszik, és túl sok vagy túl kevés személy fér hozzá.

Mi az a Microsoft Entra ID-kezelés?

A Microsoft Entra Identity Governance lehetővé teszi, hogy a megfelelő folyamatokkal és láthatósággal kiegyensúlyozza a szervezet biztonsági és alkalmazotti hatékonyságra vonatkozó igényét. Olyan képességeket biztosít, amelyek biztosítják, hogy a megfelelő személyek megfelelő hozzáféréssel rendelkezzenek a megfelelő erőforrásokhoz. Ezek és a kapcsolódó Microsoft Entra ID és Enterprise Mobility + Security funkciók lehetővé teszik a hozzáférési kockázatok csökkentését a kritikus fontosságú eszközökhöz való hozzáférés védelmével, monitorozásával és naplózásával, miközben biztosítja az alkalmazottak és az üzleti partnerek termelékenységét.

Az Identity Governance lehetővé teszi a szervezetek számára a feladatok elvégzését az alkalmazottak, üzleti partnerek és szállítók, valamint a helyszíni és a felhőbeli szolgáltatások és alkalmazások között. Konkrétan az a célja, hogy segítse a szervezeteket a következő négy fő kérdés megválaszolásában:

Mely felhasználóknak kell hozzáféréssel rendelkezniük ahhoz, hogy mely erőforrásokhoz férhessenek hozzá?
Mit csinálnak a felhasználók ezzel a hozzáféréssel?
Vannak hatékony szervezeti vezérlők a hozzáférés kezeléséhez?
Ellenőrizhetik az auditorok, hogy működnek-e a vezérlők?

Próbaüzem megtervezása

Arra ösztönözzük az ügyfeleket, hogy először egy kis csoporttal tesztelhessék a hozzáférési felülvizsgálatokat, és ne kritikus fontosságú erőforrásokat céloznak meg. A próbaüzem segítségével igény szerint módosíthatja a folyamatokat és a kommunikációt, és növelheti a felhasználók és a felülvizsgálók azon képességét, hogy megfeleljenek a biztonsági és megfelelőségi követelményeknek.

A próbaüzemben a következőket javasoljuk:

Kezdje az értékelésekkel, ahol az eredmények nem lesznek automatikusan alkalmazva, és ön szabályozhatja a következményeket.
Győződjön meg arról, hogy minden felhasználó rendelkezik érvényes e-mail-címmel a Microsoft Entra-azonosítóban, és hogy e-mail-kommunikációt kapnak a megfelelő művelet végrehajtásához.
Dokumentálja az eltávolított hozzáféréseket a próbaüzem részeként, ha gyorsan vissza kell állítania.
Az auditnaplók monitorozása az összes esemény megfelelő naplózásának biztosítása érdekében.

Milyen erőforrástípusokat lehet áttekinteni?

Miután integrálta a szervezet erőforrásait a Microsoft Entra-azonosítóval (például felhasználókkal, alkalmazásokkal és csoportokkal), azok kezelhetők és áttekinthetők.

A felülvizsgálat tipikus céljai a következők:

Felhasználói hozzáférés a Microsoft Entra-azonosítóval integrált alkalmazásokhoz egyszeri bejelentkezéshez (például SaaS, üzletág).
Csoporttagság (szinkronizálva a Microsoft Entra-azonosítóval, vagy a Microsoft Entra-azonosítóban vagy a Microsoft 365-ben, beleértve a Microsoft Teamst is).
Hozzáférési csomag, amely az erőforrásokat (csoportokat, alkalmazásokat és webhelyeket) egyetlen csomagba csoportosítja a hozzáférés kezeléséhez.
A Privileged Identity Managementben (PIM) meghatározott Microsoft Entra-szerepkörök és Azure-erőforrás-szerepkörök.

Ki fog hozzáférési felülvizsgálatokat létrehozni és kezelni?

A hozzáférési felülvizsgálat létrehozásához, kezeléséhez vagy olvasásához szükséges rendszergazdai szerepkör a felülvizsgálandó erőforrás típusától függ.

Erőforrás típusa	Hozzáférési felülvizsgálatok létrehozása és kezelése (létrehozók)	Access-felülvizsgálat eredményeinek olvasása
Csoport vagy alkalmazás	Global Administrator	Global administrator
	Felhasználói rendszergazda	Globális olvasó
	Identitásirányítási rendszergazda	Felhasználói rendszergazda
	Emelt szintű szerepkör-rendszergazda (csak a Microsoft Entra hozzárendelhető csoportjait tekinti át)	Identitásszabályozási Rendszergazda istrator
	Csoporttulajdonos	Privileged Role Administrator
		Biztonsági olvasó
		Csoporttulajdonos
Microsoft Entra szerepkör	Global Administrator
	Privileged Role Administrator	Global administrator
		Globális olvasó
		Felhasználói rendszergazda
		Privileged Role Administrator
		Biztonsági olvasó
Azure-erőforrásszerepkörök	Global Administrator	Global Administrator
	User Access Administrator	User Access Administrator
	Erőforrás tulajdonosa	Erőforrás tulajdonosa
		Olvasó (az erőforráshoz)
Hozzáférési csomag	Global Administrator	Global Administrator
	Felhasználói rendszergazda
	Identitásszabályozási Rendszergazda istrator	Globális olvasó
		Felhasználói rendszergazda
		Identitásirányítási rendszergazda
		Biztonsági olvasó

Ki fogja áttekinteni az erőforráshoz való hozzáférést?

A hozzáférési felülvizsgálat létrehozója a létrehozáskor dönti el, hogy ki végzi el a felülvizsgálatot. Ez a beállítás a felülvizsgálat megkezdése után már nem módosítható. A véleményezőket három személy képviseli:

Az erőforrás tulajdonosai, akik az erőforrás üzleti tulajdonosai.
A hozzáférési felülvizsgálatok rendszergazdája által kiválasztott, egyénileg kiválasztott meghatalmazottak készlete.
Azok a végfelhasználók, akik önigazolni fogják, hogy szükségük van a folyamatos hozzáférésre.

Amikor a rendszergazda létrehoz egy hozzáférési felülvizsgálatot, a rendszergazdák választhatnak egy vagy több véleményezőt. Minden véleményező megkezdheti és elvégezheti a felülvizsgálatot, és dönthet úgy, hogy a felhasználók továbbra is hozzáférést biztosítanak egy erőforráshoz, vagy eltávolítják őket.

A hozzáférési felülvizsgálat összetevői

A hozzáférési felülvizsgálatok implementálása előtt meg kell terveznie a szervezet szempontjából releváns véleménytípusokat. Ehhez üzleti döntéseket kell hoznia arról, hogy mit szeretne áttekinteni, és hogy milyen műveleteket kell végrehajtania ezek alapján.

Hozzáférési felülvizsgálati szabályzat létrehozásához a következő információkkal kell rendelkeznie.

Milyen erőforrás(oka)t kell áttekinteni?
Kinek a hozzáférése lesz felülvizsgálva?
Milyen gyakran történjen felülvizsgálat?
Ki végzi el a felülvizsgálatot?
Hogyan kapnak értesítést a felülvizsgálatról?
Milyen ütemtervek legyenek előírva a felülvizsgálatokhoz?
Milyen automatikus műveletek legyenek végrehajtva a felülvizsgálat alapján?
Mi történik, ha a felülvizsgáló nem válaszol időben?
Milyen manuális műveletek legyenek végrehajtva a felülvizsgálat eredménye alapján?
Milyen értesítés legyen küldve a végrehajtott műveletek alapján?

Példa hozzáférési felülvizsgálati tervre

Komponens	Érték
Áttekintendő erőforrások	Hozzáférés a Microsoft Dynamics szolgáltatáshoz
Felülvizsgálat gyakorisága	Monthly
Ki hajtja végre a felülvizsgálatot?	Dynamics business group programmenedzserek
Értesítés	E-mail 24 órával az alias Dynamics-Pms-nek való áttekintés előtt
	Egyéni üzenet küldése a véleményezőknek a bevásárlás biztonságossá tételéhez
Idősor	Értesítéstől számított 48 óra
Automatikus műveletek	Az interaktív bejelentkezést 90 napon belül nem tartalmazó fiókok hozzáférésének eltávolításához távolítsa el a felhasználót a biztonsági csoport dynamics-access szolgáltatásából
	Műveletek végrehajtása, ha nem tekintik át az idővonalon belül
Manuális műveletek	A véleményezők szükség esetén elvégzik az eltávolítási jóváhagyást az automatizált művelet előtt
Kommunikáció	Az eltávolított belső (tag) felhasználók elküldése egy e-mailben, amely ismerteti az eltávolításukat és a hozzáférés helyreállítását

Hozzáférési csomagok hozzáférési felülvizsgálatainak tervezése

Az Access-csomagok jelentősen leegyszerűsíthetik a szabályozási és az Access-felülvizsgálati stratégiát. A hozzáférési csomag az összes olyan erőforrás csomagja, amelynek hozzáférésével a felhasználónak dolgoznia kell egy projekten, vagy el kell végeznie a feladatát. Létrehozhat például egy Access-csomagot, amely tartalmazza a szervezet fejlesztői által igényelt összes alkalmazást, vagy azokat az alkalmazásokat, amelyekhez külső felhasználóknak hozzáféréssel kell rendelkezniük. A rendszergazda vagy a delegált Access-csomagkezelő ezután csoportosítja az erőforrásokat (csoportokat vagy alkalmazásokat), valamint azokat a szerepköröket, amelyekre a felhasználóknak szükségük van az erőforrásokhoz.

Hozzáférési csomag létrehozásakor létrehozhat egy vagy több hozzáférési szabályzatot, amelyek olyan feltételeket határoznak meg, amelyekhez a felhasználók hozzáférési csomagot kérhetnek, hogyan néz ki a jóváhagyási folyamat, és milyen gyakran kell egy személynek újra hozzáférést kérnie. Az Access-felülvizsgálatok az Access-csomag szabályzatának létrehozásakor vagy szerkesztésekor vannak konfigurálva.

Hozzáférési felülvizsgálatok tervezése csoportok számára

Az Access Packages mellett a csoporttagság áttekintése a leghatékonyabb módja a hozzáférés szabályozásának. Javasoljuk, hogy az erőforrásokhoz való hozzáférést biztonsági csoportokon vagy Microsoft 365-csoportokon keresztül rendelje hozzá, és hogy a felhasználók hozzá legyenek adva ezekhez a csoportokhoz a hozzáféréshez.

Egyetlen csoport minden megfelelő erőforráshoz hozzáférést kaphat. A csoporthozzáférést hozzárendelheti az egyes erőforrásokhoz, vagy egy olyan hozzáférési csomaghoz, amely alkalmazásokat és más erőforrásokat csoportosít. Ezzel a módszerrel a csoporthoz való hozzáférést tekintheti át, nem pedig az egyes alkalmazásokhoz való hozzáférést.

A csoporttagság az alábbiak szerint tekinthető meg:

Rendszergazdák
Csoporttulajdonosok
Kijelölt felhasználók, delegált felülvizsgálati képesség a felülvizsgálat létrehozásakor
A csoport tagjai, akik igazolják magukat

Csoport tulajdonjoga

Javasoljuk, hogy a csoporttulajdonosok tekintse át a tagságot, mivel a legjobb, ha tudják, kinek van szüksége hozzáférésre. A csoportok tulajdonjoga eltér a csoport típusától.

A Microsoft 365-ben és a Microsoft Entra-azonosítóban létrehozott csoportoknak legalább egy jól meghatározott tulajdonosa van. A legtöbb esetben ezek a tulajdonosok tökéletes véleményezőket alkotnak saját csoportjaik számára, mivel tudják, kinek kell hozzáféréssel rendelkezniük. A Microsoft Teams például Microsoft 365-csoportok használ alapul szolgáló engedélyezési modellként, hogy hozzáférést biztosítson a felhasználóknak a SharePoint, az Exchange, a OneNote vagy más Microsoft 365-szolgáltatásokban található erőforrásokhoz. A csapat létrehozója automatikusan tulajdonossá válik, és felelősnek kell lennie a csoporttagság igazolásáért.
Előfordulhat, hogy a manuálisan a Microsoft Entra felügyeleti központ portálján vagy a Microsoft Graphon keresztüli szkripteléssel létrehozott csoportok nem feltétlenül rendelkeznek tulajdonosokkal. Javasoljuk, hogy definiálja őket a csoport "Tulajdonosok" szakaszának felügyeleti portálján vagy a Graphon keresztül.
A helyi Active Directory szinkronizált csoportoknak nem lehet tulajdonosuk a Microsoft Entra-azonosítóban. Amikor hozzáférési felülvizsgálatot hoz létre számukra, ki kell választania azokat a személyeket, akik a leginkább alkalmasak arra, hogy a tagságukról döntsenek.

Megjegyzés:

Javasoljuk, hogy olyan üzleti szabályzatokat határozzon meg, amelyek meghatározzák a csoportok létrehozásának módját, így biztosítva a csoport tulajdonjogának és elszámoltathatóságának egyértelműségét a tagság rendszeres felülvizsgálatához.

Kizárási csoportok tagságának áttekintése a ca-házirendekben

Vannak olyan esetek, amikor a hálózat biztonságának megőrzésére tervezett feltételes hozzáférési szabályzatok nem vonatkoznak az összes felhasználóra. Előfordulhat például, hogy egy olyan ca-szabályzat, amely csak a vállalati hálózaton való bejelentkezést teszi lehetővé, nem vonatkozik az értékesítési csapatra, amely széles körben utazik. Ebben az esetben az értékesítési csapat tagjai egy csoportba kerülnek, és ez a csoport ki lesz zárva a ca-szabályzatból.

Külső felhasználók csoporttagságainak áttekintése

A manuális munka és a kapcsolódó lehetséges hibák minimalizálása érdekében fontolja meg a dinamikus csoportok használatát a csoporttagság hozzárendeléséhez a felhasználó attribútumai alapján. Egy vagy több dinamikus csoportot szeretne létrehozni külső felhasználók számára. A belső szponzor a csoporttagság véleményezője lehet.

Helyszíni csoportokhoz való hozzáférés felülvizsgálata

A hozzáférési felülvizsgálatok nem módosíthatják a helyszíni microsoft entra Csatlakozás által szinkronizált csoportok csoporttagságát. Ennek az az oka, hogy a hatóság forrása helyszíni. Továbbra is használhat hozzáférési felülvizsgálatokat a helyszíni csoportok rendszeres felülvizsgálatának ütemezéséhez és karbantartásához. A véleményezők ezután a helyszíni csoportban hajtanak végre műveletet. Ez a stratégia az összes felülvizsgálat eszközének tekinti a hozzáférési felülvizsgálatokat. A helyszíni csoportok access-felülvizsgálatának eredményeit felhasználhatja, és tovább feldolgozhatja őket. Az adatok egy CSV-fájlban vagy a Microsoft Graph-ban érhetők el.

Hozzáférési felülvizsgálatok tervezése alkalmazásokhoz

Amikor áttekinti az alkalmazáshoz való hozzáférést, áttekinti az alkalmazottak és külső identitások hozzáférését az alkalmazáson belüli információkhoz és adatokhoz. Akkor válassza az alkalmazás áttekintését, ha tudnia kell, hogy kinek van hozzáférése egy adott alkalmazáshoz hozzáférési csomag vagy csoport helyett.

Javasoljuk, hogy az alábbi forgatókönyvekben tervezze meg az alkalmazások áttekintését:

A felhasználók közvetlen hozzáférést kapnak az alkalmazáshoz (csoporton vagy hozzáférési csomagon kívül).
Az alkalmazás kritikus vagy bizalmas információkat tesz közzé.
Az alkalmazásnak speciális megfelelőségi követelményei vannak, amelyeket igazolnia kell.
Nem megfelelő hozzáférésre gyanakszik.

Alkalmazás véleményezői

A hozzáférési felülvizsgálatok lehetnek a csoport tagjai vagy az alkalmazásokhoz hozzárendelt felhasználók számára. A Microsoft Entra-azonosítóban lévő alkalmazások nem feltétlenül rendelkeznek tulajdonossal, ezért nem lehetséges az alkalmazás tulajdonosának véleményezőként való kiválasztása. A felülvizsgálatok hatókörének további hatókörét úgy is alkalmazhatja, hogy csak az alkalmazáshoz rendelt vendégfelhasználókra tekintse át ahelyett, hogy az összes hozzáférést áttekinteni szeretné.

A Microsoft Entra ID és az Azure-erőforrásszerepkörök áttekintésének megtervezése

A Privileged Identity Management (PIM) leegyszerűsíti, hogyan kezelik a vállalatok a Microsoft Entra ID-ban az erőforrásokhoz való emelt szintű hozzáférést. Így a kiemelt szerepkörök listája mind a Microsoft Entra-azonosítóban, mind az Azure-erőforrásokban sokkal kisebb lesz, és növeli a címtár általános biztonságát.

A hozzáférési felülvizsgálatok lehetővé teszik, hogy a véleményezők igazolják, hogy a felhasználóknak továbbra is szerepkörrel kell-e rendelkezniük. Az Access Packages hozzáférési felülvizsgálataihoz hasonlóan a Microsoft Entra-szerepkörök és az Azure-erőforrás áttekintése is integrálva van a PIM rendszergazdai felhasználói felületébe. Javasoljuk, hogy rendszeresen tekintse át a következő szerepkör-hozzárendeléseket:

Global Administrator
Felhasználói rendszergazda
Kiemelt hitelesítési rendszergazda
Feltételes hozzáférési Rendszergazda istrator
Security Administrator
Minden Microsoft 365 és Dynamics Service Rendszergazda istration szerepkör

Hozzáférési felülvizsgálatok üzembe helyezése

Miután elkészített egy stratégiát és egy tervet a Microsoft Entra ID-val integrált erőforrások hozzáférésének áttekintésére, helyezze üzembe és kezelje a felülvizsgálatokat az alábbi erőforrások használatával.

Hozzáférési csomagok áttekintése

Az elavult hozzáférés kockázatának csökkentése érdekében a rendszergazdák engedélyezhetik a hozzáférési csomaghoz aktív hozzárendeléssel rendelkező felhasználók rendszeres felülvizsgálatát. Hozzáférési felülvizsgálatokat hozhat létre, hozzáférési felülvizsgálatokat végezhet a hozzáférési csomaghoz rendelt mások számára, vagy önértékelést végezhet a hozzárendelt hozzáférési csomag(ok)ról.

Csoportok és alkalmazások áttekintése

Az alkalmazottaknak és a vendégeknek a csoportokhoz és alkalmazásokhoz való hozzáférése idővel valószínűleg megváltozik. Az elavult hozzáférés-hozzárendelésekkel járó kockázat csökkentése érdekében a rendszergazdák hozzáférési felülvizsgálatokat hozhatnak létre a csoporttagok vagy az alkalmazáshozzáférés számára.

Hozzáférési felülvizsgálatokat hozhat létre csoporttagok vagy alkalmazáshozzáférések számára, hozzáférési felülvizsgálatokat végezhet egy csoport tagjai vagy az alkalmazáshoz hozzáféréssel rendelkező felhasználók számára, engedélyezheti a tagok számára, hogy áttekintsék a saját hozzáférésüket egy csoporthoz vagy alkalmazáshoz, tekintse meg a hozzáférési felülvizsgálatokat, és műveletet hajtsanak végre a helyszíni csoportok esetében a PowerShell-lel.

Microsoft Entra-szerepkörök áttekintése

Az elavult szerepkör-hozzárendelések kockázatának csökkentése érdekében rendszeresen át kell tekintenie a kiemelt Microsoft Entra-szerepkörök hozzáférését.

Azure-erőforrásszerepkörök áttekintése

Az elavult szerepkör-hozzárendelések kockázatának csökkentése érdekében rendszeresen át kell tekintenie a kiemelt Azure-erőforrás-szerepkörök hozzáférését.

A hozzáférési felülvizsgálatok API használata

A Microsoft Graph API hozzáférési ellenőrzési módszerei alkalmazás- és felhasználói környezetekben is elérhetők. Az alkalmazáskörnyezetben futó szkripteknek, az API futtatásához használt fióknak (a szolgáltatás elvének) "AccessReview.Read.All" engedéllyel kell rendelkeznie a hozzáférés lekérdezéséhez.

A népszerű hozzáférés-ellenőrzési feladatok a Graph API-val történő automatizáláshoz a következők:

Access-felülvizsgálat létrehozása és indítása.
Manuálisan fejezheti be a hozzáférési felülvizsgálatot az ütemezett vége előtt.
Sorolja fel az összes futó access-felülvizsgálatot és azok állapotát.
Tekintse meg a felülvizsgálati sorozatok előzményeit, valamint az egyes felülvizsgálatokban hozott döntéseket és műveleteket.
Hozzon döntéseket egy hozzáférési felülvizsgálatból.
Gyűjtsön döntéseket a befejezett felülvizsgálatokból, ahol a felülvizsgáló más döntést hozott, mint amit a rendszer javasolt.

Megjegyzés:

Amikor új Graph API-lekérdezéseket hoz létre az automatizáláshoz, javasoljuk, hogy használja a Graph Explorert. Mielőtt szkriptekbe és kódba helyezné őket, létrehozhatja és megvizsgálhatja a Graph-lekérdezéseket. Ez segít gyorsan iterálni a lekérdezést, hogy pontosan a keresett eredményeket kapja, anélkül, hogy módosítaná a szkript kódját.

Hozzáférési felülvizsgálatok figyelése

A hozzáférési felülvizsgálatok tevékenységeit a Microsoft Entra auditnaplói rögzítik és elérhetővé válnak. A naplózási adatokat szűrheti a kategóriára, tevékenységtípusra és dátumtartományra. Íme egy példalekérdezés:

Category	Policy
Tevékenység típusa	Hozzáférési felülvizsgálat létrehozása
	Frissítési hozzáférés áttekintése
	Befejeződött a hozzáférés-ellenőrzés
	Hozzáférési felülvizsgálat törlése
	Döntés jóváhagyása
	Döntés elutasítása
	Döntés alaphelyzetbe állítása
	Döntés alkalmazása
Dátumtartomány	Seven days

A fejlettebb lekérdezésekhez és a hozzáférési felülvizsgálatok elemzéséhez, valamint a változások nyomon követéséhez és a felülvizsgálatok befejezéséhez javasoljuk, hogy exportálja a Microsoft Entra auditnaplóit az Azure Log Analyticsbe vagy az Azure Event Hubsba. Amikor naplókat tárol az Azure Log Analyticsben, használhatja a hatékony elemzési nyelvet, és létrehozhat saját irányítópultokat.

Kommunikáció tervezése

A kommunikáció kritikus fontosságú az új üzleti folyamatok sikeressége szempontjából. Proaktív módon közölje a felhasználókkal, hogyan és mikor változik meg a felhasználói élményük, és hogyan szerezhetnek támogatást, ha problémákat tapasztalnak.

Az elszámoltathatóság változásainak közlése: Az Access-felülvizsgálatok támogatják a felülvizsgálat és az üzleti tulajdonosokhoz való folyamatos hozzáférésre vonatkozó felelősség átcsoportosítását. A hozzáférési döntések leválasztása az it-ról pontosabb hozzáférési döntéseket hoz. Ez kulturális változás az erőforrás-tulajdonosok elszámoltathatóságában és felelősségében. Proaktív módon közölje ezt a változást, és győződjön meg arról, hogy az erőforrás-tulajdonosok betanultak, és az elemzések segítségével jó döntéseket hozhatnak.

Nyilvánvaló, hogy az informatikai rendszer továbbra is kézben szeretné tartani az irányítást az infrastruktúrával kapcsolatos hozzáférési döntések és a kiemelt szerepkör-hozzárendelések esetében.

E-mail-kommunikáció testreszabása: A felülvizsgálat ütemezésekor kijelöli azokat a felhasználókat, akik elvégzik ezt a felülvizsgálatot. Ezek a véleményezők e-mailben értesítést kapnak a hozzájuk rendelt új felülvizsgálatokról, valamint emlékeztetőket, mielőtt a hozzájuk rendelt felülvizsgálat lejár.

Rendszergazda istratorok dönthetnek úgy, hogy félúton küldik el ezt az értesítést a felülvizsgálat lejárta előtt, vagy egy nappal a lejárat előtt.

A véleményezőknek küldött e-mail testre szabható úgy, hogy tartalmazzon egy egyéni rövid üzenetet, amely arra ösztönzi őket, hogy cselekedjenek a felülvizsgálaton. Javasoljuk, hogy használja a további szöveget a következőhöz:

Adjon meg egy személyes üzenetet a véleményezőknek, hogy tisztában legyenek azzal, hogy a megfelelőség vagy az informatikai részleg küldi el.
Adjon meg egy hivatkozást, vagy hivatkozzon belső információkra a felülvizsgálat elvárásairól, valamint további referencia- vagy képzési anyagokról.
Adjon meg egy hivatkozást a hozzáférés önértékelésére vonatkozó utasításokra.

A Véleményezés indítása lehetőséget választva a rendszer a véleményezőket a MyAccess portálra irányítja csoport- és alkalmazáshozzáférési felülvizsgálatok céljából. A portál áttekintést nyújt azokról a felhasználókról, akik hozzáférnek az általuk áttekintett erőforráshoz, valamint a legutóbbi bejelentkezési és hozzáférési információk alapján rendszerjavaslatokat.

Hány licenccel kell rendelkeznie?

A címtárnak legalább annyi Microsoft Entra ID Premium P2 licencre van szüksége, mint azoknak az alkalmazottaknak a száma, akik a következő feladatokat fogják elvégezni:

Véleményezőként hozzárendelt tagfelhasználók
Önértékelést végző tagfelhasználók
Hozzáférési felülvizsgálatot végző tagfelhasználók csoporttulajdonosokként
Hozzáférés-felülvizsgálatot végző tagfelhasználók alkalmazástulajdonosként

A vendégfelhasználók licencelési igényei a használt licencelési modelltől függenek. Az alábbi vendégfelhasználói tevékenységek azonban a Microsoft Entra ID Premium P2-használatnak minősülnek:

Véleményezőként hozzárendelt vendégfelhasználók
Önértékelést végző vendégfelhasználók
Vendégfelhasználók csoporttulajdonosokként, akik hozzáférési felülvizsgálatot végeznek
Vendégfelhasználók alkalmazástulajdonosokként, akik hozzáférési felülvizsgálatot végeznek

A Microsoft Entra ID Premium P2-licencek nem szükségesek a globális Rendszergazda istrator vagy felhasználói Rendszergazda istrator szerepkörrel rendelkező felhasználók számára, akik hozzáférési felülvizsgálatokat állítottak be, beállításokat konfigurálnak vagy a felülvizsgálatok döntéseit alkalmazzák.

Folytatás