Creare una revisione di accesso delle risorse di Azure e dei ruoli di Azure AD in PIM

La necessità di accedere alle risorse di Azure con privilegi e ai ruoli di Azure AD da parte dei dipendenti cambia nel tempo. Per ridurre il rischio associato ad assegnazioni di ruolo obsolete, è consigliabile verificare regolarmente l'accesso. È possibile usare Azure Active Directory (Azure AD) Privileged Identity Management (PIM) per creare verifiche di accesso per l'accesso con privilegi alle risorse di Azure e ai ruoli di Azure AD. È anche possibile configurare verifiche di accesso ricorrenti che vengono eseguite automaticamente. Questo articolo illustra come creare una o più verifiche di accesso.

Prerequisiti

Per usare questa funzionalità è necessario avere una licenza di Azure AD Premium P2. Per trovare la licenza appropriata per i requisiti, vedere Confrontare le funzionalità disponibili a livello generale di Azure AD. Per altre informazioni sulle licenze per PIM, vedere Requisiti di licenza per l'uso di Privileged Identity Management.

Per creare verifiche di accesso per le risorse di Azure, è necessario essere assegnati al proprietario o al ruolo Amministratore accesso utente per le risorse di Azure. Per creare verifiche di accesso per i ruoli di Azure AD, è necessario essere assegnati all'amministratore globale o al ruolo Amministratore ruolo con privilegi .

Nota

In anteprima pubblica è possibile definire l'ambito di una verifica di accesso alle entità servizio con accesso ai ruoli delle risorse di Azure AD e azure con un'edizione Azure Active Directory Premium P2 attiva nel tenant. Dopo la disponibilità generale, potrebbero essere necessarie licenze aggiuntive.

Creare verifiche di accesso

  1. Accedere a portale di Azure come utente assegnato a uno dei ruoli prerequisiti.

  2. Selezionare Identity Governance.

  3. Per i ruoli di Azure AD selezionare Ruoli di Azure AD in Privileged Identity Management. Per le risorse di Azure selezionare Risorse di Azure in Privileged Identity Management.

    Select Identity Governance in Azure Portal screenshot.

  4. Per i ruoli di Azure AD selezionare di nuovo ruoli di Azure AD in Gestisci. Per le risorse di Azure selezionare la sottoscrizione da gestire.

  5. In Gestisci selezionare Verifiche di accesso e quindi nuovo per creare una nuova revisione di accesso.

    Azure AD roles - Access reviews list showing the status of all reviews screenshot.

  6. Assegnare un nome alla verifica di accesso. Facoltativamente è possibile assegnare una descrizione alla verifica. Il nome e la descrizione vengono visualizzati dai revisori.

    Create an access review - Review name and description screenshot.

  7. Impostare un valore per Data di inizio. Per impostazione predefinita, la verifica di accesso viene eseguita una sola volta, viene avviata lo stesso giorno in cui viene creata e termina entro un mese. È possibile cambiare le date di inizio e di fine per iniziare la verifica di accesso in futuro e impostare la durata sul numero di giorni desiderato.

    Start date, frequency, duration, end, number of times, and end date screenshot.

  8. Per rendere ricorrente la verifica di accesso, modificare l'impostazione Frequenza da Singola a Settimanale, Mensile, Trimestrale o Annuale o Semestrale. Usare il dispositivo di scorrimento Durata o la casella di testo per definire il numero di giorni per cui ogni revisione della serie ricorrente verrà aperta per l'input dai revisori. La durata massima che è possibile impostare per una verifica mensile, ad esempio, è di 27 giorni, per evitare la sovrapposizione delle verifiche.

  9. Usare l'impostazione Fine per specificare come terminare la serie di verifiche di accesso ricorrenti. La serie può terminare in tre modi: può essere eseguita in modo continuo per avviare le verifiche per un periodo illimitato o fino a una data specifica oppure terminare dopo che è stato completato un numero definito di occorrenze. L'utente o un altro amministratore che può gestire le revisioni, può arrestare la serie dopo la creazione modificando la data in Impostazioni, in modo che termina in tale data.

  10. Nella sezione Ambito utenti selezionare l'ambito della revisione. Per i ruoli di Azure AD, la prima opzione di ambito è Utenti e gruppi. Gli utenti assegnati direttamente e i gruppi assegnabili ai ruoli saranno inclusi in questa selezione. Per i ruoli delle risorse di Azure, il primo ambito sarà Utenti. I gruppi assegnati ai ruoli delle risorse di Azure vengono espansi per visualizzare le assegnazioni utente transitive nella revisione con questa selezione. È anche possibile selezionare Entità servizio per esaminare gli account del computer con accesso diretto alla risorsa di Azure o al ruolo di Azure AD.

    Users scope to review role membership of screenshot.

  11. In alternativa, è possibile creare verifiche di accesso solo per gli utenti inattivi (anteprima). Nella sezione Ambito Utenti impostare gli utenti inattivi (a livello di tenant) solosu true. Se l'interruttore è impostato su true, l'ambito della revisione si concentra solo sugli utenti inattivi. Specificare quindi giorni inattivi con un numero di giorni inattivi fino a 730 giorni (due anni). Gli utenti inattivi per il numero specificato di giorni saranno gli unici utenti della revisione.

  12. In Rivedi l'appartenenza al ruolo selezionare la risorsa di Azure con privilegi o i ruoli di Azure AD da esaminare.

    Nota

    Se si seleziona più di un ruolo, vengono create più verifiche di accesso. Se ad esempio si selezionano cinque ruoli, vengono create cinque verifiche di accesso separate.

    Review role memberships screenshot.

  13. Nel tipo di assegnazione, specificare l'ambito della verifica in base al modo in cui l'entità è stata assegnata al ruolo. Scegliere assegnazioni idonee solo per esaminare le assegnazioni idonee (indipendentemente dallo stato di attivazione quando viene creata la revisione) o le assegnazioni attive solo per esaminare le assegnazioni attive . Scegliere tutte le assegnazioni attive e idonee per esaminare tutte le assegnazioni indipendentemente dal tipo.

    Reviewers list of assignment types screenshot.

  14. Nella sezione Revisori selezionare una o più persone per la verifica di tutti gli utenti. In alternativa è possibile fare in modo che i membri verifichino il proprio accesso.

    Reviewers list of selected users or members (self)

    • Utenti selezionati : usare questa opzione per designare un utente specifico per completare la revisione. Questa opzione è disponibile indipendentemente dall'ambito della revisione e i revisori selezionati possono esaminare utenti, gruppi e entità servizio.
    • Membri (autonomo) : usare questa opzione per fare in modo che gli utenti verifichino le proprie assegnazioni di ruolo. Questa opzione è disponibile solo se la revisione è con ambito utenti e gruppi o utenti. Per i ruoli di Azure AD, i gruppi assegnabili ai ruoli non faranno parte della verifica quando questa opzione è selezionata.
    • Manager : usare questa opzione per controllare l'assegnazione del ruolo da parte del manager dell'utente. Questa opzione è disponibile solo se la revisione è con ambito utenti e gruppi o utenti. Dopo aver selezionato Manager, sarà anche possibile specificare un revisore di fallback. I revisori di fallback vengono richiesti per esaminare un utente quando l'utente non ha alcun gestore specificato nella directory. Per i ruoli di Azure AD, i gruppi assegnabili ai ruoli verranno esaminati dal revisore di fallback se ne è selezionato uno.

Impostazioni al completamento

  1. Per specificare cosa succede dopo il completamento di una verifica, espandere la sezione Impostazioni al completamento.

    Upon completion settings to auto apply and should review not respond screenshot.

  2. Se si vuole rimuovere automaticamente l'accesso per gli utenti rifiutati, impostare l'opzione Applica automaticamente i risultati alla risorsa su Abilita. Per applicare manualmente i risultati al termine della verifica, impostare l'opzione su Disabilita.

  3. Usare l'elenco Se il revisore non risponde per specificare cosa accade per gli utenti che non vengono esaminati dal revisore entro il periodo di revisione. Questa impostazione non influisce sugli utenti che sono stati esaminati dai revisori.

    • Nessuna modifica: non viene apportata alcuna modifica all'accesso dell'utente
    • Rimuovi accesso: l'accesso dell'utente viene rimosso
    • Approva accesso: l'accesso dell'utente viene approvato
    • Accetta i consigli: vengono applicati i consigli del sistema per rifiutare o approvare l'accesso continuo dell'utente
  4. Usare l'azione per applicare nell'elenco utenti guest negati per specificare cosa accade per gli utenti guest negati. Questa impostazione non è modificabile per le revisioni dei ruoli delle risorse di Azure AD e azure in questo momento; gli utenti guest, come tutti gli utenti, perderanno sempre l'accesso alla risorsa se negata.

    Upon completion settings - Action to apply on denied guest users screenshot.

  5. È possibile inviare notifiche ad altri utenti o gruppi per ricevere gli aggiornamenti di completamento della revisione. Questa funzionalità consente agli stakeholder diversi dall'autore della revisione di essere aggiornati sullo stato di avanzamento della revisione. Per usare questa funzionalità, selezionare Seleziona utenti o gruppi e aggiungere un utente o un gruppo aggiuntivo al momento della ricezione dello stato di completamento.

    Upon completion settings - Add additional users to receive notifications screenshot.

Impostazioni avanzate

  1. Per specificare impostazioni aggiuntive, espandere la sezione Impostazioni avanzate.

    Advanced settings for show recommendations, require reason on approval, mail notifications, and reminders screenshot.

  2. Impostare Mostra i consigli su Abilita per mostrare ai revisori i consigli del sistema basati sulle informazioni di accesso dell'utente. Consigli si basano su un periodo di intervallo di 30 giorni in cui gli utenti che hanno eseguito l'accesso negli ultimi 30 giorni sono consigliati, mentre gli utenti che non hanno consigliato l'accesso negano l'accesso. Questi accessi sono indipendentemente dal fatto che siano interattivi. L'ultimo accesso dell'utente viene visualizzato anche insieme alla raccomandazione.

  3. Impostare Richiedi il motivo all'approvazione su Abilita per richiedere al revisore di specificare un motivo per l'approvazione.

  4. Impostare Notifiche tramite posta elettronica su Abilita per fare in modo che Azure AD invii notifiche tramite posta elettronica ai revisori all'avvio di una verifica di accesso e agli amministratori al completamento di una verifica.

  5. Impostare Promemoria su Abilita per fare in modo che Azure AD invii promemoria delle verifiche di accesso in corso ai revisori che non hanno completato la verifica.

  6. Il contenuto del messaggio di posta elettronica inviato ai revisori viene generato automaticamente in base ai dettagli della revisione, ad esempio il nome della revisione, il nome della risorsa, la data di scadenza e così via. Se è necessario comunicare informazioni aggiuntive, ad esempio istruzioni aggiuntive o informazioni di contatto, è possibile specificare questi dettagli nel contenuto aggiuntivo per il messaggio di posta elettronica del revisore che verrà incluso nei messaggi di posta elettronica di invito e promemoria inviati ai revisori assegnati. La sezione evidenziata di seguito è la posizione in cui verranno visualizzate queste informazioni.

    Content of the email sent to reviewers with highlights

Gestire la verifica di accesso

È possibile tenere traccia dello stato di avanzamento man mano che i revisori completano le revisioni nella pagina Panoramica della revisione di accesso. Nessun diritto di accesso viene modificato nella directory fino al completamento della verifica. Di seguito è riportato uno screenshot che mostra la pagina di panoramica per le risorse di Azure e le verifiche di accesso ai ruoli di Azure AD .

Access reviews overview page showing the details of the access review for Azure AD roles screenshot.

Se si tratta di una verifica una sola volta, dopo il periodo di revisione di accesso è stato superato o l'amministratore arresta la verifica di accesso, seguire la procedura descritta in Completare una revisione di accesso delle risorse di Azure e dei ruoli di Azure AD per visualizzare e applicare i risultati.

Per gestire una serie di verifiche di accesso, passare alla revisione di accesso e si troveranno occorrenze imminenti nelle revisioni pianificate e modificare la data di fine o aggiungere/rimuovere di conseguenza i revisori.

In base alle selezioni in Dopo le impostazioni di completamento, l'applicazione automatica verrà eseguita dopo la data di fine della revisione o quando si arresta manualmente la revisione. Lo stato della verifica passerà da Completato a stati intermedi, ad esempio Applicazione e infine allo stato Applicato. Si prevede di visualizzare gli utenti negati, se presenti, rimossi dai ruoli in pochi minuti.

Impatto dei gruppi assegnati ai ruoli di Azure AD e ai ruoli delle risorse di Azure nelle verifiche di accesso

• Per i ruoli di Azure AD, i gruppi assegnabili a ruoli possono essere assegnati al ruolo usando gruppi assegnabili a ruoli. Quando viene creata una verifica in un ruolo di Azure AD con gruppi assegnabili a ruoli assegnati, il nome del gruppo viene visualizzato nella verifica senza espandere l'appartenenza al gruppo. Il revisore può approvare o negare l'accesso dell'intero gruppo al ruolo. I gruppi negati perderanno l'assegnazione al ruolo quando vengono applicati i risultati della verifica.

• Per i ruoli delle risorse di Azure, qualsiasi gruppo di sicurezza può essere assegnato al ruolo. Quando viene creata una verifica in un ruolo risorsa di Azure con un gruppo di sicurezza assegnato, gli utenti assegnati a tale gruppo di sicurezza verranno espansi completamente e visualizzati al revisore del ruolo. Quando un revisore nega un utente assegnato al ruolo tramite il gruppo di sicurezza, l'utente non verrà rimosso dal gruppo e pertanto l'applicazione del risultato della negazione avrà esito negativo.

Nota

È possibile che a un gruppo di sicurezza siano assegnati altri gruppi. In questo caso, solo gli utenti assegnati direttamente al gruppo di sicurezza assegnato al ruolo verranno visualizzati nella revisione del ruolo.

Aggiornare la verifica di accesso

Dopo l'avvio di una o più verifiche di accesso, è possibile modificare o aggiornare le impostazioni delle verifiche di accesso esistenti. Ecco alcuni scenari comuni da considerare:

  • Aggiunta e rimozione di revisori : quando si aggiornano le verifiche di accesso, è possibile scegliere di aggiungere un revisore di fallback oltre al revisore primario. I revisori primari possono essere rimossi durante l'aggiornamento di una verifica di accesso. Tuttavia, i revisori di fallback non sono rimovibili per impostazione predefinita.

    Nota

    I revisori di fallback possono essere aggiunti solo quando il tipo di revisore è manager. I revisori primari possono essere aggiunti quando è selezionato il tipo di revisore.

  • Promemoria dei revisori: quando si aggiornano le verifiche di accesso, è possibile scegliere di abilitare l'opzione promemoria in Avanzate Impostazioni. Dopo l'abilitazione, gli utenti riceveranno una notifica tramite posta elettronica al punto intermedio del periodo di revisione, indipendentemente dal fatto che abbiano completato o meno la revisione.

    Screenshot of the reminder option under access reviews settings.

  • Aggiornamento delle impostazioni : se una verifica di accesso è ricorrente, esistono impostazioni separate in "Current" e in "Series". L'aggiornamento delle impostazioni in "Corrente" applicherà solo le modifiche alla verifica di accesso corrente durante l'aggiornamento delle impostazioni in "Serie" aggiornerà l'impostazione per tutte le ricorrenze future.

    Screenshot of the settings page under access reviews.

Passaggi successivi