Een toegangsbeoordeling maken van Azure-resource en Azure AD-rollen in PIM

De behoefte aan toegang tot bevoorrechte Azure-resources en Azure AD-rollen door werknemers verandert in de tijd. Als u het risico wilt verminderen dat gepaard gaat met verouderde roltoewijzingen, moet u de toegang regelmatig controleren. U kunt Azure Active Directory (Azure AD) Privileged Identity Management (PIM) gebruiken om toegangsbeoordelingen te maken voor bevoegde toegang tot Azure-resources en Azure AD-rollen. U kunt ook terugkerende toegangsbeoordelingen configureren die automatisch worden uitgevoerd. In dit artikel wordt beschreven hoe u een of meer toegangsbeoordelingen maakt.

Vereisten

Voor deze functie hebt u een Azure AD Premium P2-licentie nodig. Zie Algemeen beschik bare functies van de gratis, Office 365-apps en Premium-edities vergelijkenom de juiste licentie voor uw vereisten te vinden.Raadpleeg Licentievereisten voor het gebruik van Privileged Identity Management voor meer informatie over Privileged Identity Management.

Als u toegangsbeoordelingen wilt maken voor Azure-resources, moet u zijn toegewezen aan de rol Eigenaar of Beheerder van gebruikerstoegang voor de Azure-resources. Als u toegangsbeoordelingen wilt maken voor Azure AD-rollen, moet u zijn toegewezen aan de rol Globale beheerder of Beheerder met bevoorrechte rol.

Notitie

In de openbare preview kunt u het bereik van een toegangsbeoordeling bepalen voor service-principals met toegang tot Azure AD- en Azure-resourcerollen met een Azure Active Directory Premium P2-editie die actief is in uw tenant. Het licentiemodel voor service-principals wordt afgerond voor algemene beschikbaarheid van deze functie en er zijn mogelijk extra licenties vereist.

Toegangsbeoordelingen maken

  1. Meld u aan Azure Portal als een gebruiker die is toegewezen aan een van de vereiste rollen.

  2. Selecteer Identiteitsbeheer.

  3. Voor Azure AD-rollen selecteert u Azure AD-rollen onder Privileged Identity Management. Voor Azure-resources selecteert u Azure-resources onder Privileged Identity Management.

    Schermopname van Identiteitsbeheer in Azure Portal selecteren.

  4. Selecteer voor Azure AD-rollen opnieuw Azure AD-rollen onder Beheren. Selecteer voor Azure-resources het abonnement dat u wilt beheren.

  5. Selecteer onder Beheren de optie Toegangsbeoordelingen en selecteer vervolgens Nieuw om een nieuwe toegangsbeoordeling te maken.

    Azure AD-rollen: toegangsbeoordelingenlijst met de status van alle beoordelingen schermopname.

  6. Noem de toegangsbeoordeling. Geef eventueel een beschrijving op voor de beoordeling. De naam en beschrijving worden weergegeven voor de revisoren.

    Een toegangsbeoordeling maken: schermopname van de naam en beschrijving van de beoordeling.

  7. Stel de begindatum in. Een toegangsbeoordeling vindt standaard één keer plaats, begint op dezelfde tijd dat deze wordt gemaakt en eindigt over één maand. U kunt de begin- en einddatums wijzigen zodat een toegangsbeoordeling in de toekomst start en zo lang mogelijk duurt zoals u wilt.

    Schermopname van begindatum, frequentie, duur, einde, aantal keren en einddatum.

  8. Als u de toegangsbeoordeling terugkerend wilt maken, wijzigt u de instelling Frequentie van Eén keer in Wekelijks, Maandelijks, Elk kwartaal, Jaarlijks of Semi-jaarlijks. Gebruik de schuifregelaar Duur of het tekstvak om te definiëren hoeveel dagen elke beoordeling van de terugkerende reeks openstaat voor invoer van revisoren. De maximale duur die u kunt instellen voor een maandelijkse beoordeling is bijvoorbeeld 27 dagen, om overlappende beoordelingen te voorkomen.

  9. Gebruik de instelling Einde om op te geven hoe de terugkerende toegangsbeoordelingsreeks moet worden beëindigen. De reeks kan op drie manieren eindigen: deze wordt continu uitgevoerd om beoordelingen voor onbepaalde tijd te starten, tot een specifieke datum of nadat een gedefinieerd aantal exemplaren is voltooid. U, of een andere beheerder die beoordelingen kan beheren, kan de reeks na het maken stoppen door de datum in Instellingen te wijzigen, zodat deze op die datum eindigt.

  10. Selecteer in de sectie Gebruikersbereik het bereik van de beoordeling. Voor Azure AD-rollen is de eerste bereikoptie Gebruikers en groepen. Rechtstreeks toegewezen gebruikers en rol toewijsbare groepen worden opgenomen in deze selectie. Voor Azure-resourcerollen is het eerste bereik Gebruikers. Groepen die zijn toegewezen aan Azure-resourcerollen worden uitgebreid om transitieve gebruikerstoewijzingen in de beoordeling weer te geven met deze selectie. U kunt ook Service-principals selecteren om de computeraccounts te controleren met directe toegang tot de Azure-resource of Azure AD-rol.

    Het bereik van gebruikers om het rollidmaatschap van de schermopname te controleren.

  11. Selecteer onder Rollidmaatschap controleren de bevoorrechte Azure-resource of Azure AD-rollen die u wilt controleren.

    Notitie

    Als u meer dan één rol selecteert, worden er meerdere toegangsbeoordelingen mogelijk. Als u bijvoorbeeld vijf rollen selecteert, maakt u vijf afzonderlijke toegangsbeoordelingen.

    Schermopname van rollidmaatschap controleren.

  12. In toewijzingstype kunt u het bereik van de beoordeling insbereiken op basis van de manier waarop de principal is toegewezen aan de rol. Kies in aanmerking komende toewijzingen alleen om in aanmerking komende toewijzingen te controleren (ongeacht de activeringsstatus wanneer de beoordeling wordt gemaakt) of alleen actieve toewijzingen om actieve toewijzingen te controleren. Kies alle actieve en in aanmerking komende toewijzingen om alle toewijzingen te controleren, ongeacht het type.

    Schermopname van de lijst met toewijzingstypen voor revisoren.

  13. Selecteer in de sectie Revisoren een of meer personen om alle gebruikers te controleren. U kunt er ook voor kiezen om de leden hun eigen toegang te laten beoordelen.

    Lijst met revisoren van geselecteerde gebruikers of leden (zelf)

    • Geselecteerde gebruikers: gebruik deze optie om een specifieke gebruiker aan te wijzen om de beoordeling te voltooien. Deze optie is beschikbaar ongeacht het bereik van de beoordeling en de geselecteerde revisoren kunnen gebruikers, groepen en service-principals controleren.
    • Leden (zelf) : gebruik deze optie om de gebruikers hun eigen roltoewijzingen te laten beoordelen. Deze optie is alleen beschikbaar als de beoordeling is beperkt tot Gebruikers en groepen of Gebruikers. Voor Azure AD-rollen maken rol-toewijsbare groepen geen deel uit van de beoordeling wanneer deze optie is geselecteerd.
    • Manager: gebruik deze optie om de roltoewijzing door de manager van de gebruiker te laten beoordelen. Deze optie is alleen beschikbaar als de beoordeling is beperkt tot Gebruikers en groepen of Gebruikers. Wanneer u Manager selecteert, hebt u ook de mogelijkheid om een revisor voor terugval op te geven. Revisoren van terugval worden gevraagd om een gebruiker te controleren wanneer de gebruiker geen manager heeft opgegeven in de directory. Voor Azure AD-rollen worden rol toewijsbare groepen gecontroleerd door de terugvalrevisor als er een is geselecteerd.

Instellingen na voltooiing

  1. Als u wilt opgeven wat er gebeurt nadat een beoordeling is voltooid, vouwt u de sectie Instellingen bij voltooiing uit.

    Nadat de instellingen voor automatisch toepassen zijn voltooid, moet de schermopname niet reageren worden beoordeeld.

  2. Als u de toegang voor gebruikers die zijn geweigerd automatisch wilt verwijderen, stelt u Resultaten automatisch toepassen op resource in op Inschakelen. Als u de resultaten handmatig wilt toepassen wanneer de beoordeling is voltooid, stelt u de schakelaar in op Uitschakelen.

  3. Gebruik de lijst Als revisor niet reageert om op te geven wat er gebeurt voor gebruikers die niet binnen de beoordelingsperiode door de revisor worden beoordeeld. Deze instelling heeft geen invloed op gebruikers die zijn beoordeeld door de revisoren.

    • Geen wijziging: de toegang van de gebruiker ongewijzigd laten
    • Toegang verwijderen : de toegang van de gebruiker verwijderen
    • Toegang goedkeuren - Gebruikerstoegang goedkeuren
    • Aanbevelingen nemen: doe mee aan de aanbeveling van het systeem voor het weigeren of goedkeuren van de voortdurende toegang van de gebruiker
  4. Gebruik de actie om toe te passen op de lijst met geweigerde gastgebruikers om op te geven wat er gebeurt voor gastgebruikers die worden geweigerd. Deze instelling kan momenteel niet worden bewerkt voor azure AD- en Azure-resourcerolbeoordelingen; gastgebruikers verliezen, net als alle gebruikers, altijd de toegang tot de resource als deze wordt geweigerd.

    Schermopname van de voltooide instellingen: actie die moet worden toegepast op geweigerde gastgebruikers.

  5. U kunt meldingen verzenden naar extra gebruikers of groepen om voltooiingsupdates voor de controle te ontvangen. Met deze functie kunnen andere belanghebbenden dan de maker van de beoordeling worden bijgewerkt op de voortgang van de beoordeling. Als u deze functie wilt gebruiken, selecteert u Gebruiker(s) of Groep(en) selecteren en voegt u een extra gebruiker of groep toe wanneer u de status van voltooiing wilt ontvangen.

    Schermopname van instellingen voor voltooiing: voeg extra gebruikers toe om meldingen te ontvangen.

Geavanceerde instellingen

  1. Als u aanvullende instellingen wilt opgeven, vouwt u de sectie Geavanceerde instellingen uit.

    Schermopname van geavanceerde instellingen voor het tonen van aanbevelingen, het vereisen van reden voor goedkeuring, e-mailmeldingen en herinneringen.

  2. Stel Aanbevelingen tonen in op Inschakelen om de beoordelaars de systeemaanbevelingen weer te geven op basis van de toegangsgegevens van de gebruiker.

  3. Stel Reden bij goedkeuring vereisen in op Inschakelen om te vereisen dat de revisor een reden voor goedkeuring oplevert.

  4. Stel E-mailmeldingen in op Inschakelen als u wilt dat Azure AD e-mailmeldingen verzendt naar revisoren wanneer een toegangsbeoordeling wordt gestart en naar beheerders wanneer een beoordeling is voltooid.

  5. Stel Herinneringen in op Inschakelen om Azure AD herinneringen over toegangsbeoordelingen te laten verzenden naar revisoren die hun beoordeling niet hebben voltooid.

  6. De inhoud van het e-mailbericht dat naar revisoren wordt verzonden, wordt automatisch gegenereerd op basis van de beoordelingsdetails, zoals de naam van de beoordeling, de resourcenaam, de vervaldatum, enzovoort. Als u een manier nodig hebt om aanvullende informatie, zoals aanvullende instructies of contactgegevens, te communiceren, kunt u deze details opgeven in De aanvullende inhoud voor e-mail van de revisor die wordt opgenomen in de uitnodiging en herinneringsmails die worden verzonden naar toegewezen revisoren. In de gemarkeerde sectie hieronder wordt deze informatie weergegeven.

    Inhoud van de e-mail die wordt verzonden naar revisoren met highlights

De toegangsbeoordeling beheren

U kunt de voortgang volgen wanneer de revisoren hun beoordelingen voltooien op de pagina Overzicht van de toegangsbeoordeling. Er worden geen toegangsrechten gewijzigd in de map totdat de beoordeling is voltooid. Hieronder vindt u een schermopname met de overzichtspagina voor Azure-resources en toegangsbeoordelingen voor Azure AD-rollen.

Overzichtspagina voor toegangsbeoordelingen met de details van de schermopname van de toegangsbeoordeling voor Azure AD-rollen.

Als dit een een time-review is, volgt u nadat de toegangsbeoordelingsperiode is afgelopen of de beheerder de toegangsbeoordeling stopt, de stappen in Complete an access review of Azure resource and Azure AD roles (Een toegangsbeoordeling van Azure-resources en Azure AD-rollen voltooien) om de resultaten te bekijken en toe te passen.

Als u een reeks toegangsbeoordelingen wilt beheren, gaat u naar de toegangsbeoordeling. In Geplande beoordelingen vindt u aanstaande gebeurtenissen en bewerkt u de einddatum of voegt/verwijdert u revisoren dienovereenkomstig toe.

Op basis van uw selecties in instellingen bij voltooiing wordt automatisch toepassen uitgevoerd na de einddatum van de beoordeling of wanneer u de beoordeling handmatig stopt. De status van de beoordeling wordt gewijzigd van Voltooid via tussenliggende statussen, zoals Toepassen en ten slotte in de status Toegepast. U kunt verwachten dat geweigerde gebruikers binnen enkele minuten worden verwijderd uit rollen.

Belangrijk

Als een groep is toegewezen aan Azure-resourcerollen, ziet de revisor van de Azure-resourcerol de uitgebreide lijst met indirecte gebruikers met toegang die is toegewezen via een geneste groep. Als een revisor een lid van een geneste groep weigert, wordt dat weigerresultaat niet toegepast op de rol omdat de gebruiker niet uit de geneste groep wordt verwijderd. Voor Azure AD-rollen worden rol toewijsbare groepen in de beoordeling in plaats van de leden van de groep uit te breiden, en een revisor keurt de toegang tot de hele groep goed of weigert deze.

De toegangsbeoordeling bijwerken

Nadat een of meer toegangsbeoordelingen zijn gestart, kunt u de instellingen van uw bestaande toegangsbeoordelingen wijzigen of bijwerken. Hier zijn enkele veelvoorkomende scenario's die u kunt overwegen:

  • Revisoren toevoegen en verwijderen: wanneer u toegangsbeoordelingen bijwerkt, kunt u naast de primaire revisor ook een revisor voor terugval toevoegen. Primaire revisoren kunnen worden verwijderd bij het bijwerken van een toegangsbeoordeling. Revisoren van terugval zijn echter niet per se verwisselbaar.

    Notitie

    Terugvalvisoren kunnen alleen worden toegevoegd wanneer het type revisor manager is. Primaire revisoren kunnen worden toegevoegd wanneer het type revisor is geselecteerd.

  • De beoordelaars eraan herinneren: bij het bijwerken van toegangsbeoordelingen kunt u ervoor kiezen om de herinneringsoptie in te Instellingen. Zodra deze optie is ingeschakeld, ontvangen gebruikers een e-mailmelding op het midden van de beoordelingsperiode, ongeacht of ze de beoordeling al dan niet hebben voltooid.

    Schermopname van de herinneringsoptie onder instellingen voor toegangsbeoordelingen.

  • De instellingen bijwerken: als een toegangsbeoordeling wordt terugkerende, zijn er afzonderlijke instellingen onder Huidige versus Onder Reeks. Bij het bijwerken van de instellingen onder 'Huidig' worden alleen wijzigingen toegepast op de huidige toegangsbeoordeling terwijl bij het bijwerken van de instellingen onder Reeks de instelling voor alle toekomstige terugkeerpatroon wordt bijgewerkt.

    Schermopname van de pagina Instellingen onder Toegangsbeoordelingen.

Volgende stappen