Что такое проверки доступа Azure AD?What are Azure AD access reviews?

Проверка доступа Azure Active Directory (Azure AD) позволяет организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениями ролей.Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. Доступ пользователей можно проверять на регулярной основе, чтобы только у авторизованных пользователей был постоянный доступ.User's access can be reviewed on a regular basis to make sure only the right people have continued access.

Вот видео, в котором представлен краткий обзор проверки доступа:Here's a video that provides a quick overview of access reviews:

Почему важны проверки доступаWhy are access reviews important?

Azure AD предоставляет возможность совместной работы внутри вашей организации и с пользователями из внешних организаций, таких как партнерские.Azure AD enables you to collaborate internally within your organization and with users from external organizations, such as partners. Пользователи могут присоединяться к группам, приглашать гостей, подключаться к облачным приложениям и удаленно работать со своих рабочих или личных устройств.Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. Удобство и эффективность самообслуживания привели к потребности в более широких возможностях управления доступом.The convenience of leveraging the power of self-service has led to a need for better access management capabilities.

  • Как обеспечить новым сотрудникам нужный доступ, чтобы они работали максимально производительно?As new employees join, how do you ensure they have the right access to be productive?
  • Люди перемещаются между командами и уходят из компании. Как обеспечить отмену доступа, особенно гостевого, когда он больше не требуется?As people move teams or leave the company, how do you ensure their old access is removed, especially when it involves guests?
  • Чрезмерные права доступа могут привести к неблагоприятным результатам аудита, так как укажут на отсутствие контроля доступа.Excessive access rights can lead to audit findings and compromises as they indicate a lack of control over access.
  • Вам нужно заблаговременно обратиться к владельцам ресурсов и убедиться, что они регулярно проверяют, у кого есть доступ к их ресурсам.You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

Когда нужно проверять доступWhen to use access reviews?

  • Когда слишком много пользователей обладают привилегированными ролями. Рекомендуется проверить, сколько пользователей имеет административный доступ, сколько из них являются глобальными администраторами и есть ли приглашенные гости или партнеры, которые не были удалены после назначения для выполнения задачи администрирования.Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Administrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. Вы можете повторно сертифицировать пользователей назначения ролей в таких ролях Azure AD , как глобальные администраторы или роли ресурсов Azure , такие как администратор доступа пользователей, в Azure AD privileged Identity Management (PIM) .You can recertify the role assignment users in Azure AD roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • Когда автоматизация невозможна. Предположим, вы создали правила для динамического членства в группах безопасности или группах Office 365. Но что делать, если данные отдела кадров не хранятся в Azure AD или если пользователям все равно требуется доступ после выхода из группы, чтобы обучать пришедших им на замену сотрудников?When automation is infeasible: You can create rules for dynamic membership on security groups or Office 365 groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? Можно создать проверку для этой группы, чтобы убедиться, что доступ есть у пользователей, которым он по-прежнему необходим.You can then create a review on that group to ensure those who still need access should have continued access.
  • Когда группа используется в новых целях. Если у вас есть группа, которая будет синхронизироваться с Azure AD или если вы планируете включить приложение Salesforce для всех пользователей в группе продаж, будет полезно попросить владельца группы проверить членство в группе, прежде чем она будет использоваться для другого содержимого.When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • Критически важный для бизнеса доступ к данным. для определенных ресурсов может потребоваться, чтобы пользователи за пределами ИТ могли регулярно выйти из нее и выдать обоснование, по которому им требуется доступ в целях аудита.Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign out and give a justification on why they need access for auditing purposes.
  • Когда нужно поддерживать список исключений политики. В идеальном мире все пользователи будут использовать политики доступа для защиты доступа к ресурсам Организации.To maintain a policy's exception list: In an ideal world, all users would follow the access policies to secure access to your organization's resources. Но иногда в интересах бизнеса приходится делать исключения.However, sometimes there are business cases that require you to make exceptions. ИТ-администраторы могут управлять этой задачей, чтобы не просмотреть исключения политик и предоставить аудиторам доказательства регулярной проверки этих исключений.As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • Попросите владельцев группы подтвердить, что им все еще нужны гости в группах. Доступ сотрудников может быть автоматизирован с помощью некоторых локальных IAM-, но не приглашенных гостей.Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on premises IAM, but not invited guests. Если группа предоставляет гостям доступ к конфиденциальному бизнес-содержимому, то владелец группы должен подтвердить, что гостям по-прежнему на законных основаниях требуется такой доступ для бизнеса.If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • Периодически повторяйте проверки. Вы можете настроить повторяющиеся проверки доступа пользователей с заданной частотой (например, еженедельно, ежемесячно, ежеквартально или ежегодно). Перед каждой новой проверкой рецензентам будет отправляться соответствующее уведомление.Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. Рецензенты могут подтверждать или отклонять доступ с помощью удобного интерфейса и смарт-рекомендаций.Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

Где создавать проверкиWhere do you create reviews?

В зависимости от того, что вы хотите просмотреть, вы создадите проверку доступа в проверках доступа Azure AD, корпоративных приложениях Azure AD (Предварительная версия) или Azure AD PIM.Depending on what you want to review, you will create your access review in Azure AD access reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

Права доступа пользователейAccess rights of users Типы рецензентовReviewers can be Где создана проверкаReview created in Работа рецензентовReviewer experience
Члены группы безопасностиSecurity group members
Члены группы OfficeOffice group members
Указанные рецензентыSpecified reviewers
Владельцы группыGroup owners
Самостоятельное рассмотрениеSelf-review
Проверки доступа Azure ADAzure AD access reviews
Группы Azure ADAzure AD groups
Панель доступаAccess panel
Назначенные для подключенного приложенияAssigned to a connected app Указанные рецензентыSpecified reviewers
Самостоятельное рассмотрениеSelf-review
Проверки доступа Azure ADAzure AD access reviews
Корпоративные приложения Azure AD (в предварительной версии)Azure AD enterprise apps (in preview)
Панель доступаAccess panel
Роль Azure ADAzure AD role Указанные рецензентыSpecified reviewers
Самостоятельное рассмотрениеSelf-review
Служба PIM Azure ADAzure AD PIM портала AzureAzure portal
Роль ресурса AzureAzure resource role Указанные рецензентыSpecified reviewers
Самостоятельное рассмотрениеSelf-review
Служба PIM Azure ADAzure AD PIM портала AzureAzure portal

Подключение проверок доступаOnboard access reviews

Для подключения проверок доступа выполните следующие действия.To onboard access reviews, follow these steps.

  1. В качестве глобального администратора или администратора пользователей войдите в портал Azure , где вы хотите использовать проверки доступа.As a Global administrator or User administrator, sign in to the Azure portal where you want to use access reviews.

  2. В области навигации слева щелкните Azure Active Directory.In the left navigation, click Azure Active Directory.

  3. В меню слева щелкните Управление удостоверениями.In the left menu, click Identity Governance.

  4. Щелкните Проверка доступа.Click Access reviews.

    Начальная страница проверок доступа

  5. На странице нажмите кнопку Onboard Now (подключить сейчас).On the page, click the Onboard now button.

    Встроенная проверка доступа

Дополнительные сведения о проверках доступаLearn about access reviews

Дополнительные сведения о создании и выполнении проверок доступа см. в коротком ролике:To learn more about creating and performing access reviews, watch this short demo:

Если вы готовы к развертыванию проверок доступа в своей организации, выполните указанные в видео шаги для подключения, а также обучения администраторов, затем создайте первую проверку доступа!If you are ready to deploy access reviews in your organization, follow these steps in the video to onboard, train your administrators, and create your first access review!

Требования лицензийLicense requirements

Для использования этой функции требуется лицензия Azure AD Premium P2.Using this feature requires an Azure AD Premium P2 license. Чтобы найти подходящую лицензию, ознакомьтесь с разделом  Сравнение общедоступных функций выпусков Free, Basic и Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

У каких пользователей должны быть лицензии?Which users must have licenses?

Каждый пользователь, взаимодействующий с проверками доступа, должен иметь платную лицензию Azure AD Premium P2.Each user who interacts with access reviews must have a paid Azure AD Premium P2 license. Примеры приведены ниже.Examples include:

  • Администраторы, создающие проверку доступаAdministrators who create an access review
  • Владельцы групп, выполняющие проверку доступаGroup owners who perform an access review
  • Пользователи, назначенные рецензентамиUsers assigned as reviewers
  • Пользователи, выполняющие самостоятельную проверкуUsers who perform a self-review

Можно также предлагать гостевым пользователям самим проверять свой доступ.You can also ask guest users to review their own access. Для каждой платной Azure AD Premium P2, которую вы назначаете одному из пользователей вашей организации, вы можете использовать Azure AD Business-to-Business (B2B), чтобы пригласить до пяти гостевых пользователей с поправкой внешних пользователей.For each paid Azure AD Premium P2 license that you assign to one of your own organization's users, you can use Azure AD business-to-business (B2B) to invite up to five guest users under the External User Allowance. Эти гостевые пользователи также могут использовать функции Azure AD Premium P2.These guest users can also use Azure AD Premium P2 features. Дополнительные сведения см. в руководстве по лицензированию службы совместной работы Azure AD B2B.For more information, see Azure AD B2B collaboration licensing guidance.

Ниже приведено несколько примеров сценариев, которые помогут определить количество лицензий, которые необходимы.Here are some example scenarios to help you determine the number of licenses you must have.

СценарийScenario ВычислениеCalculation Необходимое количество лицензийRequired number of licenses
Администратор создает проверку доступа группы A с 500 пользователями.An administrator creates an access review of Group A with 500 users. Назначение трех владельцев групп в качестве рецензентов.Assigns 3 group owners as reviewers. 1 лицензия для лицензий "Администратор + 3" для каждого владельца группы в качестве рецензентов.1 license for the administrator + 3 licenses for each group owner as reviewers. 44
Администратор создает проверку доступа группы A с 500 пользователями.An administrator creates an access review of Group A with 500 users. Делает его самостоятельным обзором.Makes it a self-review. 1 лицензия на лицензии администратора + 500 для каждого пользователя в качестве самопроверяющих.1 license for the administrator + 500 licenses for each user as self-reviewers. 501501
Администратор создает проверку доступа группы B с 5 пользователями и 25 гостевых пользователей.An administrator creates an access review of Group B with 5 users and 25 guest users. Делает его самостоятельным обзором.Makes it a self-review. 1 лицензия для лицензий администратора + 5 для каждого пользователя в качестве самопроверяющих.1 license for the administrator + 5 licenses for each user as self-reviewers.
(гостевые пользователи попадают в требуемое соотношение 1:5).(guest users are covered in the required 1:5 ratio)
66
Администратор создает проверку доступа группы C с 5 пользователями и 108 гостевых пользователей.An administrator creates an access review of Group C with 5 users and 108 guest users. Делает его самостоятельным обзором.Makes it a self-review. 1 лицензия для лицензий "Администратор + 5" для каждого пользователя как самопроверяющих + 16 дополнительных лицензий для покрытия всех 108 гостевых пользователей в соответствии с требуемым соотношением 1:5.1 license for the administrator + 5 licenses for each user as self-reviewers + 16 additional licenses to cover all 108 guest users in the required 1:5 ratio.
1 + 5 = 6 лицензий, охватывающих 5*6 = 30 гостевых пользователей.1+5=6 licenses, which cover 5*6=30 guest users. Для оставшихся (108-5*6) = 78 гостевых пользователей, 78/5 = 16 дополнительных лицензий требуется.For the remaining (108-5*6)=78 guest users, 78/5=16 additional licenses are required. Таким общим, требуется 6 + 16 = 22 лицензии.Thus in total, 6+16=22 licenses are required.
2222

Сведения о том, как назначить лицензии вашим пользователям, см. в статье Назначение или удаление лицензий с помощью портала Azure Active Directory.For information about how to assign licenses to your uses, see Assign or remove licenses using the Azure Active Directory portal.

Следующие шагиNext steps