Что такое доступ к Azure AD проверяет?What are Azure AD access reviews?

Проверки доступа Azure Active Directory (Azure AD) позволяют организациям эффективно управлять членством, доступ к корпоративным приложениям и назначения ролей.Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. Доступ пользователей можно проверять на регулярной основе, чтобы только у авторизованных пользователей был постоянный доступ.User's access can be reviewed on a regular basis to make sure only the right people have continued access.

Вот видео, в котором представлен краткий обзор проверки доступа:Here's a video that provides a quick overview of access reviews:

Почему важны проверки доступаWhy are access reviews important?

Azure AD предоставляет возможность совместной работы внутри вашей организации и с пользователями из внешних организаций, таких как партнерские.Azure AD enables you to collaborate internally within your organization and with users from external organizations, such as partners. Пользователи могут присоединяться к группам, приглашать гостей, подключаться к облачным приложениям и удаленно работать со своих рабочих или личных устройств.Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. Удобство и эффективность самообслуживания привели к потребности в более широких возможностях управления доступом.The convenience of leveraging the power of self-service has led to a need for better access management capabilities.

  • Как обеспечить новым сотрудникам нужный доступ, чтобы они работали максимально производительно?As new employees join, how do you ensure they have the right access to be productive?
  • Люди перемещаются между командами и уходят из компании. Как обеспечить отмену доступа, особенно гостевого, когда он больше не требуется?As people move teams or leave the company, how do you ensure their old access is removed, especially when it involves guests?
  • Чрезмерные права доступа могут привести к неблагоприятным результатам аудита, так как укажут на отсутствие контроля доступа.Excessive access rights can lead to audit findings and compromises as they indicate a lack of control over access.
  • Вам нужно заблаговременно обратиться к владельцам ресурсов и убедиться, что они регулярно проверяют, у кого есть доступ к их ресурсам.You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

Когда нужно проверять доступWhen to use access reviews?

  • Когда слишком много пользователей обладают привилегированными ролями. Он имеет смысл проверить, сколько пользователей есть административный доступ, сколько из них не Глобальные администраторы, и если существуют какие-либо приглашенных гостей или партнеров, которые не были удалены после назначения для выполнения задачи администрирования.Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Administrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. Можно повторно сертифицировать назначение ролей пользователей в ролей Azure AD такие как глобальные Администраторы или ролей ресурсов Azure например администратор доступа пользователей в привилегированными пользователями Azure AD IDENTITY Management (PIM) столкнуться.You can recertify the role assignment users in Azure AD roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • Когда автоматизация невозможна. Предположим, вы создали правила для динамического членства в группах безопасности или группах Office 365. Но что делать, если данные отдела кадров не хранятся в Azure AD или если пользователям все равно требуется доступ после выхода из группы, чтобы обучать пришедших им на замену сотрудников?When automation is infeasible: You can create rules for dynamic membership on security groups or Office 365 groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? Можно создать проверку для этой группы, чтобы убедиться, что доступ есть у пользователей, которым он по-прежнему необходим.You can then create a review on that group to ensure those who still need access should have continued access.
  • Когда группа используется в новых целях. Если у вас есть группа, которая будет синхронизироваться с Azure AD или если вы планируете включить приложение Salesforce для всех пользователей в группе продаж, будет полезно попросить владельца группы проверить членство в группе, прежде чем она будет использоваться для другого содержимого.When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • Доступ к данным, критически важным для бизнеса. Для определенных ресурсов может потребоваться регулярная подпись сотрудников, не связанных с ИТ, и обоснование необходимости доступа для целей аудита.Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign off and give a justification on why they need access for auditing purposes.
  • Когда нужно поддерживать список исключений политики. В идеальном мире все пользователи выполняют политики доступа для защиты доступа к ресурсам организации.To maintain a policy's exception list: In an ideal world, all users would follow the access polices to secure access to your organization's resources. Но иногда в интересах бизнеса приходится делать исключения.However, sometimes there are business cases that require you to make exceptions. ИТ-администраторы могут управлять этой задачей, чтобы не просмотреть исключения политик и предоставить аудиторам доказательства регулярной проверки этих исключений.As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • Попросите владельцев группы подтвердить, что им все еще нужны гости в группах. Доступом сотрудников может автоматизировать некоторые на локальном компьютере IAM, но не приглашенных гостей.Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on premises IAM, but not invited guests. Если группа предоставляет гостям доступ к конфиденциальному бизнес-содержимому, то владелец группы должен подтвердить, что гостям по-прежнему на законных основаниях требуется такой доступ для бизнеса.If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • Периодически повторяйте проверки. Вы можете настроить повторяющиеся проверки доступа пользователей с заданной частотой (например, еженедельно, ежемесячно, ежеквартально или ежегодно). Перед каждой новой проверкой рецензентам будет отправляться соответствующее уведомление.Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. Рецензенты могут подтверждать или отклонять доступ с помощью удобного интерфейса и смарт-рекомендаций.Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

Где создавать проверкиWhere do you create reviews?

В зависимости от того, что вы хотите просмотреть, вы создадите проверки доступа в Azure AD доступ к обзоры, корпоративных приложений Azure AD (в предварительной версии) или Azure AD PIM.Depending on what you want to review, you will create your access review in Azure AD access reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

Права доступа пользователейAccess rights of users Типы рецензентовReviewers can be Где создана проверкаReview created in Работа рецензентовReviewer experience
Члены группы безопасностиSecurity group members
Члены группы OfficeOffice group members
Указанные рецензентыSpecified reviewers
Владельцы группыGroup owners
Самостоятельная проверкаSelf review
Проверки доступа Azure ADAzure AD access reviews
Группы Azure ADAzure AD groups
Панель доступаAccess panel
Назначенные для подключенного приложенияAssigned to a connected app Указанные рецензентыSpecified reviewers
Самостоятельная проверкаSelf review
Проверки доступа Azure ADAzure AD access reviews
Корпоративные приложения Azure AD (в предварительной версии)Azure AD enterprise apps (in preview)
Панель доступаAccess panel
Роль Azure ADAzure AD role Указанные рецензентыSpecified reviewers
Самостоятельная проверкаSelf review
Azure AD PIMAzure AD PIM Портал AzureAzure portal
Роль ресурса AzureAzure resource role Указанные рецензентыSpecified reviewers
Самостоятельная проверкаSelf review
Azure AD PIMAzure AD PIM Портал AzureAzure portal

Технические условияPrerequisites

Чтобы использовать проверки доступа, нужно наличие одной из следующих лицензий:To use access reviews, you must have one of the following licenses:

  • Azure AD Premium P2Azure AD Premium P2
  • лицензия Enterprise Mobility + Security (EMS) E5.Enterprise Mobility + Security (EMS) E5 license

Дополнительные сведения см. в статье Регистрация для работы с выпусками Azure Active Directory Premium или на странице пробной версии Enterprise Mobility + Security E5.For more information, see How to: Sign up for Azure Active Directory Premium or Enterprise Mobility + Security E5 Trial.

Начало проверок доступаGet started with access reviews

Дополнительные сведения о создании и выполнении проверок доступа см. в коротком ролике:To learn more about creating and performing access reviews, watch this short demo:

Если вы готовы к развертыванию проверок доступа в своей организации, выполните указанные в видео шаги для подключения, а также обучения администраторов, затем создайте первую проверку доступа!If you are ready to deploy access reviews in your organization, follow these steps in the video to onboard, train your administrators, and create your first access review!

Включение проверок доступаEnable access reviews

Чтобы включить проверки доступа, выполните указанные ниже шаги.To enable access reviews, follow these steps.

  1. Как глобальный администратор или администратор пользователей, войдите портала Azure где вы хотите использовать доступ проверок.As a Global administrator or User administrator, sign in to the Azure portal where you want to use access reviews.

  2. Нажмите Все службы и найдите службу проверок доступа.Click All services and find the access reviews service.

  3. Нажмите кнопку проверок доступа.Click Access reviews.

    Все службы - проверки доступа

  4. В списке навигации выберите Присоединить, чтобы открыть страницу Подключение проверок доступа.In the navigation list, click Onboard to open the Onboard access reviews page.

    Подключение проверок доступа

  5. Нажмите Создать для включения проверок доступа в текущем каталоге.Click Create to enable access reviews in the current directory.

    Подключение проверок доступа

    Проверки при следующем запуске доступа, станут доступны параметры проверки доступа.The next time you start access reviews, the access review options will be enabled.

    Проверки доступа включено

Дальнейшие действияNext steps