Что такое Azure AD Identity Governance?

Служба Azure Active Directory (Azure AD) Identity Governance позволяет достичь правильного баланса между корпоративными требованиями к безопасности и производительностью сотрудников, предоставляя нужные процессы и средства контроля. Она предоставляет возможности, которые позволят правильно распределить доступ к ресурсам между пользователями, которым он нужен. Эти и другие возможности Azure AD и Enterprise Mobility + Security позволяют снизить риски доступа за счет применения средств защиты, мониторинга и аудита доступа к критически важным ресурсам при сохранении производительности сотрудников и бизнес-партнеров.

Служба Identity Governance позволяет организациям выполнять для сотрудников, партнеров, поставщиков, служб и приложений, функционирующих локально и в облаке, следующие действия:

  • управление жизненным циклом удостоверений;
  • управление жизненным циклом доступа;
  • обеспечение безопасного привилегированного доступа для администрирования.

В частности, эта служба помогает организациям контролировать четыре ключевых аспекта:

  • Какие пользователи и к каким ресурсам должны иметь доступ?
  • Как эти пользователи применяют этот доступ?
  • Есть ли эффективные средства управления доступом на корпоративном уровне?
  • Могут ли аудиторы убедиться, что эти средства работают правильно?

Жизненный цикл удостоверений

Служба Identity Governance помогает организациям найти нужный баланс между показателями производительности (скорость, с которой сотрудник получает доступ к нужным ресурсам, например при начале работы в организации) и безопасности (динамика изменения уровня доступа со временем, например при изменении роли пользователя в организации). Управление жизненным циклом удостоверений — базовый процесс службы Identity Governance. Чтобы обеспечить эффективность управления в масштабе всей организации, необходимо модернизировать инфраструктуру управления жизненным циклом удостоверений для приложений.

Жизненный цикл удостоверений

Во многих организациях жизненный цикл удостоверений для сотрудников связан с представлением этого пользователя в системе управления человеческими ресурсами. Azure AD Premium автоматически управляет идентификаторами пользователей Workday и SuccessFactors как в Active Directory, так и в Azure Active Directory (см. руководство по планированию развертывания облачного приложения по управлению персоналом для интеграции с подготовкой пользователей Azure Active Directory). Azure AD Premium также использует Microsoft Identity Manager, с помощью которого можно импортировать записи из локальных систем управления персоналом, например SAP HCM, Oracle eBusiness или Oracle PeopleSoft.

Также следует учитывать постоянно растущую потребность в сотрудничестве с пользователями, не входящими в вашу организацию. Функции совместной работы Azure AD B2B позволяют безопасно предоставлять доступ к корпоративным приложениям и службам гостевым пользователям и внешним партнерам из любой организации, сохраняя полный контроль над корпоративными данными. Управление правами в Azure AD позволяет выбрать, какие пользователи организации смогут запрашивать доступ и выполнять роль гостей B2B в каталоге вашей организации, а также гарантирует удаление таких гостей, когда доступ им больше не нужен.

Жизненный цикл доступа

Организациям требуется использовать определенный процесс для управления доступом после первоначальной подготовки при создании удостоверения пользователя. Более того, им важно иметь возможность эффективного масштабирования для разработки и применения политик доступа и элементов управления в непрерывном цикле.

Жизненный цикл доступа

Обычно ИТ-подразделения передают решения по утверждению доступа ответственным лицам в организации. Также в этом процессе могут участвовать сами пользователи. Например, пользователям, которые работают с конфиденциальными данными клиентов в маркетинговом приложении для Европы, нужна информация о соответствующих корпоративных политиках. Гостевые пользователи могут ничего не знать о внутренних требованиях к обработке данных, которые действуют в пригласившей их организации.

Организации могут автоматизировать процессы управления жизненным циклом доступа, применив такие технологии, как динамические группы и подготовка пользователей в приложениях SaaS или приложениях, интегрированных с SCIM. Организации также могут выбирать, какие гостевые пользователи получат доступ к локальным приложениям. Также эти права доступа можно регулярно проверять с помощью проверок доступа Azure Active Directory. Управления правами Azure AD также позволяет определить, как пользователи запрашивают доступ, для разных пакетов членств в группах и командах, ролей приложений и ролей SharePoint Online.

Когда пользователь пытается получить доступ к приложениям, Azure AD применяет политики условного доступа. Например, в политики условного доступа можно включить отображение условий использования и получение согласия пользователя на эти условия перед предоставлением доступа к приложению.

Жизненный цикл привилегированного доступа

Исторически сложилось так, что привилегированный доступ у других поставщиков используется отдельно от функции управления удостоверениями. Но мы в корпорации Майкрософт придерживаемся такого мнения, что управление привилегированным доступом — это ключевой аспект системы управления удостоверениями, особенно учитывая потенциальный ущерб для организации от несанкционированного использования прав администратора. Контроль должен распространяться на всех сотрудников, поставщиков и подрядчиков, которые получают права администратора.

Жизненный цикл привилегированного доступа

Azure AD Privileged Identity Management (PIM) предоставляет целый ряд средств управления, предназначенных для защиты прав доступа к ресурсам в Azure AD, Azure и других службах Microsoft Online Services. JIT-доступ и оповещения об изменении ролей, реализованные Azure AD PIM, в сочетании с многофакторной проверкой подлинности и условным доступом, обеспечивают комплексный набор средств управления для защиты ресурсов компании (каталог, Microsoft 365 и ролей ресурсов Azure). Как и для других видов доступа, с помощью проверок доступа можно настроить регулярные сертификации прав доступа для всех пользователей с ролями администратора.

Возможности управления в других функциях Azure AD

В дополнение к перечисленным выше функциям, для предоставления сценариев управления идентификаторами часто используют такие дополнительные функции Azure AD:

Функция Сценарий Функция
Жизненный цикл идентификатора (сотрудники) Администраторы могут включить подготовку учетных записей пользователей из облачных приложений по управлению персоналом Workday или SuccessFactors или же локальных приложений по управлению персоналом. Облачное приложение по управленю персоналом для подготовки пользователей Azure AD
Жизненный цикл идентификатора (гости) Администраторы могут разрешить самостоятельное подключение гостевых пользователей из другого клиента Azure AD, прямой федерации, учетных записей Google или же пользователей, которые входят с помощью одноразового секретного кода (OTP). Гостевые пользователи автоматически подготавливаются к работе и отзываются в соответствии с политиками жизненного цикла. Управление правами с помощью B2B
Управление правами Владельцы ресурсов могут создавать пакеты для доступа, содержащие приложения, Teams, группы Azure AD и Microsoft 365, а также сайты SharePoint Online. Управление правами
Запросы на доступ Пользователи могут создавать запросы на членство в группе или доступ к приложению. Пользователи, а также гости из других организаций могут выполнять запросы на доступ к пакетам для доступа. Управление правами
Рабочий процесс Владельцы ресурсов могут определять утверждающих и утверждающих после эскалации, которые будут рассматривать запросы на доступ, а также утверждающих, которые будут обрабатывать запросы на активацию роли. Управление правами и PIM
Управление политиками и ролями Администратор может определять политики условного доступа для доступа к приложениям во время выполнения. Владельцы ресурсов могут определять политики для доступа пользователей через пакеты для доступа. Политики условного доступа и управление правами
Доступ к сертификации Администраторы могут использовать повторную сертификацию повторяющегося доступа для: приложений SaaS или членств в облачных группах, назначения ролей ресурсов Azure AD или Azure; автоматического удаления доступа к ресурсам, блокировки гостевого доступа и удаления гостевых учетных записей. Проверки доступа, также отображаются в PIM
Реализация и подготовка Автоматические подготовка и отзыв доступа для подключенных к Azure AD приложений, включая SCIM и сайты SharePoint Online. Подготовка пользователей
Отчеты и аналитика Администраторы могут извлекать журналы аудита для последних операций подготовки пользователя и входа в систему. Интеграция с Azure Monitor и функцией "Кто имеет доступ?" через пакеты для доступа. Отчеты и мониторинг Azure AD
Привилегированный доступ Запланированный и JIT-доступ, оповещения, рабочие процессы утверждения для ролей Azure AD (включая пользовательские роли) и ресурсов Azure. Azure AD PIM
Аудит Администраторы смогут получать оповещения о создании учетных записей администраторов. Оповещения для управления привилегированными пользователями Azure AD

Начало работы

Перейдите на вкладку "Приступая к работе" для службы Identity Governance на портале Azure, чтобы применить управление назначениями, проверки доступа, управление привилегированными пользователями и условиями использования.

Начало работы со службой Identity Governance

Если вы хотите оставить отзыв о возможностях Identity Governance, щелкните ссылку Хотите отправить отзыв? на портале Azure и отправьте отзыв. Наши специалисты регулярно проверяют ваши отзывы.

Невозможно подобрать идеальное для всех клиентов решение или рекомендацию, но следующие рекомендации по конфигурации предоставят вам базовые сведения о политиках, которые корпорация Майкрософт рекомендует для повышения безопасности и производительности сотрудников.

Приложение — роли с минимально необходимыми привилегиями для управления возможностями Identity Governance

Мы рекомендуем использовать роль с наименьшим уровнем привилегий для выполнения задач администрирования в службе Identity Governance. Для активации роли, когда она требуется для выполнения некоторых задач, следует использовать Azure AD PIM. Ниже перечислены роли с минимально необходимыми привилегиями для настройки функций Identity Governance.

Компонент Наименее привилегированная роль
Управление правами Администратор управления удостоверениями
Проверки доступа Администратор пользователей (за исключением проверки доступа для ролей Azure или Azure AD, для которого нужна роль администратора привилегированных ролей).
Управление привилегированными пользователями (PIM) администратор привилегированных ролей;
Условия использования Администратор безопасности или администратор условного доступа.

Примечание

Роль с минимальными привилегиями для управлениями правами изменена с роли "Администратор пользователей" на роль "Администратор управления удостоверениями".

Дальнейшие действия