Создание проверки доступа для ресурса Azure и ролей Azure AD в PIM

Потребность сотрудников в доступе к привилегированному ресурсу Azure и ролям Azure AD меняется с течением времени. Чтобы снизить риск, связанный с устаревшими назначениями ролей, следует регулярно проверять наличие, тип и уровень доступа. С помощью Azure Active Directory (Azure AD) Privileged Identity Management (PIM) вы можете создавать проверки доступа для привилегированного доступа к ресурсу Azure и ролям Azure AD. Вы также можете настроить автоматические повторные проверки доступа. В этой статье объясняется, как создать одну или несколько проверок доступа.

Предварительные требования

Для использования этой функции требуется лицензия Azure AD Premium P2. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций Azure AD. Для получения дополнительной информации о лицензиях для PIM см. Требования к лицензии для использования Privileged Identity Management.

Для создания проверок доступа для ресурсов Azure необходима роль Azure Владелец или Администратор доступа пользователей для этих ресурсов Azure. Для создания проверок доступа для ролей Azure нужна роль Глобальный администратор или Администратор привилегированных ролей.

Примечание

При использовании общедоступной предварительной версии вы можете ограничить проверку доступа к субъектам-службам, используя для этого доступ к Azure AD и ролям ресурсов Azure. Выпуск Azure Active Directory Premium P2 в клиенте должен быть активным. После общей доступности продукта могут потребоваться дополнительные лицензии.

Создание проверок доступа

  1. Войдите на портал Azure как пользователь, которому назначена одна из требуемых ролей.

  2. Выберите Управление удостоверениями.

  3. Для ролей Azure AD в разделе Управление привилегированными пользователями выберите Роли Azure AD. Для ресурсов Azure в разделе Управление привилегированными пользователями выберите Ресурсы Azure.

    Select Identity Governance in Azure Portal screenshot.

  4. Для ролей Azure AD выберите Роли Azure AD в разделе Управление. Для ресурсов Azure выберите подписку, которой хотите управлять.

  5. В разделе "Управление" выберите Проверки доступа, после чего выберите Создать, чтобы создать проверку доступа.

    Azure AD roles - Access reviews list showing the status of all reviews screenshot.

  6. Назовите проверку доступа. При необходимости укажите описание проверки. Имя и описание отображаются для рецензентов.

    Create an access review - Review name and description screenshot.

  7. Установите дату начала. По умолчанию проверка доступа выполняется однократно, начинается в то же самое время, когда она создается, и завершается через один месяц. Можно изменить даты начала и окончания таким образом, чтобы проверка доступа началась в будущем и длилась необходимое количество дней.

    Start date, frequency, duration, end, number of times, and end date screenshot.

  8. Чтобы настроить повторяющуюся проверку доступа, измените значение параметра Частота со значения Один раз на Еженедельно, Ежемесячно, Ежеквартально, Ежегодно или Раз в полгода. Используйте ползунок длительности или текстовое поле, чтобы определить, сколько дней каждая проверка из повторяющейся серии будет открыта для ответов рецензентов. Например, для ежемесячной проверки вы можете настроить продолжительность не более 27 дней, что позволяет избежать перекрытия интервалов проверки.

  9. Параметр Окончание позволяет указать, как закончится эта серия повторяющихся проверок доступа. Для завершения серии можно выбрать один из трех режимов: непрерывно и неограниченно долго, до определенной даты или до определенного числа проверок. Вы (или другой администратор, который может управлять проверками) можете остановить серию после создания, указав в разделе Параметры нужную дату окончания.

  10. В разделе Область действия пользователей выберите объем проверки. Для ролей Azure AD первым параметром области является "Пользователи и группы". Он позволяет добавить непосредственно назначенных пользователей и группы с назначением ролей. Для ролей ресурсов Azure первой будет область "Пользователи". При выборе этого параметра группы, назначенные ролям ресурсов Azure, развертываются для отображения транзитивных назначений пользователей в проверке. Вы можете также выбрать субъекты-службы, чтобы проверять учетные записи компьютеров с прямым доступом к ресурсу Azure или роли Azure AD.

    Users scope to review role membership of screenshot.

  11. В разделе Проверка членства в роли выберите привилегированный ресурс Azure или роли Azure AD для проверки.

    Примечание

    Если выбрать несколько ролей, будет создано несколько проверок доступа. Например, если выбрать пять ролей, будет создано пять отдельных проверок доступа.

    Review role memberships screenshot.

  12. В поле Тип назначения укажите, как участник был назначен роли. Выберите элемент Только допустимые назначения для проверки допустимых назначений (независимо от состояния активации при создании проверки) или Только активные назначения для проверки активных назначений. Выберите Все активные и подходящие назначения, чтобы просмотреть все назначения, независимо от типа.

    Reviewers list of assignment types screenshot.

  13. В разделе Рецензенты выберите одного или нескольких пользователей для проверки всех пользователей. Или можно указать, чтобы участники сами проверяли собственный доступ.

    Reviewers list of selected users or members (self)

    • Выбранные пользователи - воспользуйтесь данным параметром, чтобы назначить конкретного пользователя для завершения обзора. Данный параметр доступен независимо от области проверки, и выбранные рецензенты могут просматривать пользователей, группы и субъекты-службы.
    • Участники (самостоятельно) : выберите этот параметр, чтобы пользователи сами проверяли назначенные им роли. Данный параметр доступен только в том случае, если областью проверки является Пользователи и группы или Пользователи. Если этот параметр выбран для ролей Azure AD, то группы с назначением ролей не будут входить в проверку.
    • Менеджер - воспользуйтесь данным параметром, чтобы менеджер пользователя проверил назначение ролей. Данный параметр доступен только в том случае, если областью проверки является Пользователи и группы или Пользователи. После выбора Менеджера у вас также будет возможность указать резервного рецензента. Запасные рецензенты просят провести проверку пользователя, если у пользователя не указан менеджер в каталоге. Если он указан для ролей Azure AD, то группы с назначением ролей будут проверяться резервным рецензентом.

Настройки после завершения

  1. Чтобы указать, что происходит после завершения проверки, разверните раздел Настройки после завершения.

    Upon completion settings to auto apply and should review not respond screenshot.

  2. Если вы хотите автоматически удалять доступ пользователей, для которых были получены запреты, задайте для параметра Автоматически применять результаты к ресурсу значение Включить. Если вы хотите вручную применять результаты по завершении проверки, выберите здесь значение Отключить.

  3. Список Если рецензент не отвечает позволяет указать, что нужно делать для тех пользователей, которые не будут проверены рецензентами в установленный период проверки. Этот параметр не влияет на пользователей, проверенных рецензентами.

    • Без изменений — доступ пользователя сохраняется без изменений.
    • Удалить доступ — доступ пользователя блокируется.
    • Утвердить доступ — доступ пользователя утверждается.
    • Получить рекомендации — применить рекомендации системы в отношении запрета или утверждения доступа пользователя.
  4. Используйте список Action to apply on denied guest users (Действие, которое будет применено к гостевым пользователям, которым было отказано в доступе), чтобы указать, что происходит с гостевыми пользователями, которым было отказано в доступе. В настоящее время этот параметр невозможно изменить для проверок ролей ресурсов Azure AD и Azure. Гостевые пользователи, как и все пользователи, всегда теряют доступ к ресурсу, если он запрещен.

    Upon completion settings - Action to apply on denied guest users screenshot.

  5. Вы можете отправлять уведомления дополнительным пользователям или группам, чтобы получать последние сведения о завершении проверок. Данная функция позволяет заинтересованным сторонам, за исключением автора обзора, получать информацию о ходе проверки. Чтобы использовать данную функцию, выберите Выбрать пользователей или группы и добавьте дополнительного пользователя или группу, если вы хотите получить статус завершения.

    Upon completion settings - Add additional users to receive notifications screenshot.

Дополнительные параметры

  1. Чтобы настроить дополнительные параметры, разверните раздел Дополнительные параметры.

    Advanced settings for show recommendations, require reason on approval, mail notifications, and reminders screenshot.

  2. Задайте для параметра Показывать рекомендации значение Включить, чтобы рецензенты видели рекомендации системы на основе данных о доступе пользователя.

  3. Задайте для параметра Требовать причину утверждения значение Включить, чтобы требовать от рецензентов указывать причину утверждения.

  4. Задайте для параметра Оповещения по электронной почте значение Включить, чтобы служба AAD отправляла рецензентам по электронной почте уведомления о начале проверки доступа и сообщала администраторам о ее завершении.

  5. Задайте для параметра Напоминания значение Включить, чтобы AAD отправляла напоминания о текущей проверке доступа рецензентам, которые еще не завершили проверку.

  6. Содержание сообщения электронной почты, отправляемого рецензентам, создается автоматически на основе сведений о проверке, таких как название проверки, имя ресурса, срок выполнения и т. д. Если вам необходим способ передачи дополнительной информации, такой как дополнительные инструкции или контактная информация, вы можете указать эти данные в сообщении с дополнительным содержимым для рецензента, которое будет включено в сообщения приглашениями и напоминаниями, отправленные назначенным рецензентам. В выделенном ниже разделе будет отображаться указанная информация.

    Content of the email sent to reviewers with highlights

Управление проверкой доступа

Вы можете отслеживать, как рецензенты завершают свои обзоры, на странице Обзор проверки доступа. Права доступа к каталогу не меняются до тех пор, пока проверка не будет завершена. Ниже приведен снимок экрана со страницей обзора для проверок доступа для ресурсов Azure и ролей Azure AD.

Access reviews overview page showing the details of the access review for Azure AD roles screenshot.

При разовой проверке, когда период проверки доступа закончится или администратор остановит проверку доступа, выполните действия, описанные в статье Завершение проверки доступа для ресурса Azure и ролей Azure AD в Azure AD PIM , чтобы просмотреть и применить результаты.

Чтобы управлять серией проверок доступа, перейдите к проверке доступа, и вы найдете предстоящие вхождения в запланированных проверках и соответственно измените дату окончания или добавьте/удалите рецензентов.

В зависимости от вашего выбора в Настройках по завершении автоматическое применение будет выполнено после даты окончания проверки или когда вы вручную остановите проверку. Статус проверки изменится с Завершено через промежуточные состояния, такие как Применяется, и, наконец, на состояние Применено. Следует ожидать, что запрещенные пользователи, при наличии таковых, будут удалены из ролей спустя несколько минут.

Важно!

Если группе назначены роли ресурсов Azure, то рецензент роли ресурсов Azure увидит развернутый список косвенных пользователей, права доступа которых назначены посредством вложенной группы. Если рецензент запретит доступ члена вложенной группы, этот запрет не будет применен к роли, так как пользователь не будет удален из вложенной группы. Для ролей Azure AD в проверке будут показаны группы с назначением ролей, а не развернутые списки членов группы, и рецензент будет либо утверждать, либо запрещать доступ для всей группы.

Обновление проверки доступа

После запуска одной или нескольких проверок доступа может потребоваться изменить или обновить параметры имеющихся проверок доступа. Ниже приведено несколько распространенных сценариев, которые может потребоваться рассмотреть.

  • Добавление и удаление рецензентов. При обновлении проверок доступа вы можете добавить резервного рецензента в дополнение к основному рецензенту. При обновлении проверки доступа основные рецензенты могут быть удалены. Однако резервных рецензентов удалить невозможно, и это ограничение введено намеренно.

    Примечание

    Резервных рецензентов можно добавлять, только если типом рецензента является "Руководитель". Основных рецензентов можно добавлять, если выбран тип рецензента "Пользователь".

  • Напоминание рецензентам. При обновлении проверок доступа вы можете включить параметр напоминания в разделе "Дополнительные параметры". После этого пользователи будут получать уведомление по электронной почте в средней точке периода проверки, независимо от того, завершили ли они проверку.

    Screenshot of the reminder option under access reviews settings.

  • Обновление параметров. Если проверка доступа повторяется, то в разделах "Текущий" и "Серия" доступны отдельные параметры. Изменения параметров в разделе "Текущий" будут применены только к текущей проверке доступа, а изменения параметров в разделе "Серия" будут действовать для всех последующих повторений.

    Screenshot of the settings page under access reviews.

Дальнейшие действия