Vad är Azure AD-åtkomstgranskningar?
Azure Active Directory åtkomstgranskningar (Azure AD) gör det möjligt för organisationer att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Användarens åtkomst kan granskas regelbundet för att se till att endast rätt personer har fortsatt åtkomst.
Här är en video som ger en snabb översikt över åtkomstgranskningar:
Varför är åtkomstgranskningar viktiga?
Med Azure AD kan du samarbeta med användare från din organisation och med externa användare. Användare kan ansluta till grupper, bjuda in gäster, ansluta till molnappar och arbeta via en fjärrtjänst från sina arbetsenheter eller personliga enheter. Bekvämligheten med självbetjäning har lett till ett behov av bättre åtkomsthanteringsfunktioner.
- Hur säkerställer du att nya medarbetare får den åtkomst de behöver för att vara produktiva?
- Hur ser du till att deras gamla åtkomst tas bort när personer flyttar eller lämnar företaget?
- Överdriven åtkomstbehörighet kan leda till komprometter.
- Överdriven åtkomstbehörighet kan också leda till granskningsresultat eftersom de tyder på brist på kontroll över åtkomst.
- Du måste proaktivt samarbeta med resursägare för att se till att de regelbundet granskar vem som har åtkomst till sina resurser.
När ska du använda åtkomstgranskningar?
- För många användare med privilegierade roller: Det är en bra idé att kontrollera hur många användare som har administrativ åtkomst, hur många av dem som är globala administratörer och om det finns några inbjudna gäster eller partner som inte har tagits bort efter att ha tilldelats en administrativ uppgift. Du kan omertifiera rolltilldelningsanvändare i Azure AD-roller som globala administratörer eller Azure-resursroller som Administratör för användaråtkomst i Azure AD Privileged Identity Management-upplevelsen (PIM).
- När det inte är möjligt att automatisera: Du kan skapa regler för dynamiskt medlemskap i säkerhetsgrupper eller Microsoft 365-grupper, men vad händer om HR-data inte finns i Azure AD eller om användarna fortfarande behöver åtkomst när de har lämnat gruppen för att träna sin ersättning? Du kan sedan skapa en granskning av gruppen för att se till att de som fortfarande behöver åtkomst ska ha fortsatt åtkomst.
- När en grupp används för ett nytt syfte: Om du har en grupp som ska synkroniseras med Azure AD, eller om du planerar att aktivera programmet Salesforce för alla i säljteamet, kan det vara bra att be gruppägaren att granska gruppmedlemskapet innan gruppen används i ett annat riskinnehåll.
- Affärskritisk dataåtkomst: För vissa resurser kan det krävas att personer utanför IT regelbundet loggar ut och ger en motivering till varför de behöver åtkomst i granskningssyfte.
- Så här underhåller du undantagslistan för en princip: I en idealisk värld skulle alla användare följa åtkomstprinciperna för att skydda åtkomsten till organisationens resurser. Ibland finns det dock affärsfall som kräver att du gör undantag. Som IT-administratör kan du hantera den här uppgiften, undvika att övervaka principundantag och ge granskare bevis på att dessa undantag granskas regelbundet.
- Be gruppägare att bekräfta att de fortfarande behöver gäster i sina grupper: Anställdas åtkomst kan automatiseras med lokal identitets- och åtkomsthantering (IAM), men inte inbjudna gäster. Om en grupp ger gäster åtkomst till affärskänsligt innehåll är det gruppägarens ansvar att bekräfta att gäster fortfarande har ett legitimt affärs behov av åtkomst.
- Få granskningar att upprepas med jämna mellanrum: Du kan ställa in återkommande åtkomstgranskningar av användare med återkommande frekvenser, till exempel varje vecka, varje månad, varje kvartal eller varje år, och granskarna meddelas i början av varje granskning. Granskare kan godkänna eller neka åtkomst med ett användarvänligt gränssnitt och med hjälp av smarta rekommendationer.
Anteckning
Om du är redo att testa åtkomstgranskningar kan du läsa Skapa en åtkomstgranskning av grupper eller program
Var skapar du granskningar?
Beroende på vad du vill granska skapar du din åtkomstgranskning i Azure AD-åtkomstgranskningar, Azure AD-företagsappar (i förhandsversion) eller Azure AD PIM.
| Åtkomsträttigheter för användare | Granskare kan vara | Granskning skapad i | Granskarupplevelse |
|---|---|---|---|
| Medlemmar i säkerhetsgrupperOffice gruppmedlemmar | Angivna granskareGruppägareSjälvgranskning | Azure AD-åtkomstgranskningarAzure AD-grupper | Åtkomstpanel |
| Tilldelad till en ansluten app | Angivna granskareSjälvgranskning | Azure AD-åtkomstgranskningarAzure AD Enterprise-appar (i förhandsversion) | Åtkomstpanel |
| Azure AD-roll | Angivna granskareSjälvgranskning | Azure AD PIM | Azure Portal |
| Azure-resursroll | Angivna granskareSjälvgranskning | Azure AD PIM | Azure Portal |
Licenskrav
Om du använder den här funktionen krävs en Azure AD Premium P2-licens. Information om rätt licens för dina krav finns i jämföra allmänt tillgängliga funktioner i kostnads fria, Office 365-appar och Premium-versioner.
Hur många licenser måste du ha?
Din katalog behöver minst lika Azure AD Premium P2 licenser som antalet anställda som ska utföra följande uppgifter:
- Medlemsanvändare som har tilldelats som granskare
- Medlemsanvändare som utför en självgranskning
- Medlemsanvändare som gruppägare som utför en åtkomstgranskning
- Medlemsanvändare som programägare som utför en åtkomstgranskning
För gästanvändare beror licensieringsbehoven på den licensieringsmodell som du använder. Nedanstående gästanvändares aktiviteter betraktas dock som Azure AD Premium P2 användning:
- Gästanvändare som har tilldelats som granskare
- Gästanvändare som utför en självgranskning
- Gästanvändare som gruppägare som utför en åtkomstgranskning
- Gästanvändare som programägare som utför en åtkomstgranskning
Azure AD Premium P2 krävs inte för användare med rollerna Global administratör eller Användaradministratör som konfigurerar åtkomstgranskningar, konfigurerar inställningar eller tillämpar beslut från granskningarna.
Azure AD-gästanvändaråtkomst baseras på en faktureringsmodell för månatliga aktiva användare (MAU), som ersätter faktureringsmodellen med förhållandet 1:5. Mer information finns i Azure AD External Identities prissättning.
Mer information om licenser finns i Tilldela eller ta bort licenser med hjälp av Azure Active Directory portalen.
Exempel på licensscenarier
Här är några exempel på licensscenarier som hjälper dig att fastställa antalet licenser som du måste ha.
| Scenario | Beräkning | Antal licenser |
|---|---|---|
| En administratör skapar en åtkomstgranskning av Grupp A med 75 användare och 1 gruppägare och tilldelar gruppägaren som granskare. | 1 licens för gruppägaren som granskare | 1 |
| En administratör skapar en åtkomstgranskning av Grupp B med 500 användare och 3 gruppägare och tilldelar de tre gruppägare som granskare. | 3 licenser för varje gruppägare som granskare | 3 |
| En administratör skapar en åtkomstgranskning av grupp B med 500 användare. Gör det till en självgranskning. | 500 licenser för varje användare som självgranskningsanvändare | 500 |
| En administratör skapar en åtkomstgranskning av grupp C med 50 medlemsanvändare och 25 gästanvändare. Gör det till en självgranskning. | 50 licenser för varje användare som självgranskningsanvändare.* | 50 |
| En administratör skapar en åtkomstgranskning av grupp D med 6 medlemsanvändare och 108 gästanvändare. Gör det till en självgranskning. | 6 licenser för varje användare som självgranskningsanvändare. Gästanvändare debiteras månadsvis aktiv användare (MAU). Inga ytterligare licenser krävs. * | 6 |
* Azure AD External Identities (gästanvändare) baseras på månatliga aktiva användare (MAU), vilket är antalet unika användare med autentiseringsaktivitet inom en kalendermånad. Den här modellen ersätter faktureringsmodellen med förhållandet 1:5, som tillåter upp till fem gästanvändare för varje Azure AD Premium licens i din klientorganisation. När din klientorganisation är länkad till en prenumeration och du använder External Identities-funktioner för att samarbeta med gästanvändare debiteras du automatiskt med den MAU-baserade faktureringsmodellen. Mer information finns i Faktureringsmodell för Azure AD External Identities.