Поделиться через


Создание проверки доступа пакета доступа в управлении правами

Чтобы снизить риск устаревшего доступа, следует включить периодические проверки пользователей, имеющих активные назначения пакету доступа в управлении правами. Вы можете включить проверки при создании нового пакета для доступа или изменении политики назначения для существующего пакета для доступа. В этой статье описывается включение проверок доступа для пакетов доступа.

Необходимые компоненты

Чтобы включить проверку пакетов доступа, необходимо выполнить предварительные условия для создания пакета доступа.

  • Идентификатор Microsoft Entra P2 или Управление идентификацией Microsoft Entra
  • Глобальный администратор, администратор управления удостоверениями, владелец каталога или диспетчер пакетов Access

Примечание.

После минимального доступа к привилегиям рекомендуется использовать роль администратора управления удостоверениями, владельца каталога или диспетчера пакетов Access.

Дополнительные сведения см. в статье Лицензионные требования.

Создание проверки доступа для пакета доступа

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Проверки доступа можно включить при создании нового пакета для доступа или политики назначения для существующего пакета для доступа. Если у вас несколько политик запроса доступа, назначенных разным сообществам пользователей, вы можете поддерживать независимые расписания проверки доступа для каждой политики. Чтобы включить проверки доступа для назначений пакета для доступа, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

  2. Перейдите к пакету Access>для управления удостоверениями.>

  3. Чтобы создать новую политику доступа, выберите новый пакет доступа .

  4. Чтобы изменить существующую политику доступа, в меню слева выберите Пакеты доступа и откройте пакет доступа, который требуется изменить. Затем в меню слева выберите "Политики" и выберите политику с параметрами жизненного цикла, которые нужно изменить.

  5. На вкладке Жизненный цикл политики назначения для нужного пакета для доступа укажите, когда истекает срок действия для назначения пользователю этого пакета для доступа. Вы также можете указать, могут ли пользователи расширять свои назначения.

  6. В разделе Окончание срока действия задайте для параметра "Срок действия назначения пакета для доступа" значение Дата, Количество дней, Количество часов или Никогда.

    Для варианта Дата выберите дату окончания срока действия в будущем.

    Для варианта Количество дней укажите число от 0 до 3660 дней.

    В течение нескольких часов укажите количество часов.

    На основе выбора назначение пользователя пакету доступа истекает на определенную дату, определенное число дней после утверждения или никогда.

    Пакет для доступа — параметры окончания срока действия жизненного цикла

  7. Выберите "Показать расширенные параметры срока действия", чтобы отобразить другие параметры.

  8. Чтобы разрешить пользователю продлевать свои назначения, установите переключатель Разрешить пользователям продлевать доступ в значение Да.

    Если расширения разрешены в политике, пользователь получает сообщение электронной почты в течение 14 дней, а также один день до истечения срока действия назначения пакета доступа, предлагая им продлить назначение. Пользователь должен находиться в области действия политики на момент запроса продления. Кроме того, если у политики есть явная дата окончания назначений, пользователь не может продлить назначение до даты после окончания срока действия назначения, как определено в политике, распространяющейся на доступ пользователя к пакету для доступа. Например, если политика указывает, что назначение истекает 30 июня, пользователь может запросить продление только до 30 июня.

    Если доступ пользователя расширен, он не сможет запросить пакет доступа после указанной даты расширения (дата, заданная в часовом поясе пользователя, создавшего политику).

  9. Чтобы включить утверждение запросов на продление, установите для параметра Требовать утверждение запросов на продление значение Да.

    Будут использоваться те же параметры утверждения, которые были указаны на вкладке Запросы.

  10. Затем установите переключатель Требуется проверка доступа в положение Да.

    Добавьте проверку доступа

  11. Укажите дату начала проверки рядом с начальной.

  12. Затем задайте Периодичность проверки: ежегодно, два раза в год, ежеквартально или ежемесячно. Этот параметр определяет частоту проверок доступа.

  13. Задайте длительность, чтобы определить, сколько дней каждый обзор повторяющейся серии открыт для ввода от рецензентов. Например, вы можете запланировать годовую проверку, которая начинается 1 января и открыта для проверки в течение 30 дней, чтобы рецензенты имели до конца месяца ответить.

  14. Рядом с пунктом Рецензенты выберите Самостоятельный просмотр, если нужно, чтобы пользователи выполняли собственную проверку доступа, или же назначьте конкретного рецензента (-ов) при необходимости назначения рецензента. Вы также можете выбрать диспетчер , если вы хотите назначить руководителя рецензента для рецензента. Если этот параметр выбран, необходимо добавить резервный вариант для пересылки проверки в случае, если менеджер не найден в системе.

  15. Если выбраны определенные рецензенты, укажите, какие пользователи выполняют проверку доступа:

    Выберите пункт

    1. Выберите пункт Добавить рецензентов.
    2. На панели Выбор рецензентов найдите и выберите пользователей, которых нужно сделать рецензентами.
    3. Выбрав рецензентов, нажмите кнопку "Выбрать ".

    Укажите рецензентов

  16. Если вы выбрали вариант Менеджер, задайте резервного рецензента:

    1. Выберите Добавить резервных рецензентов.
    2. На панели "Выбор резервных рецензентов" найдите и выберите пользователей, которые вы хотите получить резервным рецензентом для руководителя рецензента.
    3. Выбрав резервный рецензент, нажмите кнопку "Выбрать ".

    Добавление резервных рецензентов

  17. Есть и другие дополнительные параметры, которые можно настроить. Чтобы настроить другие параметры проверки расширенного доступа, выберите "Показать параметры проверки расширенного доступа":

    1. Если вы хотите указать, что происходит с доступом пользователей, когда рецензент не отвечает, выберите "Если рецензенты не отвечают", а затем выберите один из следующих вариантов:

      • Без изменений, если не требуется принимать решение в отношении доступа пользователей.
      • Запретить доступ, если необходимо запретить доступ пользователей.
      • Принять рекомендации, если требуется принять решение с учетом рекомендаций от MyAccess.

      Добавить дополнительные параметры проверки доступа

    2. Если вы хотите просмотреть системные рекомендации, выберите "Показать помощников по принятию решений рецензентов". Системные рекомендации учитывают действия пользователей. Рецензенты видят одну из следующих рекомендаций:

      • утвердить результаты проверки, если пользователь выполнял вход по крайней мере один раз за последние 30 дней.
      • отклонить результаты проверки, если пользователь не выполнял вход за последние 30 дней.
    3. Если вы хотите, чтобы рецензент поделился своими причинами принятия решения об утверждении, выберите " Требовать обоснование рецензента". Это обоснование будут видеть и другие проверяющие, и автор запроса.

  18. Если вы создаете новый пакет доступа, нажмите кнопку "Рецензирование и создание". Выберите "Обновить" , если вы редактировать пакет доступа в нижней части страницы.

Просмотр состояния проверки доступа

После даты начала проверка доступа будет отображена в разделе Проверки доступа. Чтобы просмотреть состояние проверки доступа, выполните следующие действия.

  1. В разделе "Управление удостоверениями" выберите пакеты Access, а затем выберите пакет доступа с состоянием проверки доступа, который вы хотите проверить.

  2. Когда вы находитесь в обзоре пакета доступа, выберите "Обзоры access" в меню слева.

    Выбор проверки доступа

  3. Появится список, содержащий все политики, имеющие проверки доступа, связанные с ними. Выберите рецензирование, чтобы просмотреть его отчет.

    Список проверок доступа

  4. При просмотре отчета отображается число проверенных пользователей и действия, предпринятые рецензентом.

    Просмотр состояния проверки

Уведомления по электронной почте о проверках доступа

Для выполнения проверки можно как назначить рецензентов, так и разрешить пользователям выполнять проверку самостоятельно. По умолчанию идентификатор Microsoft Entra отправляет сообщение электронной почты рецензентам или самостоятельным рецензентам вскоре после начала проверки.

В сообщении электронной почты содержатся инструкции по просмотру доступа к пакетам. Если проверка предназначена для пользователей и имеет целью проверить их доступ, покажите им инструкции по выполнению самостоятельного анализа пакетов доступа.

Если вы назначили гостевых пользователей в качестве рецензентов, и они не приняли приглашение гостя Microsoft Entra, они не будут получать сообщения электронной почты от проверок доступа. Сначала они должны принять приглашение и создать учетную запись с идентификатором Microsoft Entra, прежде чем они смогут получать сообщения электронной почты.

Примечание.

Пока цикл проверки открыт, рецензенты всегда могут изменять свои решения о проверке доступа. В середине проверки доступа, даже если рецензент ранее принял решение, сообщение электронной почты напоминания по-прежнему отправляется рецензентам, уведомляя их о том, что цикл проверки доступа по-прежнему открыт.

Следующие шаги