Поделиться через

Создание проверки доступа пакета доступа в управлении правами

  • Статья

Чтобы снизить риск устаревшего доступа, следует включить периодические проверки пользователей, имеющих активные назначения пакету доступа в управлении правами. Вы можете включить проверки при создании нового пакета для доступа или изменении политики назначения для существующего пакета для доступа. В этой статье описывается, как включить проверки доступа для пакетов доступа.

Предварительные условия

Для использования этой функции требуются лицензии Microsoft Entra ID Governance или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, ознакомьтесь с основами лицензирования управления идентификаторами Microsoft Entra ID.

Создайте обзор доступа для пакета доступа

Вы можете включить проверки доступа при создании пакета доступа или редактировании существующей политики назначения пакетов доступа . Если у вас несколько политик запроса доступа, назначенных разным сообществам пользователей, вы можете поддерживать независимые расписания проверки доступа для каждой политики. Чтобы включить проверки доступа для назначений пакета доступа, выполните следующие действия.

  1. Авторизуйтесь в Центр администрирования Microsoft Entra как минимум Администратор управления удостоверениями.

  2. Перейдите к Управление идентификаторами>Обзоры доступа>Пакет доступа.

  3. Чтобы создать новую политику доступа, выберите новый пакет доступа .

  4. Чтобы изменить существующую политику доступа, в меню слева выберите пакеты Access и откройте пакет доступа, который требуется изменить. Затем в меню слева выберите "Политики" и выберите политику с параметрами жизненного цикла, которые нужно изменить.

  5. Откройте вкладку Lifecycle политики назначения пакета доступа, чтобы указать, когда истекает срок действия назначения пользователя в пакет доступа. Вы также можете указать, могут ли пользователи расширять свои назначения.

  6. В разделе "Срок действия" задайте срок действия назначений пакетов Access на дату, количество дней, количество часов или никогда.

    Для поля "Дата" выберите будущую дату окончания срока действия.

    Для количества дней укажите число от 0 до 3660 дней.

    Укажите количество часов.

    На основе вашего выбора срок действия назначения пользователя к пакету доступа истекает на конкретную дату, через определенное количество дней после его утверждения или может никогда не истечь.

    Пакет доступа — параметры срока действия жизненного цикла

  7. Выберите "Показать расширенные параметры срока действия", чтобы отобразить другие параметры.

  8. Чтобы разрешить пользователю продлить свои задания, установите для Разрешить пользователям продление доступа значение Да.

    Если расширения разрешены в политике, пользователь получает сообщение электронной почты в течение 14 дней, а также один день до истечения срока действия назначения пакета доступа, предлагая им продлить назначение. Пользователь должен находиться в области действия политики на момент запроса продления. Кроме того, если в политике указана явная дата окончания назначений, и пользователь подает запрос на продление доступа, дата продления в запросе должна быть не позже даты окончания назначений, как определено в политике, которая использовалась для предоставления пользователю доступа к пакету доступа. Например, если политика указывает, что назначение истекает 30 июня, пользователь может запросить продление только до 30 июня.

    Если доступ пользователя расширен, он не сможет запросить пакет доступа после указанной даты расширения (дата, заданная в часовом поясе пользователя, создавшего политику).

  9. Чтобы требовать утверждение для предоставления продления, установите "Требовать утверждение для предоставления продления" в значение "Да".

    Будут использоваться те же параметры утверждения, которые были указаны на вкладке Запросы.

  10. Затем переместите переключатель "Требовать проверки доступа" в "Да".

    Добавление проверки доступа

  11. Укажите дату начала отзывов рядом с начиная с.

  12. Затем задайте частоту проверкивгод, в два года, ежеквартально или ежемесячно. Этот параметр определяет частоту проверок доступа.

  13. Установите длительность, чтобы определить, на сколько дней открыта для внесения комментариев рецензентами каждая ревизия повторяющейся серии. Например, вы можете запланировать годовую проверку, которая начинается 1 января и открыта для проверки в течение 30 дней, чтобы рецензенты имели до конца месяца ответить.

  14. Рядом с рецензентами выберите "Самостоятельная проверка ", если вы хотите, чтобы пользователи выполняли собственную проверку доступа или выберите "Определенные рецензенты" , если вы хотите назначить рецензента. Вы также можете выбрать руководитель, если хотите назначить руководителя рецензента в качестве рецензента. Если этот параметр выбран, необходимо добавить резервный вариант для пересылки проверки в случае, если менеджер не найден в системе.

  15. Если выбраны определенные рецензенты, укажите, какие пользователи выполняют проверку доступа:

    Выбор

    1. Выберите "Добавить рецензентов".
    2. В области "Выбор рецензентов" найдите и выберите пользователей, которые хотите быть рецензентом.
    3. Выбрав рецензентов, нажмите кнопку "Выбрать ".

    Указание рецензентов

  16. Если выбран диспетчер, укажите резервный рецензент:

    1. Выберите "Добавить резервных рецензентов".
    2. На панели "Выбор резервных рецензентов" найдите и выберите пользователей, которые вы хотите получить резервным рецензентом для руководителя рецензента.
    3. Выбрав своих запасных рецензентов, нажмите кнопку "Выбрать".

    Добавление резервных рецензентов

  17. Есть и другие дополнительные параметры, которые можно настроить. Чтобы настроить другие параметры проверки расширенного доступа, выберите "Показать параметры проверки расширенного доступа":

    1. Если вы хотите указать, что происходит с доступом пользователей, когда рецензент не отвечает, выберите "Если рецензенты не отвечают", а затем выберите один из следующих вариантов:

      • Нет изменений , если вы не хотите принять решение о доступе пользователей.
      • Удалите доступ , если вы хотите удалить доступ пользователей.
      • Примите рекомендации , если вы хотите принять решение на основе рекомендаций из MyAccess.

      Добавление параметров проверки расширенного доступа

    2. Если вы хотите просмотреть системные рекомендации, выберите "Показать помощников по принятию решений рецензентов". Системные рекомендации учитывают действия пользователей. Рецензенты видят одну из следующих рекомендаций:

      • подтвердите проверку, если пользователь выполнил вход по крайней мере один раз за последние 30 дней.
      • запретить проверку, если пользователь не вошел в систему за последние 30 дней.

    3. Если вы хотите, чтобы рецензент поделился своими причинами принятия решения об утверждении, выберите "Требовать обоснование рецензента". Это обоснование будут видеть и другие проверяющие, и автор запроса.

  18. Выберите Просмотр и создание или выберите далее, если вы создаете новый пакет доступа. Выберите "Обновить", если вы редактируете пакет доступа, на нижней части страницы.

Просмотр состояния проверки доступа

После даты начала проверка доступа будет указана в разделе "Проверки доступа ". Чтобы просмотреть состояние проверки доступа, выполните следующие действия.

  1. В разделе "Управление удостоверениями" выберите пакеты доступа, а затем выберите пакет доступа с состоянием проверки доступа, который вы хотите проверить.

  2. Когда вы находитесь в обзоре пакета доступа, выберите Обзоры доступа в меню слева.

    Выберите проверки доступа

  3. Появится список, содержащий все политики, к которым относятся проверки доступа. Выберите рецензирование, чтобы просмотреть его отчет.

    Список проверок доступа

  4. При просмотре отчета отображается число проверенных пользователей и действия, предпринятые рецензентом.

    Просмотр состояния проверки

Уведомления по электронной почте о проверках доступа

Вы можете назначить рецензентов, или пользователи могут самостоятельно проверять свой доступ. По умолчанию идентификатор Microsoft Entra отправляет сообщение электронной почты рецензентам или самостоятельным рецензентам вскоре после начала проверки.

В сообщении электронной почты содержатся инструкции по обзору доступа к пакетам доступа. Если проверка предназначена для пользователей и имеет целью проверить их доступ, покажите им инструкции по выполнению самостоятельного анализа пакетов доступа.

Если вы назначили гостевых пользователей в качестве рецензентов, и они не приняли приглашение гостя Microsoft Entra, они не будут получать сообщения электронной почты от проверок доступа. Сначала они должны принять приглашение и создать учетную запись с идентификатором Microsoft Entra, прежде чем они смогут получать сообщения электронной почты.

Примечание.

Пока цикл проверки открыт, рецензенты всегда могут изменять свои решения о проверке доступа. В середине проверки доступа, даже если рецензент ранее принял решение, сообщение электронной почты напоминания по-прежнему отправляется рецензентам, уведомляя их о том, что цикл проверки доступа по-прежнему открыт.

Следующие шаги