Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Потребность в доступе к привилегированным ресурсам Azure и ролям Microsoft Entra пользователям с течением времени изменяется. Чтобы снизить риск, связанный с устаревшими назначениями ролей, следует регулярно пересматривать доступ. Вы можете использовать Microsoft Entra управление привилегированными пользователями (PIM) для создания проверок доступа для привилегированного доступа к ресурсу Azure и ролям Microsoft Entra. Вы также можете настроить автоматические повторные проверки доступа. В этой статье объясняется, как создать одну или несколько проверок доступа.
Предварительные условия
Для использования Управления привилегированными идентификаторами требуются лицензии. Для получения дополнительной информации о лицензировании см. основы лицензирования Microsoft Entra ID Governance.
Для получения дополнительной информации о лицензиях для PIM см. раздел Требования к лицензии для использования PIM.
Для того чтобы создавать проверки доступа для ресурсов Azure, вы должны быть назначены на роль Владелец или Администратор доступа пользователей для этих ресурсов. Чтобы создать проверки доступа для ролей Microsoft Entra, вам должна быть назначена как минимум роль Администратора привилегированных ролей.
Для использования проверок доступа для Service Principals требуется план Microsoft Entra Workload ID Premium, а также лицензия Microsoft Entra ID P2 или Microsoft Entra ID Governance.
- Лицензирование Premium для идентификаций рабочей нагрузки: Вы можете просматривать и получать лицензии на панели "Идентификации рабочей нагрузки" в Центре администрирования Microsoft Entra.
Примечание.
Проверки доступа записывают снимок состояния доступа в начале каждого экземпляра проверки. Любые изменения, внесенные во время процесса проверки, будут отражены в последующем цикле проверки. По сути, при начале каждого нового повторения извлекаются соответствующие данные о пользователях, ресурсах и их соответствующих рецензентах.
Создание проверок доступа
Войдите в Центр администрирования Microsoft Entra в качестве пользователя, которому назначена одна из необходимых ролей.
Перейдите к Управлению идентификаторами>Управлению привилегированными удостоверениями.
Для ролей Microsoft Entra выберите роли Microsoft Entra. Для ресурсов Azure выберите ресурсы Azure.
Для ролей Microsoft Entra снова выберите роли Microsoft Entra в Управление. Для ресурсов Azure выберите подписку, которой хотите управлять.
В разделе "Управление" выберите Проверки доступа, после чего выберите Создать, чтобы создать проверку доступа.
Назовите проверку доступа. При необходимости укажите описание проверки. Имя и описание отображаются для рецензентов.
Установите дату начала. По умолчанию проверка доступа выполняется один раз. Он начинается во время создания, и заканчивается в течение одного месяца. Можно изменить даты начала и окончания таким образом, чтобы проверка доступа началась в будущем и длилась необходимое количество дней.
Чтобы настроить повторяющуюся проверку доступа, измените значение параметра Частота со значения Один раз на Еженедельно, Ежемесячно, Ежеквартально, Ежегодно или Раз в полгода. Используйте ползунок длительность или текстовое поле для указания длительности проверки. Например, для ежемесячной проверки вы можете настроить продолжительность не более 27 дней, что позволяет избежать перекрытия интервалов проверки.
Параметр Окончание позволяет указать, как закончится эта серия повторяющихся проверок доступа. Серия может завершиться тремя способами: она выполняется непрерывно до бесконечности, до наступления определенной даты или после выполнения определенного числа серий. Вы (или другой администратор, который может управлять проверками) можете остановить серию после создания, указав в разделе Параметры нужную дату окончания.
В разделе Область действия пользователей выберите объем проверки. Для ролей Microsoft Entra первый вариант области — "Пользователи и группы". В этот выбор включены непосредственно назначенные пользователи и группы с возможностью назначения ролей. Для ролей ресурсов Azureпервая область — "Пользователи". При выборе этого параметра группы, назначенные ролям ресурсов Azure, развертываются для отображения транзитивных назначений пользователей в проверке. Вы также можете выбрать Сервисные принципалы, чтобы просмотреть машинные учетные записи с прямым доступом к ресурсу Azure или роли Microsoft Entra.
Кроме того, можно создавать проверки доступа только для неактивных пользователей. В разделе Область пользователей задайте для параметра Только неактивные пользователи (на уровне клиента) значение true. Если переключатель имеет значение true, область проверки фокусируется только на неактивных пользователях. Затем укажите неактивные дни. Можно указать до 730 дней (два года). Пользователи, неактивные в течение указанного числа дней, являются единственными пользователями в проверке.
В разделе «Проверка членства в роли» выберите привилегированные ресурсы Azure или роли Microsoft Entra, подлежащие проверке.
Примечание.
Если выбрать несколько ролей, будет создано несколько проверок доступа. Например, если выбрать пять ролей, будет создано пять отдельных проверок доступа.
Проведите обзор, указав в поле Тип назначения, каким образом субъект был назначен на роль. Выберите элемент Только допустимые назначения для проверки допустимых назначений (независимо от состояния активации при создании проверки) или Только активные назначения для проверки активных назначений. Выберите Все активные и подходящие назначения, чтобы просмотреть все назначения, независимо от типа.
В разделе Рецензенты выберите одного или нескольких пользователей для проверки всех пользователей. Или можно указать, чтобы участники сами проверяли собственный доступ.
- Выбранные пользователи - воспользуйтесь данным параметром, чтобы назначить конкретного пользователя для завершения обзора. Этот параметр доступен независимо от области проверки, а выбранные рецензенты могут просматривать учётные записи пользователей, групп и служб.
- Участники (самостоятельно): выберите этот параметр, чтобы пользователи сами проверяли назначенные им роли. Данный параметр доступен только в том случае, если областью проверки является Пользователи и группы или Пользователи. Для ролей Microsoft Entraгруппы с возможностью назначения ролей не являются частью проверки при выборе этого параметра.
- Менеджер - воспользуйтесь данным параметром, чтобы менеджер пользователя проверил назначение ролей. Данный параметр доступен только в том случае, если областью проверки является Пользователи и группы или Пользователи. При выборе менеджера можно также указать запасного рецензента. Запасным рецензентам поручается провести проверку пользователя, если у пользователя не указан менеджер в каталоге. Для ролей Microsoft Entraгруппы с возможностью назначения ролей проверяются резервным рецензентом при выборе.
После завершения настройки
Чтобы указать, что происходит после завершения проверки, разверните раздел Настройки после завершения.
Если вы хотите автоматически удалять доступ пользователей, для которых были получены запреты, задайте для параметра Автоматически применять результаты к ресурсу значение Включить. Если вы хотите вручную применять результаты по завершении проверки, выберите здесь значение Отключить.
Используйте список Если рецензенты не отвечают, чтобы указать, что происходит с пользователями, которые не проверены рецензентом в течение периода проверки. Этот параметр не влияет на пользователей, которые уже проверены.
- Без изменений — доступ пользователя сохраняется без изменений.
- Удалить доступ — доступ пользователя блокируется.
- Утвердить доступ — доступ пользователя утверждается.
- Применить рекомендации — воспользуйтесь рекомендацией системы для отказа или утверждения дальнейшего доступа пользователя.
Используйте список Action to apply on denied guest users (Действие, которое будет применено к гостевым пользователям, которым было отказано в доступе), чтобы указать, что происходит с гостевыми пользователями, которым было отказано в доступе. Этот параметр нельзя редактировать для Microsoft Entra ID и проверок ролей ресурсов Azure на данный момент; гостевые пользователи, как и все пользователи, всегда теряют доступ к ресурсу, если доступ отклонён.
Вы можете отправлять уведомления другим пользователям или группам для получения обновлений завершения проверки. Данная функция позволяет заинтересованным сторонам, за исключением автора обзора, получать информацию о ходе проверки. Чтобы использовать эту функцию, выберите Пользователя(-ей) или Группу(-ы) и добавьте всех пользователей или группы, которые вы хотите, чтобы получали уведомления о состоянии завершения.
При настройке после завершения - добавьте дополнительных пользователей для получения снимка экрана уведомлений.
Расширенные настройки
Чтобы настроить дополнительные параметры, разверните раздел Дополнительные параметры.
Установите Показать рекомендации в Включить, чтобы показать рецензентам системные рекомендации на основе информации о доступе пользователя. Рекомендации основаны на 30-дневном интервале. Пользователи, вошедшие в систему за последние 30 дней, отображаются с рекомендуемым утверждением доступа, в то время как пользователи, которые не вошли в систему, отображаются с рекомендуемым отказом в доступе. Эти входы совершаются независимо от того, были ли они интерактивными. Вместе с рекомендацией отображается последний вход пользователя.
Задайте для параметра Требовать причину утверждения значение Включить, чтобы требовать от рецензентов указывать причину утверждения.
Задайте для параметра Оповещения по электронной почте значение Включить, чтобы Microsoft Entra ID отправляла рецензентам по электронной почте уведомления о начале проверки доступа и сообщала администраторам о ее завершении.
Настройте напоминания, чтобы включить отправку напоминаний о текущих проверках доступа рецензентам, не завершившим свою проверку.
Содержимое электронной почты, отправленное рецензентам, автоматически создается на основе сведений о проверке, таких как имя проверки, имя ресурса и дата выполнения. Если вам нужен способ передачи дополнительных сведений, таких как дополнительные инструкции или контактные данные, можно указать эти сведения в разделе "Дополнительное содержимое для рецензента электронной почты ". Эти сведения включены в приглашение и сообщения электронной почты напоминания, отправленные назначенным рецензентам. Выделенный раздел содержит эти сведения.
Управление проверкой доступа
Вы можете отслеживать, как рецензенты завершают свои обзоры, на странице Обзор проверки доступа. Права доступа к каталогу не меняются до тех пор, пока проверка не будет завершена.
После проверки доступа выполните шаги, указанные в разделе Проведение проверки доступа к ресурсам Azure и ролям Microsoft Entra, чтобы просмотреть и применить результаты.
Если вы управляете серией проверок доступа, перейдите к проверке и найдите предстоящие проверки в запланированных проверках, измените конечную дату или добавьте/удалите рецензентов.
В зависимости от вашего выбора в Настройках по завершении автоматическое применение будет выполнено после даты окончания проверки или когда вы вручную остановите проверку. Статус проверки изменяется с Завершено через промежуточные состояния, такие как Применение, и, наконец, к состоянию Применен. Следует ожидать, что запрещенные пользователи, при наличии таковых, будут удалены из ролей спустя несколько минут.
Влияние групп, назначенных ролям Microsoft Entra и ролям ресурсов Azure в проверках доступа
• Для ролей Microsoft Entra, группы, которым можно назначить роли, могут быть назначены на роль с помощью групп, которым можно назначить роли. При создании проверки роли Microsoft Entra с группами, которым могут быть назначены роли, имя группы отображается в проверке без расширения членства в группе. Рецензент может утвердить или запретить доступ для всей группы к роли. Отклоненные группы теряют свое назначение роли при применении результатов проверки.
• Для ролей ресурсов Azure любой группе безопасности можно назначить роль. При создании обзора для роли ресурса Azure с назначенной группой безопасности, рецензенты ролей могут видеть полностью развернутое представление участников группы. Если рецензент отказывает пользователю в роли, назначенной через группу безопасности, пользователь не удаляется из группы. Это связано с тем, что группа может быть предоставлена другим ресурсам Azure или ресурсам, не связанным с Azure. Администраторы должны реализовать изменения, вызванные отказом доступа.
Примечание.
Группа безопасности может назначить для этого другие группы. В этом случае в проверке роли будут отображаться только пользователи, назначенные непосредственно в группу безопасности, назначенную данной роли.
Обновление проверки доступа
После запуска одной или нескольких проверок доступа может потребоваться изменить или обновить параметры существующих проверок доступа. Ниже приведено несколько распространенных сценариев, которые может потребоваться рассмотреть.
Добавление и удаление рецензентов . При обновлении проверок доступа вы можете добавить резервного рецензента в дополнение к основному рецензенту. При обновлении проверки доступа основные рецензенты могут быть удалены. Тем не менее, резервных рецензентов нельзя удалить по замыслу.
Примечание.
Резервных рецензентов можно добавлять, только если типом рецензента является "Руководитель". Основных рецензентов можно добавлять, если выбран тип рецензента "Пользователь".
Напоминая рецензентам . При обновлении проверок доступа можно включить параметр напоминания в разделе "Дополнительные параметры". После включения пользователи получают уведомление по электронной почте в середине периода проверки. Рецензенты получают уведомления независимо от того, завершили ли они проверку.
Обновление параметров. Если проверка доступа повторяется, то в разделах "Текущий" и "Серия" доступны отдельные параметры. Изменения параметров в разделе "Текущий" будут применены только к текущей проверке доступа, а изменения параметров в разделе "Серия" будут действовать для всех последующих повторений.
Примечание.
Создание проверок доступа для ресурсов Azure с помощью AOBO (от имени администратора) в рамках плана Azure не поддерживается. Если вы партнер CSP управляет подпиской клиента с помощью AOBO, вы не можете создавать проверки доступа из собственного клиента (партнера).
Решение:
Добавьте партнера CSP в качестве гостевого пользователя в клиент клиента с необходимыми разрешениями и создайте проверку доступа из клиента.