Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлен обзор расширенных возможностей управления удостоверениями, доступных образовательным учреждениям с Microsoft 365 A5. В ней рассматриваются основные понятия и инструменты, включая проверки доступа и управление правами, чтобы помочь ит-специалистам и группам безопасности управлять доступом пользователей, поддерживать соответствие требованиям и защищать конфиденциальные данные в динамических академических средах.
Требования
- лицензия Microsoft 365 A5
Роли и обязанности.
- ИТ-Администратор
- Администратор удостоверений
- OneDrive Администратор
- Администратор SharePoint
- EXO Администратор
- Администратор безопасности
- Администратор соответствия требованиям
Базовые сертификации и проверки доступа
Базовые сертификации и проверки доступа в сфере образования — это структурированный процесс периодической проверки доступа к каким ресурсам, например приложениям, группам и данным, в ИТ-среде учебного заведения. Этот процесс необходим для обеспечения безопасности, обеспечения соответствия требованиям и минимизации ненужного или рискованного доступа, особенно в динамических средах, таких как школы и университеты.
Что такое сертификации и проверки доступа?
В Управление Microsoft Entra ID проверки доступа позволяют учреждениям:
- Проверка и сертификация доступа пользователей к приложениям, группам и ролям.
- Убедитесь, что только правильные пользователи сохраняют доступ к конфиденциальным или привилегированным ресурсам.
- Автоматизация отзыва доступа, когда он больше не нужен.
Эти проверки можно настроить для выполнения по расписанию (например, ежеквартально) и быть ориентированы на внутренних пользователей, гостевых пользователей или привилегированных ролей. Они полезны в образовании, когда учащиеся, преподаватели и сотрудники часто меняют роли, заканчивают или покидают учебное заведение.
Основные возможности для образования:
| Функция | Описание |
|---|---|
| Многоэтапные проверки | Можно настроить до трех этапов проверки, что позволяет руководителям отделов, ИТ-администраторам и сотрудникам по обеспечению соответствия требованиям последовательно проверять доступ. |
| Автоматическое исправление | Доступ автоматически отменяется для пользователей, которым отказано в доступе или которым не удается ответить. |
| Назначение ролей и групп | Проверки можно ограничить группами Microsoft 365, Teams, приложениями или привилегированными ролями. |
| Самостоятельная аттестация | Пользователям может быть предложено оправдать их постоянный доступ, что особенно полезно для гостевых пользователей или временного персонала. |
Преимущества для образовательных учреждений:
- Соответствие требованиям. Помогает удовлетворить требования FERPA, GDPR и внутреннего аудита.
- Безопасность: снижает риск, удаляя устаревший или избыточный доступ.
- Эффективность. Автоматизирует то, что в противном случае было бы ручным процессом, подверженным ошибкам.
- Прозрачность. Предоставляет журналы аудита и отчеты для команд управления
Базовое управление правами
Базовое управление правами — это базовые процессы и средства, используемые для управления и автоматизации доступа к цифровым ресурсам, таким как приложения, Microsoft Teams, сайты SharePoint и группы безопасности, для учащихся, преподавателей, сотрудников и внешних участников совместной работы. Это в основном предоставляется через управление правами Microsoft Entra ID, которое входит в Microsoft 365 A5 или доступно в качестве надстройки для A3.
Что такое управление правами?
Управление правами позволяет учреждениям:
- Объединение ресурсов в пакеты доступа (например, пакет для "Математический факультет" может включать доступ к Teams, системам оценки и сайтам SharePoint).
- Автоматизация запросов на доступ с помощью портала самообслуживания (Мой доступ).
- Определите рабочие процессы утверждения для доступа (например, утверждение руководителя отдела или ИТ-администратора).
- Настройте политики истечения срока действия, чтобы автоматически удалять доступ, когда он больше не нужен.
- Периодически проверяйте и сертифицировать доступ, чтобы обеспечить соответствие требованиям.
Это полезно в образовательных организациях, где пользователи часто меняют роли (например, учащиеся, выпускники, адаптация преподавателей) и где внешние участники совместной работы (например, приглашенные лекторы, исследователи) нуждаются в временном доступе.
Варианты использования для образовательных учреждений:
- Доступ на основе курса. Автоматически предоставляет учащимся доступ к Teams, OneNote и приложениям на основе регистрации на курсах.
- Адаптация преподавателей. Подготовка доступа к системам управления персоналом, учебным программам и ресурсам отдела на основе роли.
- Гостевой доступ: безопасное подключение внешних исследователей или гостевых лекторов с ограниченным доступом по времени.
- Принудительное применение политики. Применяйте политики соответствия (например, GDPR, FERPA) к правами с помощью таких средств, как BYOE (предоставление собственного права) и интеграций диспетчера конфиденциальности.
Основные возможности:
| Функция | Описание |
|---|---|
| Пакеты доступа | Группирование приложений, групп и сайтов в многоразовые пакеты. |
| Подключенные организации | Управление доступом для внешних пользователей из партнерских учреждений. |
| Рабочие процессы утверждения | Многоэтапные утверждения для конфиденциальных запросов на доступ. |
| Проверки доступа | Периодическая повторная сертификация доступа для обеспечения минимальных привилегий. |
| Политики истечения срока действия | Автоматическое удаление доступа по истечении заданного периода. |
Интеграция с Microsoft 365 для образования:
- Microsoft Teams для совместной работы с классом и персоналом
- SharePoint и OneDrive для безопасного общего доступа к содержимому
- Microsoft Intune для соответствия устройств
- School Data Sync (SDS) для автоматической подготовки на основе реестра
Управление правами — разделение обязанностей
Управление правами с разделением обязанностей (SOD) в образовании — это стратегия управления, которая гарантирует пользователям, таким как учащиеся, преподаватели, сотрудники и внешние участники совместной работы, только доступ, необходимый им для выполнения своих ролей. Такой подход помогает учебным заведениям обеспечить минимальные привилегии, снизить внутренний риск и обеспечить соответствие требованиям, таким как FERPA, GDPR и SOX.
Что такое разделение обязанностей в управлении правами?
Разделение обязанностей (SOD) — это принцип безопасности, который предотвращает чрезмерный контроль над критически важными системами или данными. В контексте управления правами Microsoft Entra ID soD применяется следующим образом:
- Определение пакетов доступа с четкими границами.
- Требуются многоэтапные утверждения для конфиденциального доступа.
- Использование делегирования на основе ролей для распределения ответственности между создателями, владельцами каталогов и диспетчерами пакетов доступа.
- Аудит журнала доступа, чтобы гарантировать, что пользователь не накапливает конфликтующие роли с течением времени.
SoD имеет важное значение в образовательных учреждениях, где пользователи часто занимают несколько ролей (например, преподаватель, который также является председателем отдела) и где внешним участникам совместной работы может потребоваться временный доступ.
Варианты использования для образовательных учреждений:
- Информационные системы учащихся (SIS). Запрещает одному пользователю вводить и утверждать оценки или решения о финансовой помощи.
- Исследовательские среды. Убедитесь, что ни один пользователь не может одновременно подготавливать и утверждать доступ к конфиденциальным наборам данных.
- Роли ИТ-администратора. Отделяйте обязанности между теми, кто управляет пакетами доступа, и теми, кто их утверждает, что снижает риск злоупотребления привилегиями.
Основные возможности в Microsoft Entra:
| Функция | Описание |
|---|---|
| Пакеты доступа | Объединение приложений, групп и сайтов в управляемые единицы с помощью определенных рабочих процессов утверждения. |
| Делегированные роли | Создатели каталога, владельцы каталогов и диспетчеры пакетов доступа имеют определенные обязанности. |
| Журналы аудита | Отслеживайте, кто запрашивал, утверждал и использовал доступ. Это важно для соответствия требованиям и расследований. |
| Доступ с ограничением по времени | Автоматически истекает срок действия доступа, чтобы предотвратить ползучести привилегий. |
Управление привилегированными пользователями (PIM)
управление привилегированными пользователями (PIM) в образовании — это Microsoft Entra ID функция, позволяющая учреждениям управлять привилегированным доступом к критически важным ресурсам, таким как Microsoft 365, Azure, Intune,, и другие веб-службы Майкрософт — JIT-активация ролей, активация ролей с привязкой к времени и на основе утверждения. Это помогает снизить риск чрезмерного, ненужного или неправильного доступа, что особенно важно в образовательных средах, где пользователи часто занимают несколько ролей или часто переходят.
Что PIM делает в образовании:
- Сведите к минимуму постоянные привилегии, назначив роли как "допустимые", а не "активные".
- Обеспечение JIT-доступа, чтобы пользователи активировали роли только при необходимости.
- Требовать утверждения и обоснования для активации ролей, повышая подотчетность.
- Принудительное применение MFA перед активацией привилегированных ролей.
- Аудит и проверка доступа с помощью встроенных отчетов и проверок доступа.
PIM полезен в образовательных учреждениях, где ИТ-сотрудникам, преподавателям и учащимся может потребоваться временный повышенный доступ к таким системам, как SIS, LMS или административные порталы.
Варианты использования для образовательных учреждений:
- ИТ-администраторы: предоставьте временный доступ Azure или Intune для управления устройствами или обновлений политик.
- Преподаватели: предоставьте ограниченный по времени доступ к защищенным исследовательским средам или наборам данных.
- Учащиеся: разрешите доступ к средствам администрирования только во время запланированных смен или проектов.
- Внешние участники совместной работы: обеспечение безопасного и проверяемого доступа для гостевых лекторов или партнерских учреждений.
Основные возможности:
| Функция | Описание |
|---|---|
| Доступ с ограничением по времени | Роли активируются только в течение определенного периода. |
| Рабочие процессы утверждения | Активация роли может требовать утверждения от назначенных рецензентов. |
| Применение MFA | Обеспечивает строговую проверку подлинности перед предоставлением доступа с повышенными привилегиями. |
| Проверки доступа | Периодические проверки для подтверждения того, что пользователи по-прежнему нуждаются в своих ролях. |
| Журналы аудита | Полная видимость того, кто что, когда и почему активировал. |
Требования к лицензированию:
- Для PIM требуется лицензия Microsoft Entra ID плана 2, которая включена в Microsoft 365 A5, обычно используемой в образовательных учреждениях.
- Его также можно добавить в среды A3 в качестве обновления.