Vad är åtkomstgranskningar?
Åtkomstgranskningar i Microsoft Entra ID, en del av Microsoft Entra, gör det möjligt för organisationer att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Användaråtkomst kan granskas regelbundet för att se till att endast rätt personer har fortsatt åtkomst.
Här är en video som ger en snabb översikt över åtkomstgranskningar:
Varför är åtkomstgranskningar viktiga?
Med Microsoft Entra-ID kan du samarbeta med användare inifrån din organisation och med externa användare. Användare kan ansluta till grupper, bjuda in gäster, ansluta till molnappar och fjärransluta från sina arbetsenheter eller personliga enheter. Bekvämligheten med att använda självbetjäning har lett till ett behov av bättre åtkomsthanteringsfunktioner.
- Hur ser du till att de har den åtkomst de behöver för att vara produktiva när nya medarbetare ansluter sig?
- Hur ser du till att deras gamla åtkomst tas bort när personer flyttar team eller lämnar företaget?
- För höga åtkomsträttigheter kan leda till kompromisser.
- Överdriven åtkomsträtt kan också leda till granskningsresultat eftersom de tyder på bristande kontroll över åtkomsten.
- Du måste proaktivt samarbeta med resursägare för att säkerställa att de regelbundet granskar vem som har åtkomst till deras resurser.
När ska du använda åtkomstgranskningar?
- För många användare i privilegierade roller: Det är en bra idé att kontrollera hur många användare som har administrativ åtkomst, hur många av dem som är globala administratörer och om det finns inbjudna gäster eller partners som inte har tagits bort efter att ha tilldelats att utföra en administrativ uppgift. Du kan omcertifiera rolltilldelningsanvändare i Microsoft Entra-roller som globala administratörer eller Azure-resursroller, till exempel administratör för användaråtkomst i PIM-upplevelsen (Microsoft Entra Privileged Identity Management).
- När automatisering inte är möjligt: Du kan skapa regler för dynamiskt medlemskap i säkerhetsgrupper eller Microsoft 365-grupper, men vad händer om HR-data inte finns i Microsoft Entra-ID eller om användarna fortfarande behöver åtkomst efter att ha lämnat gruppen för att träna sin ersättning? Du kan sedan skapa en granskning i gruppen för att säkerställa att de som fortfarande behöver åtkomst behåller åtkomsten.
- När en grupp används för ett nytt syfte: Om du har en grupp som ska synkroniseras med Microsoft Entra-ID, eller om du planerar att aktivera programmet Salesforce för alla i gruppen Säljteam, är det bra att be gruppägaren att granska gruppmedlemskapet innan gruppen används i ett annat riskinnehåll.
- Affärskritisk dataåtkomst: för vissa resurser, till exempel affärskritiska program, kan det krävas som en del av efterlevnadsprocesserna för att be människor att regelbundet bekräfta och motivera varför de behöver fortsatt åtkomst.
- För att upprätthålla en princips undantagslista: I en idealisk värld skulle alla användare följa åtkomstprinciperna för att skydda åtkomsten till organisationens resurser. Ibland finns det dock affärsfall som kräver att du gör undantag. Som IT-administratör kan du hantera den här uppgiften, undvika övervakning av principfel och ge granskare bevis på att dessa undantag granskas regelbundet.
- Be gruppägare att bekräfta att de fortfarande behöver gäster i sina grupper: Medarbetarnas åtkomst kan automatiseras med andra funktioner för identitets- och åtkomsthantering, till exempel livscykelarbetsflöden baserat på data från en HR-källa, men inte inbjudna gäster. Om en grupp ger gästerna åtkomst till företagskänsligt innehåll är det gruppägarens ansvar att bekräfta att gästerna fortfarande har ett legitimt affärsbehov för åtkomst.
- Få granskningar återkommande med jämna mellanrum: Du kan ställa in återkommande åtkomstgranskningar av användare med angivna frekvenser, till exempel varje vecka, varje månad, kvartalsvis eller årligen, och granskarna meddelas i början av varje granskning. Granskare kan godkänna eller neka åtkomst med ett användarvänligt gränssnitt och med hjälp av smarta rekommendationer.
Kommentar
Om du är redo att prova åtkomstgranskningar kan du ta en titt på Skapa en åtkomstgranskning av grupper eller program
Var skapar du recensioner?
Beroende på vad du vill granska skapar du antingen din åtkomstgranskning i åtkomstgranskningar, Microsoft Entra-företagsappar, PIM eller berättigandehantering.
| Åtkomsträttigheter för användare | Granskare kan | Granska som skapats i | Granskningsupplevelse |
|---|---|---|---|
| SäkerhetsgruppmedlemmarOffice-gruppmedlemmar | Angivna granskareGruppägareSjälvgranskning | åtkomstgranskningarav Microsoft Entra-grupper | Åtkomstpanel |
| Tilldelad till en ansluten app | Angivna granskaresjälvgranskning | åtkomstgranskningarav Microsoft Entra Enterprise-appar | Åtkomstpanel |
| Microsoft Entra-roll | Angivna granskaresjälvgranskning | PIM | Administrationscenter för Microsoft Entra |
| Azure-resursroll | Angivna granskaresjälvgranskning | PIM | Administrationscenter för Microsoft Entra |
| Åtkomstpakettilldelningar | Angivna granskareGruppmedlemmarSjälvgranskning | berättigandehantering | Åtkomstpanel |
Licenskrav
För att kunna använda den här funktionen krävs Microsoft Entra ID Governance-prenumerationer för organisationens användare. Vissa funktioner i den här funktionen kan fungera med en Microsoft Entra ID P2-prenumeration, se artiklarna i varje funktion för mer information. Information om hur du hittar rätt licens för dina krav finns i Grunderna för Microsoft Entra ID-styrningslicensiering.
Kommentar
För att skapa en granskning av inaktiva användare och med rekommendationer för användar-till-grupp-anslutning krävs en Microsoft Entra ID-styrningslicens.
Nästa steg
- Förbereda för en åtkomstgranskning av användarnas åtkomst till ett program
- Skapa en åtkomstgranskning av grupper eller program
- Skapa en åtkomstgranskning av användare i en administrativ Microsoft Entra-roll
- Granska åtkomsten till grupper eller program
- Slutför en åtkomstgranskning av grupper eller program