Вы создаете группу в Azure AD для приложения или сервиса, куда по необходимости могут добавлять людей. Назначаете владельцев группы, которые должны управлять членством в группе, и уходите в закат, заниматься другими админскими делами.
Но через какое то время вы возвращаетесь и видите, что в группе находятся сотни людей. И большинство из них вообще не знает, зачем они в этой группе.
Знакомая ситуация?
Скорее всего очень знакомая. Поэтому уже есть способы если не решить ее, то хотя бы минимизировать величину проблемы.
В Azure AD есть встроенная функция – Azure AD Access Review. Смысл ее заключается в осуществлении проверки кому нужен доступ, предоставляемый через эту группу, а кого можно удалить. Вы можете задать периодичность проведения этой проверки, указать “проверяющих”, что произойдет, если “проверяющий” не ответит на запрос и т.д.
Для начала определимся с тем, что необходимо для использования этой функциональности, а именно требования по лицензии. Требуется лицензия Azure AD Premium P2, но только для “проверяющих”. Рассмотрим два сценария:
- У вас 3 группы с 100 пользователями в каждой из них. У каждой группы по одному владельцу и вы хотите, чтобы они проверяли необходимость наличия людей в группе. По итогу, нам тут нужны лицензии только у этих 3х владельцев.
- У вас одна группа, в которой 100 пользователей. И вы хотите, чтобы сами пользователи решали нужен им доступ, или нет. В этом случае, каждый из пользователей должен иметь лицензию.
Рассмотрим процесс создания проверки на основе security группы. Для того чтобы создать проверку, нужно открыть свойства группы и нажать на Access Reviews > New access review.
Выбираем проверять гостевые учетные записи или все.
Далее выставляем “проверяющих”. Тут есть несколько опций:
- Владельцы группы – при этом появится дополнительная опция указать дополнительных “проверяющих”, которые буду задействованы если владельцев группы не существует.
- Других пользователей или группы – удобно, если вы хотите делегировать управление группой.
- Пользователи сами проводят проверку.
- Руководители пользователей проводят оценку необходимости наличия в группе.
После этого выставляем периодичность проверки.
Далее появляются дополнительные настройки.
Тут вы можете указать:
- Должны ли выполняться действия автоматически после проведения проверки. Либо вы хотите просто собрать ответы и осуществить действие руками.
- Что делать, если “проверяющий” ничего не ответил. Опции – Не делать ничего/Оставить доступ/Удалить доступ/Довериться рекомендациям самого Azure(основывается на дате последнего логина)
- Показывать ли информацию, что учетная запись не осуществляла вход последние 30 дней.
- Требовать ли описания причины предоставления доступа или удаления.
- Высылать ли письма о начале процесса и его окончании.
- Нужны ли напоминания.
- Указать дополнительный текст в письме.
После этого вы создаете проверку и можете ее увидеть в свойствах группы.
В момент запуска проверки будет выслано примерно такое письмо.
“Проверяющий” сможет осуществить проверку на портале и выбрать действие по каждому пользователю.
В процессе проведения проверки, или после того как она закончилась, администратор всегда сможет увидеть состояние проверки в свойствах. В последствии это же может пользоваться для аудита.
