Azure AD Access Review

Posted on by vanyurikhin

Вы создаете группу в Azure AD для приложения или сервиса, куда по необходимости могут добавлять людей. Назначаете владельцев группы, которые должны управлять членством в группе, и уходите в закат, заниматься другими админскими делами.

Но через какое то время вы возвращаетесь и видите, что в группе находятся сотни людей. И большинство из них вообще не знает, зачем они в этой группе.

Знакомая ситуация?

Скорее всего очень знакомая. Поэтому уже есть способы если не решить ее, то хотя бы минимизировать величину проблемы.

В Azure AD есть встроенная функция – Azure AD Access Review. Смысл ее заключается в осуществлении проверки кому нужен доступ, предоставляемый через эту группу, а кого можно удалить. Вы можете задать периодичность проведения этой проверки, указать “проверяющих”, что произойдет, если “проверяющий” не ответит на запрос и т.д.

Для начала определимся с тем, что необходимо для использования этой функциональности, а именно требования по лицензии. Требуется лицензия Azure AD Premium P2, но только для “проверяющих”. Рассмотрим два сценария:

  • У вас 3 группы с 100 пользователями в каждой из них. У каждой группы по одному владельцу и вы хотите, чтобы они проверяли необходимость наличия людей в группе. По итогу, нам тут нужны лицензии только у этих 3х владельцев.
  • У вас одна группа, в которой 100 пользователей. И вы хотите, чтобы сами пользователи решали нужен им доступ, или нет. В этом случае, каждый из пользователей должен иметь лицензию.

Рассмотрим процесс создания проверки на основе security группы. Для того чтобы создать проверку, нужно открыть свойства группы и нажать на Access Reviews > New access review.

Выбираем проверять гостевые учетные записи или все.

Далее выставляем “проверяющих”. Тут есть несколько опций:

  • Владельцы группы – при этом появится дополнительная опция указать дополнительных “проверяющих”, которые буду задействованы если владельцев группы не существует.
  • Других пользователей или группы – удобно, если вы хотите делегировать управление группой.
  • Пользователи сами проводят проверку.
  • Руководители пользователей проводят оценку необходимости наличия в группе.

После этого выставляем периодичность проверки.

Далее появляются дополнительные настройки.

Тут вы можете указать:

  • Должны ли выполняться действия автоматически после проведения проверки. Либо вы хотите просто собрать ответы и осуществить действие руками.
  • Что делать, если “проверяющий” ничего не ответил. Опции – Не делать ничего/Оставить доступ/Удалить доступ/Довериться рекомендациям самого Azure(основывается на дате последнего логина)
  • Показывать ли информацию, что учетная запись не осуществляла вход последние 30 дней.
  • Требовать ли описания причины предоставления доступа или удаления.
  • Высылать ли письма о начале процесса и его окончании.
  • Нужны ли напоминания.
  • Указать дополнительный текст в письме.

После этого вы создаете проверку и можете ее увидеть в свойствах группы.

В момент запуска проверки будет выслано примерно такое письмо.

“Проверяющий” сможет осуществить проверку на портале и выбрать действие по каждому пользователю.

В процессе проведения проверки, или после того как она закончилась, администратор всегда сможет увидеть состояние проверки в свойствах. В последствии это же может пользоваться для аудита.

%d bloggers like this: