Использование функции управления правами в Azure AD для управления идентификацией

Microsoft Azure Active Directory Premium позволяет организациям использовать функцию . Используя управление правами, мы разрешаем пользователям запрашивать доступ к нескольким типам приложений (включая группы безопасности Azure AD, группы и команды Office 365, приложения Azure AD и сайты SharePoint Online). Запрос может иметь несколько атрибутов: роль, процесс утверждения с коммерческим обоснованием или без него, срок действия запроса и т. д.

При использовании этой функции дизайн имеет жизненно важное значение и сокращает объем операций, а также может возлагать на бизнес или владельца приложения ответственность за контроль доступа к приложению/рабочей нагрузке, за которую они несут ответственность. Это помогает автоматизировать большинство шагов, необходимых в течение жизненного цикла приложения.

Понимание сценария управления правами

В этой статье у нас есть группа Watchmen в Microsoft Teams, которая является общедоступной группой, к которой могут присоединиться все супергерои Watchmen (тема этой статьи будет посвящена вселенной Watchmen). Однако есть особое задание — допустим, у них есть новый проект по спасению планеты от Армагеддона. Они создали новую частную под названием Russia Nuclear Crisis, а владельцем (на данный момент) является доктор Манхэттен (Джон Остерманн).

Мы можем видеть члена на изображении ниже. Мы могли бы использовать традиционный подход, при котором любой на уровне команды может добавлять участников или использовать (об этом мы расскажем в блоге здесь, на TechGenix, следите за обновлениями!).

Мы будем использовать более элегантный подход, используя Azure Active Directory Premium, и мы будем использовать функцию управления правами. Все начинается с создания , который сначала будет инкапсулировать приложения, роли и жизненный цикл, а после этого остается просто разрешить пользователям использовать этот процесс для получения доступа к любому данному приложению, поддерживаемому функцией.

Создание пакетов доступа

На странице мы начнем с определения имени и хорошего описания. Затем мы нажмем «Создать новый каталог» и пометим новый каталог как Microsoft Office 365, как показано на изображении ниже. Нажмите «Создать», а затем «Далее: роли ресурсов».

На странице « нажмите «Группы и команды» (пункт 1) и выберите нужную из списка. Как только элемент будет добавлен, выберите (Пункт 2). В нашем случае мы создаем . Щелкните Далее: Запросы.

На странице выберите первый квадрат: Для пользователей в вашем каталоге, а затем выберите Все участники (кроме гостей). Мы собираемся запросить утверждение, принудительное обоснование и одноэтапное (однократное утверждение).

На этой же странице в разделе выберите «Выбрать конкретных утверждающих» и нажмите «Добавить утверждающих». В нашем сценарии доктор Манхэттен (Джон Остерманн) является владельцем бизнеса, поэтому давайте выберем этого пользователя из списка. Помимо утверждающего, мы можем указать количество дней ожидания решения. Мы установим два дня, и последний параметр требует обоснования утверждающего.

В последнем параметре выберите «Да» в разделе Когда вы закончите свой выбор, нажмите «Далее: жизненный цикл».

На странице мы выберем количество дней и будем использовать два дня, как указано в подписке. Мы можем связать этот пакет доступа с функцией проверки доступа, но пока выберем Нет. Нажмите «Далее: просмотр + создание».

Сводка всех настроек, определенных до сих пор в этом мастере, нажмите «Создать», чтобы начать процесс создания. Результатом станет страница . На этой странице будут представлены все основные параметры начальной страницы, а администратор облака может проверить политики, назначения, запросы и получить доступ к отзывам с помощью меню слева.

Пакет доступа можно настроить как скрытый. Если это так, то для запроса , по умолчанию для всех новых пакетов скрыто установлено значение Нет.

Мы повторим те же шаги для создания нового , но на этот раз сосредоточимся на роли участника. Не забудьте предоставить больше времени роли пользователя. Мы будем хранить его в течение шести месяцев.

Запрос доступа к пакету доступа

Первый шаг для любого пользователя, который хочет быть либо владельцем, либо участником какой-либо организации, — получить доступ к https://myaccess.microsoft.com и пройти аутентификацию с использованием его учетных данных.

На портале щелкните «Пакеты доступа» (элемент 1), выберите нужный пакет доступа (элемент 2) и нажмите «Запросить доступ» (элемент 3). Справа отобразится новая колонка, в которой инициатор запроса должен предоставить бизнес-обоснование. Чтобы завершить запрос, нажмите «Отправить».

Назначенный рецензент получит сообщение о предстоящей проверке, как показано на изображении ниже. Мы можем использовать эту ссылку Review user access> или перейти прямо на https://myaccess.microsoft.com.

На том же портале, что и запросчик, нажмите «Утверждения» (элемент 1), выберите нужный элемент запроса (элемент 2), а затем нажмите «Утвердить » или «Отклонить» (элемент 3). В новой колонке предоставьте бизнес-обоснование разрешения/запрета пользователю и нажмите Submit.

Как только привилегия будет предоставлена, конечный пользователь заметит, что новая добавляется автоматически, и на клиенте появится всплывающее сообщение о новой . Пользователь, которому предоставлен доступ, также получает электронное письмо с датой окончания доступа.

Отчетность и повышение безопасности пакетов доступа

Первый способ сообщить об изменениях — просмотреть участников Teams, которые предоставят текущий список участников и владельцев. Существуют и другие механизмы, которые мы можем использовать для отслеживания изменений/запросов и повышения безопасности пакетов доступа.

В той же области в Azure Active Directory/управлении идентификацией мы найдем элемент под названием «Отчеты» в разделе . Это дает два способа создания отчета. Например, в назначении ресурсов для пользователя нам нужно определить пользователя (пункт 1). После выбора пользователя отобразится список всех ресурсов, связанных с этим пользователем, примененная политика, а также даты начала и окончания.

Еще одним полезным ресурсом является использование обзоров доступа, которые позволят пользователю просматривать и принимать меры в отношении членов любого данного . Это поможет владельцу приложения/бизнеса держать под контролем, которому требуется доступ к данным приложениям/командам/сайтам SharePoint.

Другие варианты управления правами

Мы использовали специальные команды Microsoft, чтобы позволить конечным пользователям и администраторам запрашивать доступ и получать одобрение от владельца бизнеса. Это обеспечивает превосходную гибкость, позволяя пользователям и администраторам выполнять свои рабочие требования. Используя эту функцию, мы не оставляем владельцев и участников навсегда в наших приложениях. Политики можно использовать для согласования жизненного цикла всего приложения и высвобождения ИТ-ресурсов для отслеживания происходящего с помощью ручных инструментов. Имейте в виду, что мы использовали Microsoft Teams в качестве примера. Мы также можем использовать это для приложений Azure AD и SharePoint. Мы также можем комбинировать более одного в одном пакете доступа. Например, у нас может быть один пользователь, который будет владельцем нескольких номеров Microsoft Teams в одном и том же пакете доступа.