Soluțiile Microsoft de administrare a identității și accesului - partea a treia

Bogdan Păun

System Engineer Microsoft 365

Toți utilizatorii și toate echipamentele au o identitate asociată ce poate fi utilizată pentru acordarea de drepturi de acces către anumite resurse. A fi sigur despre cine sau ce accesează resursele din cadrul organizației este o parte fundamentală a securizării mediului de lucru. Acest aspect este cunoscut sub denumirea de administrare a identității și accesului și este compus din două etape: autentificarea și autorizarea identităților.

Atunci când vorbim de securitate, organizațiile nu se mai pot baza doar pe protecția oferită de rețeaua internă. Pentru a permite angajaților, partenerilor și clienților să colaboreze în siguranță, identitatea este cea care devine noul perimetru de securitate.

Planificarea și implementarea unei strategii de administrare a identității

Azure Active Directory (Azure AD) Identity Governance îți permite să echilibrezi nevoia organizației de securitate și productivitatea angajaților cu procesele și vizibilitatea potrivite. Acesta îți oferă capacități pentru a te asigura că persoanele potrivite au acces corect la resursele potrivite. Acestea și caracteristicile Azure AD și Enterprise Mobility + Security asociate îți permit să reduci riscul de acces prin protejarea, monitorizarea și auditarea accesului la active critice, asigurând în același timp productivitatea angajaților și a partenerilor de afaceri.

Administrarea identității oferă organizațiilor posibilitatea de a trasa sarcini ce pot fi îndeplinite împreună de angajați, parteneri de afaceri și furnizori, precum și între servicii și aplicații, atât on-premises, cât și în cloud.

Organizațiile de întreprindere se confruntă adesea cu provocări atunci când gestionează accesul angajaților la resurse precum:

  • Este posibil ca utilizatorii să nu știe ce acces ar trebui să aibă și, chiar dacă știu, pot avea dificultăți în localizarea persoanelor potrivite pentru a-și aproba accesul
  • Odată ce utilizatorii găsesc și primesc acces la o resursă, aceștia pot continua să acceseze mai mult decât este necesar în scopuri de afaceri

Gestionarea drepturilor introduce în Azure AD conceptul de pachet de acces (access package). Un pachet de acces aduce împreună toate resursele și accesul de care un utilizator are nevoie pentru a lucra la un proiect sau pentru a-și îndeplini activitatea. Pachetele de acces sunt utilizate pentru a guverna accesul angajaților interni și al utilizatorilor din afara organizației. Puteți gestiona accesul utilizatorilor la următoarele resurse cu gestionarea drepturilor:

  • Apartenența la grupurile de securitate Azure AD
  • Calitatea de membru al grupurilor și echipelor Microsoft 365
  • Atribuire pentru aplicațiile Azure AD pentru întreprinderi, inclusiv aplicațiile SaaS și aplicațiile integrate particularizate care acceptă federalizarea/sign-on-ul unic și/sau asigurarea accesului
  • Calitatea de membru al site-urilor SharePoint Online

Pachetele Access includ, de asemenea, una sau mai multe politici. O politică definește regulile pentru atribuirea pachetului de acces. Fiecare politică poate fi utilizată pentru a se asigura că numai utilizatorii corespunzători pot solicita acces, că există aprobatori pentru cererea lor și că accesul lor la aceste resurse este limitat în timp și va expira dacă nu este reînnoit.

În cadrul fiecărei politici, un administrator sau un manager de pachete de acces definește utilizatorii deja existenți care sunt eligibili să solicite acces, procesul de aprobare sau refuzare a accesului și durata accesului unui utilizator.

Gestionarea ciclului de viață al utilizatorilor externi în setările de guvernanță a identității Azure AD

Poți selecta ce se întâmplă atunci când un utilizator extern, care a fost invitat în director printr-o solicitare de tip pachet de acces ce a fost aprobată, nu mai are atribuite pachete de acces. Această situație se poate întâmpla dacă utilizatorul renunță la toate alocările de tip pachet de acces sau expiră ultima alocare a unui pachet de acces. În mod implicit, atunci când un utilizator extern nu mai are atribuite pachete de acces, acesta va fi blocat de la conectarea la director. După 30 de zile, contul lor de utilizator invitat este eliminat din director.

  1. Conectează-te la portalul Azure ca administrator global. Un cont de tip Global administrator sau User administrator este necesar pentru a finaliza aceste activități.
  2. Deschide Azure Active Directory și selectează Identity Governance.
  3. În meniul de navigare din stânga, sub Entitlement management, selectează Settings.
  4. În meniul de sus, selectează Edit.

5. În secțiunea Manage the lifecycle of external users revizuiește diferitele setări pentru utilizatorii externi.

6. După ce un utilizator extern își pierde ultima atribuire la orice pachete de acces, dacă dorești să elimini contul de utilizator invitat în acest director, setează Remove external user la Yes.

7. Dacă dorești să elimini contul de utilizator invitat în acest director, poți seta numărul de zile înainte de a fi eliminat. Dacă dorești să elimini contul de utilizator invitat imediat ce își pierde ultima alocare a unui pachet de acces, setează Number of days before removing external user from this directory la 0.

În gestionarea drepturilor Azure AD, poți vedea cărui utilizator i-au fost alocate drepturile de putea accesa pachetele, politica și starea acestora. Dacă un pachet de acces are o politică corespunzătoare poți, de asemenea, să atribui direct utilizatorului un pachet de acces.

Planificarea, implementarea și gestionarea revizuirii accesului

O revizuire a accesului, așa cum sugerează și numele, este o verificare planificată a nevoilor de acces, a drepturilor și a istoricului accesului utilizatorilor. Recenziile de acces ajută utilizatorii să se asigure că persoanele potrivite au acces corect la resursele potrivite. Acestea atenuează riscul de acces prin protejarea, monitorizarea și auditarea accesului la active critice, asigurând în același timp productivitatea angajaților și a partenerilor de afaceri.

Odată integrate resursele organizației cu Azure AD (cum ar fi utilizatori, aplicații și grupuri), acestea pot fi gestionate și revizuite. Printre obiectivele tipice pentru verificare se numără:

  • Accesul utilizatorilor la aplicațiile integrate cu Azure AD pentru sign-on unic (cum ar fi SaaS, line-of-business)
  • Apartenența la grup (sincronizată cu Azure AD sau creată în Azure AD sau Microsoft 365, inclusiv Microsoft Teams)
  • Pachet Access care grupează resurse (grupuri, aplicații și site-uri) într-un singur pachet pentru a gestiona accesul
  • Roluri Azure AD și roluri de resurse Azure, așa cum sunt definite în Privileged Identity Management (PIM)

Înainte de a implementa revizuirile de acces, este necesar să planificăm tipurile de recenzii relevante pentru organizație. Pentru a face acest lucru, trebuie luate decizii de afaceri cu privire la ceea ce dorim să revizuim și acțiunile pe care trebuie să le luăm pe baza acestor recenzii.

Crearea recenziilor de acces pentru grupuri

Accesul la grupuri și aplicații pentru angajați și oaspeți se schimbă în timp. Pentru a reduce riscul asociat cu atribuirile de acces învechite, administratorii pot utiliza Azure Active Directory (Azure AD) pentru a crea recenzii de acces pentru membrii grupului sau accesul la aplicații. Dacă trebuie să revizuiești în mod obișnuit accesul, poți crea, de asemenea, revizuiri recurente ale accesului.

  1. Conectează-te la portalul Azure și deschide pagina Guvernanță identitate.
  2. În meniul din stânga, apasă pe Access reviews.
  3. Apasă pe New access review pentru a crea o nouă revizuire a accesului.

4. În Pasul 1: Selectează ce să revizuiești - selectează resursa pe care dorești să o revizuiești.

    • Toate grupurile Microsoft 365 cu utilizatori invitați (All Microsoft 365 groups with guest users) - Selectează această opțiune dacă dorești să creezi recenzii recurente pentru toți utilizatorii invitați din toate grupurile Microsoft Teams și Microsoft 365 din organizația ta. Poți alege să excluzi anumite grupuri făcând clic pe "Selectează grupurile de exclus".
    • Selectează echipe + grupuri (Select teams + groups) - Selectează această opțiune dacă dorești să specifici un set finit de echipe și/sau grupuri de revizuit. După ce faci clic pe această opțiune, vei vedea o listă de grupuri din dreapta din care să alegi. 

5. Apoi, în Pasul 3 poți selecta un domeniu pentru revizuire. Opțiunile tale sunt:

    • Numai utilizatorii invitați (Guest users only)
    • Oricine (Everyone)

6. Apasă pe Next: Reviews

7. În secțiunea Select reviewers, selectează una sau mai multe persoane pentru a efectua revizuirile de acces. Poți alege dintre:

    • Proprietarii grupului (Group owner(s)) (disponibili numai atunci când efectuezi o revizuire a unei echipe sau a unui grup)
    • Utilizatori sau grupuri selectate (Selected user(s) or groups(s))
    • Utilizatorii revizuiesc accesul propriu (Users review own access)
    • Managerii utilizatorilor (Managers of users) Dacă alegi manageri de utilizatori sau proprietari de grup ai, de asemenea, opțiunea de a specifica un recenzent de rezervă. Recenzenții de rezervă sunt rugați să facă o revizuire atunci când utilizatorul nu are niciun manager specificat în director sau grupul nu are un proprietar.

8. În secțiunea Specify recurrence of review, poți specifica o frecvență precum Săptămânal, Lunar, Trimestrial, Semestrial, Anual. Apoi specifică o Durată, care definește cât timp va fi deschisă o revizuire pentru a fi introdusă de recenzenți.

9. În setările la finalizare, poți specifica ce se întâmplă după finalizarea revizuirii.

Revizuirile de acces pot fi setate să apară în mod recurent. Denumești politica de revizuire a accesului, selectează o dată de început, o frecvență, o durată, o dată de sfârșit și ești gata să aplici respectiva politică. Recenzenții vor fi anunțați la începutul fiecărei revizuiri. Recenzenții pot aproba sau refuza accesul cu o interfață prietenoasă și cu ajutorul recomandărilor inteligente.

De ce este importantă revizuirea accesului recurent? Din cauza gestionării ciclului de viață. Tot ceea ce începe, trebuie să aibă o dată de încheiere. Între început și sfârșit, trebuie să ne asigurăm că permisiunile sunt ceea ce avem nevoie să fie. Nu prea mult, nu prea puțin. Și întrebăm în mod regulat un proprietar dacă totul este încă așa cum își dorește să fie. Cu recurență ne asigurăm că această verificare se va face în mod regulat.

 


Dorești să afli mai multe despre soluțiile Microsoft de administrare a identității și accesului?

Sunt de acord ca ALEF Group să prelucreze datele mele cu caracter personal conform politicilor GDPR

 

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.