Drücke "Enter", um den Text zu überspringen.

Zugriffsüberprüfung über External Identities Funktion

Du bist hier:
< zurück

Die Zugriffsüberprüfung von Gästen und Externen in eigenen Tenant ist eine der wichtigsten Prozesse in einem Unternehmen. Es ist auch leider der Prozess, welcher oft nicht angewandt oder wenn dieser dokumentiert ist, nicht gewissenhaft durchgeführt wird. Einige Zertifizierungen verlangen ausdrücklich diesen Prozess.

Die Zugriffsüberprüfung

Die Zugriffsüberprüfung ist essenziell, aber leider oft im Unternehmen nur durch einen manuellen Prozess umgesetzt. In festgelegten Zeiträumen muss überprüft werden, ob die Nutzer überhaupt die aktuell zugewiesenen Berechtigungen brauchen.

 Hier gelangt ihr direkt zur Funktion: External Identities | Zugriffsüberprüfungen

Hinweis: Es ist generell sinnvoll nie den direkten Zugang einem Mitarbeiter zu geben, sondern z.B. Twitter in die Azure AD einzubinden und dann nur die Berechtigung mit einem Enddatum weiterzugeben. Es ist immer besser eine Berechtigung erneut zu geben, statt einem Nutzer zu lange eine Berechtigung zu geben, als er diese benötigt.

Sinnvoller Artikel: Information Governance

Lizenz: Azure AD P1

Zugriffskontrolle – Konfiguration

Die Konfiguration ist recht einfach vorzunehmen, indem man den WIzard ausfüllt:

Folgende Möglichkeiten bestehen

 
Häufigkeit
Ihr könnt wählen zwischen einmal, wöchentlich, monatlich, halbjährlich oder jährlich. 
 
klassisches Unternehmen: jährlich
regulatorien unterworfenes Unternehmen: halbjährlich
hoch sensible Daten: monatlich
Gäste: monatlich
 
zu überprüfende Nutzer
Ihr könnt AD Gruppen, Groups oder auch Teams auswählen.
Ich nutze hierfür die gesamte AAD Gruppe mit allen Gästen und bestimmte Teams Gruppen und gerade alle Gastuser, wobei für die halbjährlichen und jährlichen Prüfungen alle Nutzer dabei sind.
 
Prüfer
Gruppenbesitzer oder ihr könnt einen Benutzer oder eine AD Gruppe auswählen
 

Zusätzliche Einstellungen

Ihr könnt einstellen, was passiert, wenn der Prüfer nicht reagiert. Ebenso, ob Empfehlungen dem Prüfer angezeigt werden oder ob dieser erinnert werden soll. 

 

Die Kontrolle

Die Zugriffsprüfung passiert indem der Prüfer eine Email erhält und dann die Prüfung beginnt.
 
Email-Screenshot
Der Prüfer hat nun eine Zeit von 3,5 Wochen, um die Prüfung durchzuführen und wird immer wieder per Email daran erinnert. 

 

Alte Ansicht

 Neue Ansicht in Preview

In der neuen Ansicht seht ihr alle Nutzer, darunter Gäste, Externe, interne User, Verteilerlisten, Sicherheitsgruppen und auch Geräte und Deviceaccounts.

Um das Prüfen zu vereinfachen, könnt ihr filtern

 

Prüfen

Die Prüfung wird aufgezeichnet und auch die Begründung.
 
und das Ergebnis
Den Usern können. besser sollten Zugangspakete zugeordnet werden. In der Review werden nicht die einzelnen Rechte geprüft, was definitiv sinnvoll wäre in der Version 2.0 und es steht auch schon im Backlog.